基于新型VMI技术的内核Rootkit检测方案

随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。

实现键盘记录

键盘记录的方法有很多，Ring3下一般有调用CreateRemoteThread函数远程DLL或代码注入：调用Set WindowsHookEX安装键盘钩子记录按键GetKeYboardState、RawInPutThread或BlockInPut（）API。而在Ring0下有kbfiltr;IDTHook文件补丁技术直接IO端口，或者修改DDK中自带的kbfilter的键盘（Port Driver）过滤驱动。