返回
一种防范Rootkit入侵的内核模块加载机制

一种防范Rootkit入侵的内核模块加载机制

ID:44309471

大小:47.00 KB

页数:11页

时间:2019-10-20

一种防范Rootkit入侵的内核模块加载机制_第1页
一种防范Rootkit入侵的内核模块加载机制_第2页
一种防范Rootkit入侵的内核模块加载机制_第3页
一种防范Rootkit入侵的内核模块加载机制_第4页
一种防范Rootkit入侵的内核模块加载机制_第5页
资源描述:

《一种防范Rootkit入侵的内核模块加载机制》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一种防范Rootkit入侵的内核模块加载机制摘要:内核级Rootkit是破坏内核完整性的最大威胁,它通常通过冒充或篡改合法模块加载到内核。在对内核级Rootkit防范技术进行对比分析的基础上,提出一种认证和检测相结合的内核模块加载机制,该机制将内核模块区分为信任模块和非信任模块,加载前者时首先验证其完整性,加载后者时,验证其身份和完整性,并实时检测其对内核数据的修改。实验表明,该机制能防范内核级Rootkit通过内核模块方式入侵。关键词:Rootkit;内核级Rootkit;内核模块;LinuxDOIDOI:10.11907/rjdk.l51376中图分

2、类号:TP309.5文献标识码:A文章编号:16727800(2015)006017003作者简介作者简介:谈潘攀(1983-),女,湖南澧县人,硕士,成都师范学院计算机科学系讲师,研究方向为计算机网络、信息安全、信息技术。0引言在运行系统中动态加载或卸载内核模块是大部分现代操作系统具备的基本功能。Rootkit是攻击者向计算机系统中植入的、能够隐藏自身踪迹并保留超级用户访问权限的恶意程序[1]。它主要分为用户级和内核级两种,内核级Rootkit可入侵操作系统内核层,通常会在内核空间更改和插入执行代码,它是破坏内核完整性的最大威胁。利用模块机制是内核级R

3、ootkit入侵内核的常用手段。1传统模块加载机制安全弱点内核级Rootkit利用传统内核模块加载机制进入内核的方式主要有两种:一是冒充合法模块,系统管理员使用正常的加载命令将其加载到系统;二是修改静态内核模块文件,待系统重启后加载到系统。研究表明,为了达到入侵目的,其主要修改内核空间的下列关键数据:①系统调用函数;②系统调用表;③系统调用入口函数;④中断描述符表;⑤虚拟文件系统。2相关防范技术2.1驱动程序签名认证技术Windows采取驱动程序签名技术防范Rootkit⑵。为防止内核级Rootkit通过驱动程序方式加载到内核,驱动程序厂商首先需从认证中

4、心如erisign申请获得软件发布证书(SPC),厂商使用SPC对驱动程序签名,签名信息依据驱动程序类别的不同可以作为一个单独的文件存放,也可以嵌入到驱动程序文件映像中,签名后的驱动程序不能再被修改,否则验证签名会失败。当驱动程序加载到内核时,系统会认证驱动程序的证书和签名,只有证书的合法性和驱动程序的完整性验证均通过才能将驱动加载到内核。2.2内核密封技术Linux采用内核密封技术保护内核的安全性[3]。Linux使用一种被称为LIDS的工具保护安全性,LIDS采用能力机制实现了内核密封功能,只允许在系统启动时加载内核模块,系统运行时密封内核,包括ro

5、ot用户在内都不能为系统加载模块。密封内核是通过改变相应的能力位,使执行加载模块的进程都会被拒绝执行。密封内核后,除非利用lidsadm和口令,否则系统不允许改变能力位。2.3检测技术(1)检测文件完整性。部分检测工具通过检测文件的完整性以防范Rootkit,当测定文件被更改时,判定该文件为不安全文件,典型工具如Tripwire和AIDE。Tripwire的工作原理是对每个要监控的文件产生一个数字签名,保留下来,当文件当前的数字签名与保留的数字签名不一致时,则说明现在这个文件必定被改动过了。AIDE通过创建一个指定文件的数据库进行检测,数据库中包含了许多

6、文件的属性,如许可、节点数、用户、组、文件大小、创建时间、修改时间、访问时间等。系统管理员指定对哪些文件和目录进行跟踪加密校验。(1)检测内核地址。部分检测工具通过检测内核地址来检测是否感染Rootkit,当检测到内核地址发生改变后,判定内核已经感染Rootkito如Kern_check是一个针对重定向系统调用函数的对Rootkit进行检测的工具,其工作原理是通过比较当前内存中系统调用表(通过/dev/kmem)和Linux内核编译产生原始内核符号表来检测内核级Rootkit,该映射存于系统/boot/system.map,两个表的一些表项值不同表明系统

7、调用函数被重定向。3认证与检测相结合的内核模块加载机制通过对防范内核级Rootkit技术的综合分析可知,防范技术大致可以分为两类:一类是主动型,它要求抬高“门槛”,设置权限,防止内核级Rootkit冒充合法身份进入内核;另一类是被动型,它要求加强监测,通过检测相关数据的变化,判定是否发生Rootkit入侵。从防范手段上看,主动防范可以把不想加载的文件拒之门外,但同时也使合法的模块要加载到内核,也要多一道手续,给用户造成诸多不便;被动防范可以检测相关文件和数据的完整性情况,有助于保护系统认为重要的文件和数据,但被动防范是在Rootkit入侵之后,对系统已经

8、造成了破坏,并且随着更隐秘、更高级的入侵手段的出现,被动防范可能会束手无策。从防

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。