基于vmm的rootkit及其检测技术研究

基于vmm的rootkit及其检测技术研究

ID:10849663

大小:962.88 KB

页数:0页

时间:2018-07-08

基于vmm的rootkit及其检测技术研究_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《基于vmm的rootkit及其检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第38卷第12期2011年12月计算机科学Vol.38No.12ComputerScienceDec2011基于VMM的Rootkit及其检测技术研究周天阳朱俊虎王清贤(解放军信息工程大学信息工程学院郑州450002)摘要借助虚拟化技术,Rootkit隐藏能力得到极大提升,基于VMM的Rootkit的研究成为主机安全领域的热点。总结了传统Rootkit的隐藏方法和技术瓶颈,介绍了VMM的自身优势和软、硬件实现方法,分析了不同VMMRoot-kit的设计原理和运行机制。针对VMM存在性检测的不足,阐述了一种新的VMM恶意性检测思路,同时讨论了VMMR

2、ootkit的演化方向,并从防护的角度提出了一些安全使用虚拟化技术的建议。关键词Rootkit,虚拟机监控器,检测,防护中图法分类号文献标识码TP309.5AResearchonVMM-basedRootkitanditsDetectionTechnologyZHOUTian-yangZHUJun-huWANGQing-xian(InstituteofInformationEngineering,PLAInformationEngineeringUniversity,Zhengzhou450002,China)Leveragingvirtualiz

3、ationtechnology,rootkithasimproveditsstealthcapabilitygreatly.ResearchonVMM-Abstractbasedrootkithasbecomethefocusincomputersecurityfield.Thispapersummarizedthetraditionalhiddenmethodsandthebottleneckofthein-boxtechnology,introducedtheadvantageofVMMatarchitectureandtheimplement

4、ationbasedonsoftwareandhardware,andthenanalyzedthedesignandoperationmechanismsofvariousVMMRootkits.InordertoresolvethelimitationofVMMexistencedetection,itproposedanewmethoddetectingmaliciousVMM.Inad-dition,thispaperdiscussedtheevolvementofVMMRootkit,andpresentedhowtoapplyvirtu

5、alizationtechniquessafelytodefendVMMRootkit.Rootkit,VMM,Detection,DefenceKeywordsRootkit技术可以帮助恶意代码隐藏程序属性和攻击行为,躲避反病毒软件的监控,Rootkit及其检测技术是业界关注的焦点。Rootkit一般通过挂钩程序执行路径(ExecutionPathHook)[1]、直接内核对象操纵(DirectKernelObjectMa-nipulation,DKOM)[2]技术篡改操作系统信息,消除入侵痕迹。Rootkit检测根据被修改的系统对象或行为,判别

6、Root-kit的存在。在操作系统内部,Rootkit技术受体系结构束缚,难以向深层发展。系统虚拟化技术改变了原有计算机的体系结构,虚拟机监控器(VirtualMachineMonitor,VMM)运行于主机硬件之上、操作系统之下,拥有最高特权级,操作系统无法感知自身真实的运行环境。将Rootkit嵌于VMM层,可以利用底层的优势实现深度隐藏。随着虚拟化技术的快速发展,研究人员针对不同虚拟化技术分别提出了3种VMMRootkit原型———Subvirt[3],BluePill[4]和Vitriol[5]。这些虽然只是概念验证原型,不具备任何功能性,

7、却在业界引起极大关注。近年来已有VMM检测技术研究,但同样存在相应的对抗方法。随着虚拟化技术的快速发展,虚拟化产品广泛普及,主机面临新型安全威胁,急需对VMMRootkit进行研究和分析,提出新型的检测思路和防护方法。1Rootkit概述Rootkit技术使恶意代码隐藏得更深,更容易躲避安全检测。传统Rootkit种类繁多,技术复杂。从用户应用层深入到操作系统内核层,采用的技术主要有以下两种:一是挂钩程序执行路径(Hook),其主要思想是修改程序执行逻辑,在调用路径的不同层次上,挂钩原有系统函数或指令代码,将其替换为Rootkit自有函数或恶意代码

8、,过滤系统返回信息,为程序执行者提供错误或虚假的结果。二是直接内核对象操纵(DirectKernelObjectManip

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。