Linux系统下Rootkit检测方法探讨

Rootkit是一种能够很好的隐藏自己、难以被检测出来的恶意软件.介绍了Linux下Rootkit的工作机制,分别给出了检测用户模式Rootkit和内核模式Rootkit的实用方法.     

一种双重防范Rootkit的方法

提出了一种双层检测Rootkit的方法,通过对用户层的Rootkit和驱动层的Rootkit双层检测并结合现有的高效检测技术(Callstack技术),实现了一种全面高效的检测手段,从而减轻木马、病毒对计算机的危害,以达到防范更多的Rootkit.     

Rootkit特征与检测

目前还没有对检测危害计算机系统安全的Rootkit形成一种标准化的方法。当前检测Rootkit的方法也很有限。本文详细介绍了Rootkit的原理和现有检测Rootkit工具的工作机制。并且针对一些典型Rootkit给出了检测结果。     

基于Linux系统调用的内核级Rootkit技术研究

系统调用是用户程序和操作系统进行交互的接口.劫持系统调用是内核级Rootkit入侵系统后保留后门常用的一项的技术.研究Linux系统调用机制及系统调用劫持在内核级Rootkit中的应用可以更好地检测和防范内核级Rootkit,使Linux系统更加安全.文中在分析Linux系统调用机制的基础上,研究了内核级Rootkit劫持系统Linux系统调用的5种不同方法的原理及实现,最后针对该类内核级Rootkit给出了3种有效的检测方法.在检测过程中综合利用文中提出的几种检测方法,能提高Linux系统的安全性.     

基于虚拟机的 Rootkit 检测系统

内核级 Rootkit 位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁.目前基于虚拟机的 Rootkit 方面应用大都偏重于完整性保护,未对 Rootkit 的攻击手段和方式进行检测识别.文中在虚拟机框架下,提出了一种新型的 Rootkit 检测系统 VDR,VDR 通过行为分析可有效识别 Rootkit 的攻击位置方式,并自我更新免疫该Rootkit 的再次攻击.实验表明,VDR 对已知 Rootkit 的检测和未知 Rootkit 的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便.     

基于行为特征的BIOS Rootkit检测

针对BIOS Rootkit难以检测的问题,提出一种基于行为特征的BIOS Rootkit的检测方法.该方法通过研究BIOS Rootkit工作原理和实现技术,对BIOS Rootkit的行为特征进行归纳、定义和形式化描述,在反编译的过程中提取行为,根据提取的行为构成BIOS Rootkit的完整程度进行恶意性判定.实...     

一种新的内核级Rootkit的检测方法*

对Rootkit 的基本概念进行了介绍,然后延伸至内核级Rootkit。在详细剖析内核级Rootkit 原理的基础上分析了其他检测Rootkit方法的局限性,提出一种新的方法。该方法分析内核模块加载时是否有可疑行为,结合对比system.map和kmem文件判断其是否为Rootkit。最后用实验证明了此方法的有效性。     

Windows平台下Rootkit进程检测

Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果.     

Rootkit隐藏技术与检测方法研究

近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势.     

蜜网系统在检测新型Rootkit中的应用

文中对Rootkit的攻击原理进行分析,提出一种检测和分类Rootkit类型的新方法,提供给系统管理员和安全研究人员分析Rootkit特征的能力.同时研究了蜜网系统的体系结构及关键技术,并提出了蜜网系统在检测新型Rootkit中的一种应用,收集攻击者入侵后的活动数据并进行分析.所设计的系统在检测新型Rootkit方面运行良好.