Kernel Rootkits Implement and Detection

Rootkits, which unnoticeably reside in your computer, stealthily carry on remote control and software eavesdropping, are a great threat to network and computer security. It＇s time to acquaint ourselves with their implement and detection. This article pays more attention to kernel rootkits, because they are more difficult to compose and to be identified than useland rootkits. The latest technologies used to write and detect kernel rootkits, along with their advantages and disadvantages.

一种自动检测内核级Rootkit并恢复系统的方法

Rootkit是黑客入侵系统后保留后门常用的一项技术。目前不存在一种能自动检测内核级rookit并恢复系统的方法。该文在详细剖析内核级rootkit原理的基础上,提出了一种自动检测内核级rootkit并恢复系统的方法。该方法不仅对目前出现的所有内核级rootkit有效,而且考虑了将来可能出现的更高级的rootkit。

Windows下系统服务Rootkits的检测与恢复

Rootkits是入侵者隐藏踪迹和保留访问权限的工具集。修改操作系统内核的Rootkit称之为内核Rootkit,使操作系统本身变得不可信任,造成极大的安全隐患。针对系统服务的Rootkits是内核中最常见的Rootkits。分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复。

一种基于VMM的内核级Rootkit检测技术

针对云平台中的虚拟机内核级Rootkit破坏租户虚拟机完整性的问题,文章提出一种基于VMM(虚拟机监视器,Virtual Machine Monitor)的内核级Rootkit检测技术。该技术以在关键路径设置陷入点的方式构建TML(True Module List),得到虚拟机中真实的内核模块视图,在VMM层利用自下而上的调用方式获取虚拟机用户态视图,并在VMM层获取重构的虚拟机内核态视图,通过交叉对比这三个视图检测隐藏在虚拟机中的Rootkit。最后,利用该技术在KVM(基于内核的虚拟机,Kernel-based Virtual Machine)中实现了原型系统,实验结果表明系统能迅速准确地检测出虚拟机中的Rootkit,并依据TML报告内核级Rootkit的详细信息,系统的综合性能损耗在可接受范围内。

基于LKM的RootKit技术

后门技术是网络安全领域一个十分重要的研究对象。本文简要地介绍了传统后门技术和基于LKM的后门技术的区别,并详细分析了当前LKM rootkit广泛采用的一些技术手段。

Linux下VFS层Rootkit技术研究

Linux下VFS层rootkit隐藏层次深,查杀难度大。其典型应用adore-ng在实际使用时无法屏蔽卡巴斯基等实时监控软件,破坏隐蔽效果。针对该问题,运用系统调用修改和VFS写函数内容过滤2种方法,设计并实现了相应的改进方案。仿真实验结果表明,该方案易于实现、效果良好,可以有效提高adore-ng的隐蔽性能。

基于文件系统异常的内核级Rootkit检测

分析现有的两类Rootkit检测方法。根据内核级Rootkit在系统中的隐藏机制,提出了一种基于文件系统异常的有效检测方法。实验表明,该方法能够简便快捷地检测出内核级Rootkit的存在,帮助系统管理员进一步维护系统安全。

Android系统Rootkit技术综述

Rootkit秘密修改操作系统的代码和数据,给计算机系统带来严重威胁。随着操作系统在手机中的不断普及,智能手机也开始面临这一威胁。以Android智能手机系统为例,针对一种基于SMS(Short Messaging Service)的内核级Rootkit技术的实现原理与攻击行为进行了分析研究,并提出EPA(Executive Path Analysis)等三种相应检测技术。

Windows内核级Rootkits隐藏技术的研究

随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模块整体移位、内核线程注入、IRP深度内联Hook 3种技术为一体的Rootkits隐藏技术体系。实验结果显示,基于该隐藏技术体系所实现的Rootkits能够很好地躲避专业的Anti-rootkits工具(如Rootkit Unhooker和冰刃)的检测,从而充分表明了这种三位一体的Rootkits隐藏技术体系的有效性。

Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。

Windows Rootkit隐藏技术研究

Rootkit是恶意软件用于隐藏自身及其他特定资源和活动的程序集合。该文分析和研究现有的针对Windows系统的代表性Rookit隐藏技术,将其总结为2类:通过修改系统内核对象数据实现隐藏和通过修改程序执行路径实现隐藏。说明并比较了相应的技术原理,展望了Rootkit隐藏技术未来的发展趋势。

Windows平台下Rootkit进程检测

Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码。为了达到无法检测的目的,Rootkit必须使用进程隐藏技术。Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术。通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术。针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台。系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果。

一种基于交叉视图的Windows Rootkit检测方法

针对rootkit采用隐藏注册表达到隐藏自身的目的,从rootkit的自启动行为入手,提出了依据注册表隐藏信息检测rootkit的机制,并设计了一种基于交叉视图的Windows rootkit检测方法。这种方法通过比较从内核态和用户态枚举的注册表信息,从中检测出被rootkit隐藏的注册表项目,继而检测出rootkit。最后,通过一个代表性的实例验证了这种方法具有较好的检测效果。

基于结构体随机化的内核Rootkit防御技术

内核Rootkit对于操作系统来说是个严重的威胁.入侵者通过植入内核Rootkit,修改一些关键的内核结构体,实现恶意进程隐藏、日志文件删除、私密信息窃取等恶意行为.由于Rootkit主要通过篡改内核结构体对象来实现控制流截取,因此我们试图通过结构体随机化来防御这些入侵.在文中,作者提出了一种基于编译器的自动结构体随机化技术,解决了包括结构体的可随机化识别,随机化语义不变保护以及自动随机化等多个技术难题,最终利用随机环境下攻击者无法预知结构体域排列的特点,实现对内核Rootkit的防御.在实验环节,我们在被随机化的Linux系统中测试了已知的5种不同原理的8个真实的Rootkit,结果展示了我们的方法以几乎零负荷的代价防御了全部的Rootkit加载.

一种防范rootkit入侵的内核模块加载机制

内核级rootkit是破坏内核完整性的最大威胁,它通常通过冒充或篡改合法模块加载到内核,本文在对内核级rootkit防范技术对比分析的基础上,提出一种认证和检测相结合的内核模块加载机制,该机制把内核模块区分为信任模块和非信任模块,加载前者时首先验证其完整性,加载后者时,验证其身份和完整性,并实时检测其对内核数据的修改。实验表明,该机制能防范内核级rootkit的通过内核模块方式入侵。本文最后对该机制的优缺点及下一步研究方向进行了分析。

一种新的内核级Rootkit的检测方法

对Rootkit的基本概念进行了介绍,然后延伸至内核级Rootkit。在详细剖析内核级Rootkit原理的基础上分析了其他检测Rootkit方法的局限性,提出一种新的方法。该方法分析内核模块加载时是否有可疑行为,结合对比system.map和kmem文件判断其是否为Rootkit。最后用实验证明了此方法的有效性。

智能手机Rootkits原理与检测

Rootkits通过秘密修改操作系统内核代码和数据,给系统安全带来严重威胁。随着操作系统在手机中的不断普及,智能手机也开始面临这一威胁。针对智能手机中Rootkits的技术原理与攻击行为进行分析,并提出相应的检测技术。

KVM环境下内核级Rootkit检测及防护技术研究

虚拟化技术在云计算环境中已得到广泛应用,其安全性也越来越重要.当前,恶意代码攻击正向复杂性、隐蔽性和持久性等方向发展,已成为我国云基础设施面临的重要威胁之一.特别是在云数据中心大量采用Linux和基于内核的虚拟机(kernel-based virtual machine, KVM)虚拟化背景下,研究KVM虚拟化环境下Linux内核级Rootkit的检测及防护技术具有十分重要的意义.而当前基于虚拟化环境实现Rootkit检测和防护技术研究偏重于检测,在响应和保护阶段还比较缺乏.针对这一问题,提出一种KVM虚拟化环境下集内核级Rootkit安全检测、响应及主动防护的安全架构,并在KVM虚拟化平台中进行了验证.实验结果表明,该安全架构可以有效检测并防止客户虚拟机中内核级Rootkit的攻击.

基于虚拟机的Rootkit检测系统

内核级Rootkit位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁。目前基于虚拟机的Rootkit方面应用大都偏重于完整性保护,未对Rootkit的攻击手段和方式进行检测识别。文中在虚拟机框架下,提出了一种新型的Rootkit检测系统VDR,VDR通过行为分析可有效识别Rootkit的攻击位置方式,并自我更新免疫该Rootkit的再次攻击。实验表明,VDR对已知Rootkit的检测和未知Rootkit的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便。

基于Intel VT硬件虚拟化的Rootkit技术

Intel VT硬件虚拟化技术使Rootkit可以利用底层优势实现深度隐藏。首先结合木马协同隐藏的思想,提出了基于Intel VT硬件虚拟化的Rootkit(HVRootkit)的协同隐藏模型,并给出形式化描述;然后根据该模型,在深入分析进程切换过程和操作系统内核数据结构的基础上,设计并实现了HVRootkit原型,该原型能够监控系统进程的切换过程,并通过修改与内核层进程视图和用户层进程视图相关的数据结构,隐藏系统进程。实验表明,HVRootkit原型符合协同隐藏的思想,能够实现对进程的深度隐藏,隐藏性能明显优于传统的内核级Rootkit。