Windows下基于交叉视图的Rootkit进程隐藏检测技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H i e o e s De e to c i e o o ki s d o o s Vi w n W i o dd n Pr c s t c i n Te hn qu f Ro t t Ba e n Cr s — e i nd ws
李 建军 王庆 生
( 太原理 工大 学计 算机科 学与技 术 学院 太原 0 0 2 ) 3 0 4 【 摘 要】对 现有 的 Wid ws o ti进 程 隐藏技 术进行 了研 究 ,提 出 了基于 交叉视 图的 Ro t i进 程 隐藏检 测 n o okt R okt
内核 级 Ro ti 工 作 在 权 限最 高 的 环 0级 上 , okt 能
够 直接 操作 内核 代码 , 这为 进程 的隐藏 提供 了便 利 。 在 内核 模式 下 , 隐藏进 程 的技 术 主要 有 挂 钩 系统 服务 调 度 表 ( y tm evc ip th T be S D 和直 接 S se S r i D s ac a l , S T) e 内 核 对 象 操 作 ( i c en lObetMa iuai , D r tK r e e jc np lt n o
中 圈 分 类 号 :TP 1 . 367 文 献 标 识 码 :A
AB TRACT Th s p p rs u id t ee itn i d n p o e st c n q e fr o k t n W i d ws n h n p o o e i d n p o e s S i a e t d e h xs i g h d e r c s e h i u so o t i i n o ,a d t e r p s d a h d e r c s d t c i n t c n q e o o t i b s d o r s - iw. Th s t c n q e d t c s h d e r c s y c mp rn h r c s it t i e e e t e h i u fr o k t a e n c o s v e o i e h i u e e t i d n p o e s b o a i g t e p o e s l s a t n d s a f o o e a i g s se h g -e e n o l v lr s e tv l . I a tc l r h o l v lp o e s l t i t i e y s a c i g t e r m p r tn y t m ih l v la d l w— e e p c ie y n p r iu a ,t e l w—e e r c s i s a t n d b e r h n h e s a
技术 。 技术 通过 比较从操作 系统 的高层和底 层获取 到 的进 程 列表来 检测 被 R okt 隐藏 的进程 , 中, 该 o ti 所 其 底层 进 程 列表 是 通过搜 索 内存 中的 内核对 象来获 得 的。实验表 明 ,该 技 术具 有较 好 的检 测效果 。
【 键 词 】 Ro ti, 进 程 隐藏 , 内存 搜 索 关 okt
1 2 内核 级 R okt . o ti 的进 程 隐藏技术
行 隐 藏 , 而使入 侵者 进入 被攻 占的系统 后 所 引起 的 从
变化 ( 启 动 了新进 程 、 如 增加 了新 文 件等 ) 被受 害者 不
察觉 。 中 , 其 对特定进 程的隐藏是 R okt o ti技术 中的一
种 典型 应用 。 将进 程隐藏起来 , 意味着程 序可 以在不被
Wid ws 基 于交 叉视 图 的 Ro ti进 程 隐 藏 检 测 技 术 no 下 okt
文章 Hale Waihona Puke Baidu 号 ; 0 3 5 5 ( 0 1 O — 0 6 0 1 0 —8 0 2 1 ) 5 0 5 — 2
Wid w n o s下基 于交叉视 图的 Ro ti 进 程 隐藏 检 测技 术 okt
Ro t i 初 出现 于 Unx系统 , 1 9 okt最 i 在 9 9年 的 时
F n t nHo kn ) u ci o ig 。导入地址 表 ( o I AT) 子通过 进入 钩
候 , e gu d开 发 出 了 针 对 Wid ws系 统 的 Grg Ho ln no R o kt 此 后 , n o okt 术 得 到 了快 速发 o ti, Wid wsRo ti 技
k r e b et nme r .Ex e i n ss o t a hstc nq eo ss t f d d tcinefc. e n lo jcsi mo y p rme t h w h tt i e h iu wn ai i ee t fe t se o
KEYW ORDS r o k t p o e sh d n , me r e r h o t i, r c s i i g mo y s a c
对 Wid ws系统 中的进程 、 no 文件 、 口、 端 驱动程 序等进
钩子 函数 的地址 。这样 , 当调用 目标 函数 时 , 就会 执行 钩子 函数 而不是 原始 的 AP 函数 。 内联 函数 钩子常 I 而 常直接 把 目标 函数 的前 5 字节 修改 为一个 无条 件跳 个
转 指令 J MP, 跳转 指 向 R okt 该 o ti 钩子 。
到 目标 程 序 的地 址 空 间 , 析 内存 中 目标 程 序 的 P 分 E 格 式 , 到 I T 中 目标 A I 找 A P 函数 的地址 , 后 替换 为 然
展 。 okt Ro ti 是能够 持久且难 于检测地存 在 于计 算机 之 中的一 组程 序和代码 [ 。 用 Wid w o ti, 以 1 利 ] n o sR okt可
李 建军 王庆 生
( 太原理 工大 学计 算机科 学与技 术 学院 太原 0 0 2 ) 3 0 4 【 摘 要】对 现有 的 Wid ws o ti进 程 隐藏技 术进行 了研 究 ,提 出 了基于 交叉视 图的 Ro t i进 程 隐藏检 测 n o okt R okt
内核 级 Ro ti 工 作 在 权 限最 高 的 环 0级 上 , okt 能
够 直接 操作 内核 代码 , 这为 进程 的隐藏 提供 了便 利 。 在 内核 模式 下 , 隐藏进 程 的技 术 主要 有 挂 钩 系统 服务 调 度 表 ( y tm evc ip th T be S D 和直 接 S se S r i D s ac a l , S T) e 内 核 对 象 操 作 ( i c en lObetMa iuai , D r tK r e e jc np lt n o
中 圈 分 类 号 :TP 1 . 367 文 献 标 识 码 :A
AB TRACT Th s p p rs u id t ee itn i d n p o e st c n q e fr o k t n W i d ws n h n p o o e i d n p o e s S i a e t d e h xs i g h d e r c s e h i u so o t i i n o ,a d t e r p s d a h d e r c s d t c i n t c n q e o o t i b s d o r s - iw. Th s t c n q e d t c s h d e r c s y c mp rn h r c s it t i e e e t e h i u fr o k t a e n c o s v e o i e h i u e e t i d n p o e s b o a i g t e p o e s l s a t n d s a f o o e a i g s se h g -e e n o l v lr s e tv l . I a tc l r h o l v lp o e s l t i t i e y s a c i g t e r m p r tn y t m ih l v la d l w— e e p c ie y n p r iu a ,t e l w—e e r c s i s a t n d b e r h n h e s a
技术 。 技术 通过 比较从操作 系统 的高层和底 层获取 到 的进 程 列表来 检测 被 R okt 隐藏 的进程 , 中, 该 o ti 所 其 底层 进 程 列表 是 通过搜 索 内存 中的 内核对 象来获 得 的。实验表 明 ,该 技 术具 有较 好 的检 测效果 。
【 键 词 】 Ro ti, 进 程 隐藏 , 内存 搜 索 关 okt
1 2 内核 级 R okt . o ti 的进 程 隐藏技术
行 隐 藏 , 而使入 侵者 进入 被攻 占的系统 后 所 引起 的 从
变化 ( 启 动 了新进 程 、 如 增加 了新 文 件等 ) 被受 害者 不
察觉 。 中 , 其 对特定进 程的隐藏是 R okt o ti技术 中的一
种 典型 应用 。 将进 程隐藏起来 , 意味着程 序可 以在不被
Wid ws 基 于交 叉视 图 的 Ro ti进 程 隐 藏 检 测 技 术 no 下 okt
文章 Hale Waihona Puke Baidu 号 ; 0 3 5 5 ( 0 1 O — 0 6 0 1 0 —8 0 2 1 ) 5 0 5 — 2
Wid w n o s下基 于交叉视 图的 Ro ti 进 程 隐藏 检 测技 术 okt
Ro t i 初 出现 于 Unx系统 , 1 9 okt最 i 在 9 9年 的 时
F n t nHo kn ) u ci o ig 。导入地址 表 ( o I AT) 子通过 进入 钩
候 , e gu d开 发 出 了 针 对 Wid ws系 统 的 Grg Ho ln no R o kt 此 后 , n o okt 术 得 到 了快 速发 o ti, Wid wsRo ti 技
k r e b et nme r .Ex e i n ss o t a hstc nq eo ss t f d d tcinefc. e n lo jcsi mo y p rme t h w h tt i e h iu wn ai i ee t fe t se o
KEYW ORDS r o k t p o e sh d n , me r e r h o t i, r c s i i g mo y s a c
对 Wid ws系统 中的进程 、 no 文件 、 口、 端 驱动程 序等进
钩子 函数 的地址 。这样 , 当调用 目标 函数 时 , 就会 执行 钩子 函数 而不是 原始 的 AP 函数 。 内联 函数 钩子常 I 而 常直接 把 目标 函数 的前 5 字节 修改 为一个 无条 件跳 个
转 指令 J MP, 跳转 指 向 R okt 该 o ti 钩子 。
到 目标 程 序 的地 址 空 间 , 析 内存 中 目标 程 序 的 P 分 E 格 式 , 到 I T 中 目标 A I 找 A P 函数 的地址 , 后 替换 为 然
展 。 okt Ro ti 是能够 持久且难 于检测地存 在 于计 算机 之 中的一 组程 序和代码 [ 。 用 Wid w o ti, 以 1 利 ] n o sR okt可