基于Kprobe的Rootkit检测机制被引量：1

Rootkit detection based on Kprobe

下载PDF

导出

摘要对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统中审计工具所得的结果进行交叉视图的比对得到被隐藏对象。在实验阶段选择几种现有流行的Rootkit安装,采用了基于Kprobe的检测方法,通过实验结果表明该机制具有良好的可靠性。 This paper analyzes the principles of the existing Rootkit detection technology on Linux system, and further proposes a detection technology using Kprobe. The detection method collects the information of objects hidden by Rootkit by inserting probe points into the critical path in low-level kernel, and then compares the underlying information and the results from audit tools with cross-view validation principle to get the hided objects. The experiments are conducted to verify this detection method on several popular Rootkits. The results show that this technique has a good reliability.

作者杨章象代祖华王博

机构地区西北师范大学计算机科学与工程学院西安交通大学电子与信息工程学院

出处《计算机工程与应用》 CSCD 北大核心 2016年第7期127-131,共5页 Computer Engineering and Applications

基金国家自然科学青年基金(No.61202060)

关键词 ROOTKIT检测 Kprobe 内核审计工具交叉视图比对 Rootkit detection Kprobe kernel audit tool cross-view vaildation

分类号 TP309.5 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献14

1辛知,陈惠宇,韩浩,茅兵,谢立.基于结构体随机化的内核Rootkit防御技术[J].计算机学报,2014,37(5):1100-1110. 被引量：7
2Rhee J,Riley R,Xu D,et al.Defeating dynamic data kernel rootkit attacks via VMM-based guest-transparent monitoring[C]//Proceedings of the 4th IEEE Conference on Availability,Reliability and Security(ARES),Fukuoka,Japan,2009.
3Jones S T,Arpaci-Dusseau A C,Arpaci-Dusseau R H.VMM-based hidden process detection and identification using Lycosid[C]//Proceedings of the 4th ACM Sigplan/Sigops International Conference on Virtual Execution Environments,2008.
4Jiang X,Wang X,Xu D.Stealthy malware detection through vmm-based out-of-the-box semantic view reconstruction[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security(CCS),Virginia,USA,2007.
5FuS ys.Kernel security therapy anti-trolls[CP/OL].[2015-08-30].http://www.s0ftpj.org/tools/kstat24_v1.1-2.tgz.
6Liang B,You W,Shi W,et al.Detecting stealthy malware with inter-structure and imported sig-natures[C]//Proceedings of ASIACCS,Hong Kong,China,Mar,2011.
7Baliga A,Ganapathy V,Iftode L.Detecting kernel-level Rootkits using data structure invariants[J].IEEE Transactions on Dependable&Secure Computing,2010,8(5):670-684.
8Keniston J,Panchamukhi P S.Kernel Probes[EB/OL].[2015-08-30].https://www.kernel.org/doc/Documentation/kprobes.txt.
9Mavinakayanahalli A,Panchamukhi P,Keniston J,et al.Probing the guts of Kprobes[C]//Proceedings of Linux Symposium,2006.
10Zanussi T,Yaghmour K,Wisniewski R W,et al.An efficient unified approach for trasmitting data from kernel to user space[C]//Proceedings of the Ottawa Linux Symposium,2003.

二级参考文献26

1sd devik. Linux on-the-fly kernel patching without LKM.SucKIT source code,Phrack 58,2001.
2kad. Handling Interrupt Descriptor Table for fun and profit.Phrack 59,2002.
3IA-32 Intel Architecture Software Developer's Manual.www.intel.com,2001.
4palmers. Sub proc_root Quando Sumus(Advances in Kernel Hacking).prrf source code,Phrack 58,2001.
5Brumley D. Invisible intruders: Rootkits in practice. The USENIX Association Newsletter, 1999.
6KrAugel C, Robertson W K, Vigna G. Detecting kernel- level rootkits through binary analysis//Proceedings of the 20th Annual Computer Security Applications Conference. Washington, USA, 2004:91-100.
7Baliga A, Ganapathy V, Iftode L. Automatic inference and enforcement of kernel data structure invariants//Proceedings of the 2008 Annual Computer Security Applications Conference. Washington, USA, 2008:77-86.
8Petroni Jr N L, Fraser T, Walters A, Arbaugh W A. An architecture for specification-based detection of semantic integrity violations in kernel dynamic data//Proceedings of the 15th Conference on USENIX Security Symposium. Berkeley, USA, 2006:289-304.
9Petroni Jr N L, Hicks M. Automated detection of persistent kernel control flow attacks//Proeeedings of the 14th ACM Conference on Computer and Communications Security. Chicago, USA, 2007: 103-115.
10Baliga A, Kamat P, Iftode L. Lurking in the shadows: Identifying systemic threats to kernel data//Proceedings of the 2007 IEEE Symposium on Security and Privacy. Washington, USA, 2007:246-251.

共引文献207

1杨俊,刘海,黄德修.EPON中生成树协议的实现[J].光电子技术与信息,2004,17(5):42-45.
2周运华,谢洁锐,陈明浩,杜治国.Linux防火墙内核实现机制分析[J].计算机工程与设计,2004,25(10):1748-1750. 被引量：3
3谢长生,刘志斌.Linux2.6内存管理研究[J].计算机应用研究,2005,22(3):58-60. 被引量：10
4陈必泉,黄承慧.GDBSERVER原理分析及其应用[J].计算机工程与设计,2005,26(3):746-749. 被引量：6
5何明聪,胡继承,孙世磊.基于ARM920T微处理器的IDE硬盘接口设计与实现[J].计算机工程与设计,2005,26(3):768-769. 被引量：5
6李然,王伟明.GRMP协议中Classifier动态加载的实现[J].计算机应用研究,2005,22(5):176-178.
7俞波,王光明.通用路由器管理协议中的流量控制实现[J].计算机测量与控制,2005,13(4):329-330. 被引量：1
8周诚,施荣华,杨政宇.一种基于Netfilter的认证方法研究与实现[J].计算机测量与控制,2005,13(4):363-365. 被引量：2
9桑江,陈震.嵌入式Linux系统在PDA设备中的应用[J].计算机工程与设计,2005,26(4):1016-1019. 被引量：5
10栾建海,李众立,黄晓芳.Linux 2.6内核分析[J].兵工自动化,2005,24(2):89-90. 被引量：5

同被引文献5

1苏培培,刘宝明.基于国产处理器的可信系统研究与实现[J].电子技术应用,2012,38(1):136-138. 被引量：4
2罗钧,蒋敬旗,闵志盛,李成清.基于SHA-1模块的可信嵌入式系统安全启动方法[J].山东大学学报（理学版）,2012,47(9):1-6. 被引量：5
3徐明迪,张帆.可信计算技术在嵌入式操作系统中的应用[J].武汉大学学报（理学版）,2014,60(3):237-241. 被引量：5
4王希冀,张功萱,郭子恒.基于可信密码模块的SoC可信启动框架模型[J].计算机工程与科学,2019,41(4):606-611. 被引量：9
5李海生,张凡.基于SOPC的脉冲信号参数测量系统设计[J].电子技术应用,2020,46(7):84-87. 被引量：2

引证文献1

1苏振宇,徐峥,刘雁鸣.SoPC安全启动模型与设计实现[J].电子技术应用,2021,47(12):22-25.

1活动目录变更审计工具——ADAudit Plus[J].网管员世界,2010(13):57-57.
2傅德胜,曹成龙.一种基于交叉视图的Windows Rootkit检测方法[J].信息技术,2011,35(6):26-29. 被引量：2
3白光冬,郭耀,陈向群.一种基于交叉视图的Windows Rootkit检测方法[J].计算机科学,2009,36(8):133-137. 被引量：13
4王松涛,吴灏.Linux下基于可执行路径分析的内核rootkit检测技术研究[J].计算机工程与应用,2005,41(11):121-123. 被引量：8
5IDEA——审计软件行业的领导者[J].中国内部审计,2006(1).
6何祥,周安民,蒲伟,周妍.基于vmem文件的隐藏信息检测研究[J].信息安全与通信保密,2012,10(10):67-68.
7爱无言.优秀的PHP程序审计工具PSA[J].黑客防线,2009(2):19-22.
8冯帆,罗森林.基于VMM的Rootkit检测技术及模型分析[J].信息网络安全,2013(6):35-39. 被引量：3
9李清干,邵作之.Linux内核调试工具Kprobe机制的研究[J].中国电力教育,2008(S3):349-351. 被引量：1
10李建军,王庆生.Windows下基于交叉视图的Rootkit进程隐藏检测技术[J].电脑开发与应用,2011,24(5):56-57. 被引量：2

计算机工程与应用

2016年第7期

浏览历史

内容加载中请稍等...

基于Kprobe的Rootkit检测机制被引量：1

参考文献14

二级参考文献26

共引文献207

同被引文献5

引证文献1

相关作者

相关机构

相关主题

浏览历史

基于Kprobe的Rootkit检测机制 被引量：1

参考文献14

二级参考文献26

共引文献207

同被引文献5

引证文献1

相关作者

相关机构

相关主题

浏览历史

基于Kprobe的Rootkit检测机制被引量：1