基于Windows平臺的Rootkit技術研究與應用.pdf

1、隨著信息網絡技術的高速發(fā)展，人們越來越離不開計算機和網絡的幫助，人們通過計算機儲存很多重要信息，由此而來的計算機網絡滲透、敏感信息竊取事件時有發(fā)生。Rootkit是一項操作系統底層技術，能夠持續(xù)獲得系統特權，同時通過破壞傳統操作系統的功能或其他應用來隱藏它的存在。Rootkit技術最先被發(fā)明應用于UNIX 系統中，隨后逐步發(fā)展到其他操作系統平臺上。目前針對Windows平臺下的Rootkit技術得到了廣泛的關注和研究。作為信息安全的攻擊

2、方與防御方，安全軟件與惡意軟件都在使用不同層次的Rootkit技術進行信息的竊取與防護。Rootkit技術也是一項可以被黑客利用來進行攻擊的技術，然而只有對于這類攻擊技術有著很好的了解，才能進一步研究如何對這種技術進行檢測與防御。
　　 根據對操作系統入侵的層次，可以分為用戶級Rootkit和內核級Rootkit。比較而言，用戶級Rootkit工作在操作系統的應用層，具有輕便、通用性強的優(yōu)點；而內核級Rootkit直接攻擊操作系

3、統的內核，危害更大，功能更強大，更難以檢測，不過其工作需要環(huán)0權限，且兼容性較差。
　　 本文首先敘述了Rootkit技術的相關原理，包括用戶級與內核級的原理，在此基礎上，提出了Rootkit攻擊的核心技術，包括掛鉤SSDT表、掛鉤IAT表、inline hook、過濾驅動技術等技術，對每種技術的原理進行詳細闡述并且給出了實現過程。在接著的章節(jié)中，研究了Windows Rootkit檢測的兩大類方法，基于行為與基于交叉視圖的檢測