Windows内核级Rootkits隐藏技术的研究

随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模块整体移位、内核线程注入、IRP深度内联Hook 3种技术为一体的Rootkits隐藏技术体系。实验结果显示,基于该隐藏技术体系所实现的Rootkits能够很好地躲避专业的Anti-rootkits工具(如Rootkit Unhooker和冰刃)的检测,从而充分表明了这种三位一体的Rootkits隐藏技术体系的有效性。

系统服务Rootkits隐藏行为分析

用挂钩系统服务来实现进程、文件、注册表、端口等对象的隐藏是最常见的rootkits实现方式。然而大量的检测方法并不能将rootkits和其所隐藏的对象对应起来。本文分析了用户层和内核层系统服务rootkits的隐藏行为,建立了6种模型。在检测出系统服务rootkits的基础上,提出了一种分析其二进制执行代码,匹配模型,找出隐藏对象的方法,实现了一个隐藏行为分析原型。实验结果证明这种隐藏行为分析方法能有效分析出隐藏对象。

智能手机Rootkits原理与检测

Rootkits通过秘密修改操作系统内核代码和数据,给系统安全带来严重威胁。随着操作系统在手机中的不断普及,智能手机也开始面临这一威胁。针对智能手机中Rootkits的技术原理与攻击行为进行分析,并提出相应的检测技术。

Kernel Rootkits Implement and Detection

Rootkits, which unnoticeably reside in your computer, stealthily carry on remote control and software eavesdropping, are a great threat to network and computer security. It＇s time to acquaint ourselves with their implement and detection. This article pays more attention to kernel rootkits, because they are more difficult to compose and to be identified than useland rootkits. The latest technologies used to write and detect kernel rootkits, along with their advantages and disadvantages.

Windows Rootkits隐身技术的分析

详细描述Windows存取系统资源过程,分析流行Rootkits常用拦截、入侵系统的手段。

基于免疫机理的Rootkits检测模型

针对当前Rootkits类型的恶意代码数目剧增且隐匿于系统内核而使传统反病毒技术难以检测的问题,受生物免疫系统的启发,提出了一种基于免疫机理的Rootkits检测模型IMRD(immunity-inspired model for Rootkits detec-tion)。该模型将进程运行时在内核模式中所产生的动态IRP(I/O request packets)请求序列提取为抗原,将系统中干净正常的良性程序定义为自体,将已知的Rootkits恶意代码定义为非自体。通过对Rootkits恶意代码进程行为监控和家族基因分析来监视Rootkits恶意代码演化,通过疫苗接种、克隆选择、基因进化等方式来学习与进化识别未知Ro-otkits并提取它们的基因以更新抗体基因库。理论分析与实验表明:该模型对于未知Rootkits的检测率较高,误报率和漏报率较低。

基于关联技术检测Rootkits的方法与实现

文本分析了当前Rootkits实现技术和对Rootkits恶意程序检测方法的局限性,提出了基于关联检测技术对Rootkits进行更全面检测的方法,用于克服传统安全软件对Rootkits检测方法单一、病毒库更新滞后等所带来的相关安全问题。

SMM Rootkits．一种操作系统独立的新型恶意软件

我们通常所说的Rootkit，是一组以合法用户的身份开始，可以颠覆、进而控制操作系统运行的程序。如果此时有人要让我说出病毒和蠕虫的一个明显特征．我想到的第一个词就是“复制”（replication）。同样的问题对于Rootkit，特征就是“隐蔽”（stealth）。病毒会不断复制自身，而Rootkit则尽力保持隐蔽。

Rootkits技术：智能手机的攻击与启示

由于高级计算、通信硬件成本的下降，使得厂商越来越多地在智能手机上应用这些设备。反过来，配备这些高级功能的智能手机也很受到大众的喜爱。在2007年，智能手机的销售量超过了115百万部。单独就包含高级硬件和移动应用程序的iPhone而言，在推出的74天里共销售了100万台。

MBR Rootkits：一种新型Rootkits恶意软件带来的挑战

隐形恶意软件与安全软件之间的战争进入白热化状态，当前的恶意软件已进入了一个崭新的阶段．深入到了当前的最底层．即主引导扇区MBR层次。基于MBR的Rootkit又名Mebroot，早期测试版最早出现在2007年12月，随后迅速演化成一款具有完整功能的恶意软件产品。

基于新型VMI技术的内核Rootkit检测方案

随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。

自动探测和保护确保内核完整性

内核rookits攻击对内核完整性构成致命威胁,因此对内核rootkits探测和防护确保内核完整性是当前研究的热点,然而现有的研究总存在不足:要么侧重内核rootkits防护,要么侧重内核rootkits探测,并未将两者相结合确保内核完整性。鉴于此,本文将探测和保护相结合形成一个自动联动机制,从而构成了基于探测保护的一体化系统ADPos来确保内核完整性。实验表明ADPos系统既能自动全面有效地探测与防护,而且又不牺牲系统性能为代价,并且兼容多种OS系统、同时防零日攻击。

互联网络攻击的控制与防范

计算机网络的攻击技术越来越成熟 ,新一代的攻击目标直指互联网基础协议TCP/IP和操作系统层次 ,本文介绍了主动式Sniffer、内核rootkits、Sniffer/Backdoors、DRDoS等新出现的网络攻击技术 ,分析了其原理和特性 ,着重介绍了与传统攻击手段的不同之处 ,提出了应对网络攻击、加强网络安全防范、健全网络安全体系的五项措施 ,为解决网络安全做出了有益的探索。

基于TWPos内核完整性保护

内核rookits攻击对内核的完整性构成致命威胁,因此对内核rootkits防护是内核完整性保护的重点。当前研究主要侧重于内核rootkits探测和防护,不足之处在于:1)rootkits防护存在单一保护模式;2)内核rootkits探测只能做探测使用,即便发现内核已经受到攻击,也无能为力。鉴于这种情况,该文设计了一种内核完整性保护方法,采用安全认证保护和探测恢复两种方式(TWPos)保护操作系统,同时具备探测和防护能力,即便内核受到攻击也能进行恢复。实验表明,TWPos系统既能全面有效的防护,而且又不牺牲系统性能,并且兼容多种OS系统。

Rootkit研究综述

Rootkit是一种持久且难以察觉地存在于网络系统中的恶意代码,通过修改操作系统内核或更改指令执行路径,为攻击者提供隐匿自身、维持访问和软件窃听功能,已造成了严重的网络安全威胁。该文首先介绍了Rootkit的基本定义与演化过程,其次剖析了Windows系统中与Rootkit密切相关的内核组件和Rootkit的工作机制;然后讨论了Rootkit防御机制与检测方法;最后探讨了Rootkit的发展趋势和Rootkit防御的进一步研究方向。

硬件虚拟化rootkit检测方法研究综述

随着虚拟化技术的发展及其在云计算中的广泛应用,传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击,研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足,分析了现有的HVMR检测方法,包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法,以及基于指令计数的监测方法等。总结了这些检测方法的优缺点,并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法,分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法,同时也预测了未来虚拟化检测技术的发展方向。

Linux系统调用劫持:技术原理、应用及检测

系统调用劫持是黑客入侵系统后保留后门常用的一项技术。文章提出了利用可装入内核模块修改系统调用表和中断描述符表两种实现Linux系统调用劫持的方法,探讨了系统调用劫持技术在rootkit、入侵检测等方面的应用,并给出了利用kmem进行系统调用劫持检测的一般方法。该文的分析基于Intelx86平台上的2.4内核。

基于远程线程注入的进程隐藏技术研究

Windows系统平台下的进程隐藏方法中远程线程注入技术比较常见,但常规的远程线程注入技术难以避过安全检测技术的检测。针对于此,提出了基于APC机制的远程线程注入技术,通过利用APC机制实现新的攻击策略,以达到进程隐藏的目的。并在分析技术原理基础上,针对该技术改进了安全检测方案。在实际检测中该攻击方法隐蔽性更强,能有效对抗常规的安全检测技术。

一种基于交叉视图的Windows Rootkit检测方法

Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患。首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交叉视图的Windows rootkit检测方法。这种方法通过比较从系统高层和底层获得的进程列表,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得。最后,利用这种方法实现了一个Windows rootkit检测工具VI-TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能。

一种自动检测内核级Rootkit并恢复系统的方法

Rootkit是黑客入侵系统后保留后门常用的一项技术。目前不存在一种能自动检测内核级rookit并恢复系统的方法。该文在详细剖析内核级rootkit原理的基础上,提出了一种自动检测内核级rootkit并恢复系统的方法。该方法不仅对目前出现的所有内核级rootkit有效,而且考虑了将来可能出现的更高级的rootkit。