返回
rootkit恶意软体之隐藏和侦测技术

rootkit恶意软体之隐藏和侦测技术

ID:21084333

大小:1.32 MB

页数:31页

时间:2018-10-19

rootkit恶意软体之隐藏和侦测技术_第1页
rootkit恶意软体之隐藏和侦测技术_第2页
rootkit恶意软体之隐藏和侦测技术_第3页
rootkit恶意软体之隐藏和侦测技术_第4页
rootkit恶意软体之隐藏和侦测技术_第5页
资源描述:

《rootkit恶意软体之隐藏和侦测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Rootkit惡意軟體之隱藏及偵測技術大葉大學資訊管理學系曹偉駿副教授2008/03/07大綱研究背景與動機研究目的文獻探討新型的LinuxKernelModeRootkit研製實驗設計與分析結論與未來發展方向大葉大學資訊管理系2研究背景與動機(1/2)近年來,惡意軟體(Malware)包括病毒、木馬以及間諜程式日益盛行道高一尺,魔高一丈,一種稱為Rootkit的技術正威脅著系統,並且讓系統的安全檢測變得更加困難,甚至無從下手Rootkit的高深隱藏技術常被許多惡意程式用來躲過防毒軟體或防惡意軟體程式的監控大葉大學資訊管理系3研究背景與動機(2/2)2005

2、年SonyBMG音樂光碟使用Rootkit技術,來保護防盜拷軟體不被使用者任意移除,引來人們對Rootkit的注意專門討論Rootkit的論壇誕生http://www.rootkit.comRootkitDetectors問世,這些Detectors夠好嗎?老大的姿態自居?有些機構如HoneynetProject或軍方,透過網路竊取情報時,需要高隱藏技術大葉大學資訊管理系4研究目的若想研製具有高準確度之偵測機制,必需探究Rootkit的製作流程、技術及特徵,才能有效率的防患於未然開發出一套新型的LinuxKernelModeRootkit且能不被現有的偵測方

3、法所偵測到,激勵RootkitDetectors能改進其缺失經由研究變種Rootkit的心得,研製比市面上更強的Detector,其偵測方法希望能觸發Detector研發者新的想法,並能縮短開發新版本的時間大葉大學資訊管理系5文獻探討(1/11)惡意程式碼決策流程圖大葉大學資訊管理系6文獻探討(2/11)Rootkit的探討Rootkit出現二十世紀90年代初,rootkit這個名詞,來自root與kit兩個字的結合。Rootkit是一套可以讓攻擊者取得受害電腦最高權限的工具,攻擊者利用root權限隱藏與電腦的溝通,不讓管理者發現。大葉大學資訊管理系7文獻探

4、討(3/11)Rootkit類型諸如Windows或Linux等作業系統都有「使用者模式」(usermode)和「核心模式」(kernelmode)等執行模式。大葉大學資訊管理系8文獻探討(4/11)UserModeRootkit攻擊者以Rootkit中的木馬程式來替換系統中正常的應用程式與系統檔案。大葉大學資訊管理系9文獻探討(5/11)KernelModeRootkit透過操作與利用kernel,已成為最難被發現的Rootkit,因為它能夠在應用層檢查中,建立一條繞過檢驗的通道。大葉大學資訊管理系10文獻探討(6/11)KernelModeRootkit

5、修改系統呼叫表大葉大學資訊管理系11文獻探討(7/11)Rootkit技術隱藏檔案正常系統呼叫函數替換成Rootkit的系統呼叫函數隱藏程序程序的記錄訊息會存放於檔案系統中的〝/proc〞,改變sys_getdents()系統呼叫函數隱藏網路連接網路連結會記錄在〝/proc/net/tcp〞與〝/proc/net/udp〞這兩個檔案之中,改變sys_read()系統呼叫函數重定向檔案設置將正常sys_execve系統呼叫函數替換為Rootkit的系統呼叫函數InlineFunctionHookingHoglund、Butler兩學者提出,主要是利用繞道(Ru

6、ntimePathing)技術大葉大學資訊管理系12文獻探討(8/11)InlineFunctionHooking程序大葉大學資訊管理系13文獻探討(9/11)現有的KernelModeRootkitKnark安裝於系統核心模組時,將會隱藏監聽網路封包之檔案且改變八個系統呼叫:fork、write、close、clone、kill、mkdir、clone與getdents供攻擊者取得較多的系統控制權特性隱藏檔案或目錄、隱藏TCP或UDP連接、程序執行重定向、非授權的用戶權限增加、隱藏正在執行的程序Adore具有KernelModeRootkit的主要功能,如

7、隱藏檔案、隱藏程序、隱藏網路連結與重定向檔案設置等一個非常強大的功能:root許可權後門程式大葉大學資訊管理系14文獻探討(10/11)現有的偵測技術特徵偵測(Signaturebaseddetection)鑑別Rootkit的特徵(Chkrootkit)行為偵測(Behavioraldetection)搜尋Rootkit程式隱藏的元素,包括檔案或記錄(VICE、Patchfinder)完整性偵測(Integritybaseddetection)對系統中的檔案與目錄建立一個比對資料庫(Tripwire)硬體式偵測(Hardwaredetection)透過外接

8、周邊設備方式安裝在電腦PCI插槽中,對Rootkit

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。