Windows內核模塊安全技術的研究與實現.pdf

1、隨著計算機的迅速深入和普及、信息技術的迅猛發(fā)展,經濟、社會等各方面的重要信息在計算機中存儲和在網絡中傳輸。信息安全的研究成為最熱門的研究方向之一。終端系統(tǒng)的安全是構建信息安全的基礎。Windows內核模塊技術有很大的優(yōu)點,但同時也存在很大的安全隱患。攻擊行為已經從用戶態(tài)進入內核態(tài),具備了系統(tǒng)的最高權限,可以修改系統(tǒng)內核的關鍵數據結構并可以改變系統(tǒng)服務的一些功能。 本文對Windows內核模塊的重要組成元素和各部分存在的不安全因素

2、進行了深入的分析,然后對攻擊內核模塊的技術比如各種掛鉤技術、機器重啟時自動運行技術、利用驅動程序等進入內存的加載技術進行了深入的剖析,特別對Rootkit各個發(fā)展階段的技術原理有很深入的研究。 最后,是內核模塊安全檢測系統(tǒng)的設計和實現,實際上就是在操作系統(tǒng)的運行過程中,對內存中各個敏感區(qū)域進行檢測。內存中的各種模塊,不管是內核模式下的系統(tǒng)模塊還是用戶模式下的普通應用模塊,都是從某些磁盤文件中寫入的,這些文件通常是PE格式文件,它

3、在從硬盤到內存的過程中基本上是有章可循的。所以就能夠以硬盤為參照,查找內存中可能出現的異常現象,從而判斷系統(tǒng)是否受到了攻擊。 本檢測系統(tǒng)首先對系統(tǒng)調用過程中涉及到的重要的用戶態(tài)及內核態(tài)的主要模塊和重要的系統(tǒng)服務進行檢測,這些都是攻擊者的攻擊目標,每一部份的檢測都是對應于對內核模塊進行攻擊的主要技術有針對性的進行。并且本方案不是傳統(tǒng)的基于病毒的特征碼進行檢測的,所以體現出一定的有效性和智能性。本文給出了整體的系統(tǒng)設計方案和每一檢測