Windows RootKit检测与取证技术研究

文章首先对近几年来Windows RootKit检测技术的发展和研究进行了描述,接着对当前常用的RootKit检测工具及其检测方法做了介绍,进而探讨了Windows RootKit的取证与分析方法,以期对当前计算机取证人员有效解决Windows RootKit检测和取证提供一些借鉴。

Rootkit的检测与取证分析

Rootkit是目前难以检测、清除、防范和破坏性强的恶意程序。通过分析Rootkit的内核机制,给出检测Rootkit的基本方法,以应用于Rootkit防范和取证分析。

Windows RootKit检测与取证

首先对近几年来windows RootKit检测技术的发展和研究进行了描述,接着对当前常用的RootKit检测工具及其检测方法做以介绍,进而探讨了Windows RootKit的取证与分析方法,以期对当前计算机取证人员有效解决Windows RootKit检测和取证提供一些借鉴。

Windows内核级Rootkits隐藏技术的研究

随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模块整体移位、内核线程注入、IRP深度内联Hook 3种技术为一体的Rootkits隐藏技术体系。实验结果显示,基于该隐藏技术体系所实现的Rootkits能够很好地躲避专业的Anti-rootkits工具(如Rootkit Unhooker和冰刃)的检测,从而充分表明了这种三位一体的Rootkits隐藏技术体系的有效性。

硬件虚拟化rootkit检测方法研究综述

随着虚拟化技术的发展及其在云计算中的广泛应用,传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击,研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足,分析了现有的HVMR检测方法,包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法,以及基于指令计数的监测方法等。总结了这些检测方法的优缺点,并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法,分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法,同时也预测了未来虚拟化检测技术的发展方向。

一种基于交叉视图的Windows Rootkit检测方法

Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患。首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交叉视图的Windows rootkit检测方法。这种方法通过比较从系统高层和底层获得的进程列表,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得。最后,利用这种方法实现了一个Windows rootkit检测工具VI-TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能。

Kernel Rootkits Implement and Detection

Rootkits, which unnoticeably reside in your computer, stealthily carry on remote control and software eavesdropping, are a great threat to network and computer security. It＇s time to acquaint ourselves with their implement and detection. This article pays more attention to kernel rootkits, because they are more difficult to compose and to be identified than useland rootkits. The latest technologies used to write and detect kernel rootkits, along with their advantages and disadvantages.

Unix/Linux中rootkit的防范和检测

分析了rootkit的工作原理,讨论了预防和检测rootkit的方法,并提出Unix/Linux系统在感染root-kit后可采取的系统恢复措施.

Rootkit研究综述

Rootkit是一种持久且难以察觉地存在于网络系统中的恶意代码,通过修改操作系统内核或更改指令执行路径,为攻击者提供隐匿自身、维持访问和软件窃听功能,已造成了严重的网络安全威胁。该文首先介绍了Rootkit的基本定义与演化过程,其次剖析了Windows系统中与Rootkit密切相关的内核组件和Rootkit的工作机制;然后讨论了Rootkit防御机制与检测方法;最后探讨了Rootkit的发展趋势和Rootkit防御的进一步研究方向。

一种防范Rootkit入侵的内核模块加载机制

内核级Rootkit是破坏内核完整性的最大威胁,它通常通过冒充或篡改合法模块加载到内核。在对内核级Rootkit防范技术进行对比分析的基础上,提出一种认证和检测相结合的内核模块加载机制,该机制将内核模块区分为信任模块和非信任模块,加载前者时首先验证其完整性,加载后者时,验证其身份和完整性,并实时检测其对内核数据的修改。实验表明,该机制能防范内核级Rootkit通过内核模块方式入侵。

一种自动检测内核级Rootkit并恢复系统的方法

Rootkit是黑客入侵系统后保留后门常用的一项技术。目前不存在一种能自动检测内核级rookit并恢复系统的方法。该文在详细剖析内核级rootkit原理的基础上,提出了一种自动检测内核级rootkit并恢复系统的方法。该方法不仅对目前出现的所有内核级rootkit有效,而且考虑了将来可能出现的更高级的rootkit。

基于VMM的Rootkit及其检测技术研究

借助虚拟化技术,Rootkit隐藏能力得到极大提升,基于VMM的Rootkit的研究成为主机安全领域的热点。总结了传统Rootkit的隐藏方法和技术瓶颈,介绍了VMM的自身优势和软、硬件实现方法,分析了不同VMM Root-kit的设计原理和运行机制。针对VMM存在性检测的不足,阐述了一种新的VMM恶意性检测思路,同时讨论了VMM Rootkit的演化方向,并从防护的角度提出了一些安全使用虚拟化技术的建议。

Windows Rootkit隐藏技术研究

Rootkit是恶意软件用于隐藏自身及其他特定资源和活动的程序集合。该文分析和研究现有的针对Windows系统的代表性Rookit隐藏技术,将其总结为2类:通过修改系统内核对象数据实现隐藏和通过修改程序执行路径实现隐藏。说明并比较了相应的技术原理,展望了Rootkit隐藏技术未来的发展趋势。

Windows Rootkit病毒进化与检测

Rootkit作为恶意软件的一个特定类型,是近年来国内外计算机安全领域热门的研究课题。本文介绍了Windows Rootkit技术的发展,概括了常见的Windows Rootkit技术实现及检测方法,并利用一些系统分析工具的分析结果来帮助大家理解这些概念。

Windows Rootkit隐藏技术与综合检测方法

针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术(包括DKOM和各种钩子),指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明,该方法达到较好的检测效果,可以对目前大多数Rootkit行为进行检测。

Rootkit隐藏技术与检测方法研究

近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势.

一种新的注册表隐藏Rootkit检测方案

为了检测通过篡改注册表文件而实现潜行于操作系统的Rootkit,分析了常见的Rootkit注册表隐藏技术以及相应的检测技术,并指出了当前检测技术存在的缺陷.在分析注册表文件的格式以及注册表操作控制流程的基础上,设计并实现了一种新型的注册表隐藏Rootkit检测方案.通过模拟win32系统底层枚举注册表键值的流程,获取真实有效的注册表键值,从而检测出隐藏的Root-kit.同时,在遍历注册表键值时使用了二叉搜索树算法以提高检测效率.试验表明该方法能准确并快速地检测出使用了注册表隐藏技术的Rootkit.

基于符号执行的内核级Rootkit静态检测

Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集。加载入系统内核的内核级Rootkit使得操作系统本身变得不可信任,造成极大安全隐患。构建了一个完整的通过静态分析检测内核级Rootkit的模型,构造了描述Rootkit行为的普遍适用的定义并证明了其充分必要性,采用符号执行法进行静态分析,利用污点传播机制,针对模型特点对分析过程进行优化。基于这个模型的内核级Rootkit检测具有高准确性和较好的前瞻性。

一种基于交叉视图的Windows Rootkit检测方法

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。

Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。