欢迎来到天天文库
浏览记录
ID:27983494
大小:24.83 KB
页数:6页
时间:2018-12-07
《windowsrootkitsof2005,partone(翻译》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、实用标准文案http://blog.csdn.net/coding_hello/archive/2007/06/14/1652815.aspxWindowsrootkitsof2005,partone(翻译)收藏 出于学习计算机和英语的目的,尝试翻译一些英文的技术帖,我尽量翻译准确,然而不能保证,感兴趣的请参看原文:http://www.securityfocus.com/infocus/1850阅读基础:保护模式,PE文件格式,设备驱动程序
2、 Windowsrootkitsof2005,partone JamesButler,SherriSparks2005-11-04 2005年,恶意软件技术达到了一个新的高度。随着一些使用windowsrootkit技术的新病毒、蠕虫、间谍软件以及广告软件等等的出现使得这种提高从来没有像现在这般明显。于是,了解它带来的威胁以及如何发现这种恶意用法的重要性日益增加。 本文将分3部分讨论ro
3、otkit。第一部分讨论什么是rootkit,以及为何rootkit这么危险。我们将从察看各种执行模型和访问内核的方法(如hook表,分层过滤驱动以及直接处理windows内核对象等)开始。第二部分讲述用虚拟内存hook进行高度隐秘活动的最新的windowsrootkit方法。最后讨论发现rootkit的各种方法以及专业的安全策略。Rootkit的定义 Rootkit是入侵者用来在计算机系统中隐藏自己的一个或一组程序,并且允许以后也能够访问该计算机。为了达到这个目的,rootkit修改了操作系统的
4、运行流程或者处理操作系统依赖的审查和记录的数据集。 Rootkit并不是exploit,而是入侵者在exploit之后使用的手段。通常,rootkit比exploit有趣些,甚至比0-dayexploit更有趣。大多数人很难接受这个现实,即我们的计算机系统总是会不断地被发现弱点,计算机的安全都是关于风险的管理。0-dayexploit只是一颗子弹,而rootkit则会带给我们更多的关于入侵者的信息,比如他扳动扳机的动机是啥。通过分析rootkit的行为,我们可以确定入侵者想窃取什么,他在与谁通讯,
5、以及入侵者的老练程度。不过,在我们分析为什么之前,先看看怎么做。特权模式(Privilegemodes) Windows被设计为安全的,健壮的系统,其内核必须被保护起来。但是用户程序需精彩文档实用标准文案要某些内核的功能。为了提供这些功能,Windows实现了2个运行模式:用户模式和内核模式。尽管Intel和AMD的CPU都支持4种特权模式来保护系统代码和数据不被恶意或者无意的更低的特权代码覆盖,但Windows现在只支持2种。 应用程序运行在用户模式下,用户模式的进程没有特权。
6、 内核模式是指被授权访问所有系统内存和所有处理器指令的运行模式。比如系统服务可以遍历运行在内核模式中的系统服务描述表(SSDT)。第三方设备驱动也是运行在内核模式,因为很多时候,他们必须访问低级的内核函数和对象以及硬件接口。 Windows标记访问每个内存页面需要的模式,但是内核状态下不限制其他内核模式的线程对其访问。 当我们把目光转向Windowsrootkis,我们很快就发现rootkit也分为2类,分别对应处理器的用户模式和内核模式。用户模式rootkit可以作为一个单
7、独的程序运行,也可以运行在一个已经存在的程序里。内核模式的rootkit则拥有操作系统的所有权力,可以破坏整个系统!执行路径钩子(Executionpathhooks) 为了改变操作系统的正常执行路径,rootkit使用了hook技术。现代操作系统中都被设计成有弹性,可扩展并且向后兼容,所以有很多地方可以hook。rootkit使用hook修改原始操作系统函数返回的信息。Windows操作系统中有很多表可以被hook,下面会列出一些。导入地址表钩子(Importeaddresstablehooks
8、) Windows被设计为与计算机硬件底层相关性极低,并且与其他操作系统环境兼容,如POSIX。同时也必须很灵活,即使升级了操作系统,应用程序开发人员也不必重写代码。Windows通过提供三个环境子系统达到这个目的。这3个子系统就是:Win32子系统,POSIX子系统和OS/2子系统。每个子系统都通过动态库来实现。这些子系统提供一个接口给内核下的系统服务。应用程序开发人员通过API来编写
此文档下载收益归作者所有
