Linux虚拟文件系统分析

首先简要地介绍Linux系统中虚拟文件系统（VFS）的分层抽象,然后详细分析VFS通用模型中的四个对象类型及内核中实现它们的数据结构,最后介绍它们之间是如何联系起来的。通过对其分析,使读者加深对VFS系统的理解。     

一种基于NDIS驱动程序实现隐蔽通道的方法

提出一种基于网络驱动程序(NDIS)来实现隐蔽通道的方法.通过在Windows系统内核中实现自定义网络协议来建立一个隐蔽通道,使应用程序可利用该协议绕开防火墙监控实现与外界通信.实验证明该方法实现的网络协议层次低,隐蔽效果好.     

检测Linux下的VFS型内核后门软件

近年来在Linux操作系统中出现了入侵Linux内核VFS（虚拟文件系统）驱动程序的后门技术。使用该技术的后门软件能逃脱所有现有的后门检测技术,给Linux系统的安全带来了极大危害。通过分析该后门技术和Linux内核,设计实现了对该类后门软件的检测技术,其效果好于现有的后门检测软件。     

Linux环境下自制文件系统的VFS实现

通过改写VFS相关函数实现自制文件系统的Linux挂接,并能正确使用该文件系统对Linux下的/dev/ram设备模拟块设备操作,对其进行格式化并挂载到Linux目录树中,使得Linux能在该设备上进行文件的相关操作。     

Grid VFS中代理管理客户端磁盘缓存的设计与实现

设计并实现了在网格虚拟文件系统Grid VFS客户端采用代理管理磁盘缓存来隐藏网络延迟，提高网格数据利用率。此方法扩展了虚拟化分布式文件系统，提高了对网格资源有效完整的数据访问。在Grid VFS中，客户端代理动态地产生和管理磁盘缓存，每一个未修改的应用程序和OS都能应用，支持write-back策略、文件系统之间缓存的共享以及磁盘缓存的多级化，通过用户级VFS可以完整的集成到网格应用程序和资源中，从而提高了网格数据的访问性能。     

基于端信息跳扩混合的文件隐蔽传输策略

端信息跳扩混合技术是一种在端到端的网络数据传输中伪随机改变端信息,并利用端信息扩展序列实现高速同步认证的主动防御技术.将端信息跳扩混合技术引入文件隐蔽传输,研究了端信息跳扩混合网络环境下的文件隐蔽传输策略,提出组播时间校正方案,解决了通信过程中的同步问题;提出基于时间传输和基于传输大小传输的2种适用于端信息跳扩混合网络环境文件传输方案,并在文件传输过程中增加数据迁移技术,实现文件的隐蔽传输和完整性传输;设计实现端信息跳扩混合文件隐蔽传输原型系统并进行了有效性、安全性测试,实验结果表明：该文件隐蔽传输策略能够有效满足文件传输完整性和隐蔽性要求.     

Linux虚拟文件系统实现技术探讨

文章论述了Linux文件系统的逻辑关系和逻辑结构，对VFS中几个主要的数据结构进行了分析，剖析了Linux文件系统中一个物理文件系统的安装与注册、VFS的产生，以及通过VFS管理和访问物理文件系统的内核工作机制。     

网络隐蔽扫描技术研究

介绍了多种网络隐蔽扫描技术,并分析了各技术实现原理和优缺点,讨论了隐蔽扫描技术的发展过程及其对网络安全防护技术发展的影响,指出了隐蔽扫描技术的发展趋势,给出了一个隐蔽扫描系统模型并对其进行了简要描述。该系统建立了扫描策略组件库和操作系统及入侵检测系统知识库,能够进行扫描效果评估,并实现与漏洞扫描及攻击系统链接。     

嵌入式Linux文件系统剪裁方法研究

从三个方面(初始化、装载及内部实现)介绍了VFS的实现机制,提出嵌入式Linux文件系统的剪裁方法,并给出一个EXT2文件系统精简实例.     

基于GTALK即时通讯协议的隐蔽通道研究

针对现有基于公共网络通信协议的网络隐蔽通道易被检测的不足,详细分析了第三方即时通讯协议GTALK,利用GTALK文本消息通信模型,提出了一种基于GTALK即时通讯协议构建网络隐蔽通道的方法,给出了该隐蔽通道方案的详细设计和代码框架,GTALK协议本身的"合法性"为该隐蔽通道的伪装提供了有利条件。实验测试表明,该隐蔽通道具有良好的穿透性和隐蔽性。针对该隐蔽通道可能被恶意利用而带来的危害,给出了几点防御建议。     

硬件虚拟化rootkit检测方法研究综述

随着虚拟化技术的发展及其在云计算中的广泛应用, 传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击, 研究了传统rootkit检测方法在检测硬件虚拟化rootkit（HVMR）上的不足, 分析了现有的HVMR检测方法, 包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法, 以及基于指令计数的监测方法等。总结了这些检测方法的优缺点, 并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法, 分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法, 同时也预测了未来虚拟化检测技术的发展方向。     

一种基于JOP的rootkit构造方法

ROP是一种新的恶意代码构造方法,该方法可以利用系统中已有的代码来构造恶意程序,利用ROP构造的rootkit可以躲避目前已有的内核完整性保护机制的检测。由于ROP采用的以ret指令结尾的短指令序列具有一定的规律性,因此目前已经有很多防御手段能够对其进行防御。相比ROP而言,基于JOP[1]的rootkit构造方法没有明显的规律可言,因此目前针对ROP的防御手段都无法对其进行防御。此外,较传统的ROP而言该方法不会受限于内核栈的大小,而且构造过程中所使用到的数据在内存中的布局也比较灵活。     

内核脱钩技术在检测rootkit木马信息隐藏中的应用

简要讨论了Windows内核系统服务调用机制,分析了基于rootkit技术的木马通过内核态挂钩SystemServiceDispatch-Table隐藏各种敏感信息的一般原理.在检测SystemServiceDispatchTable挂钩隐藏注册表键值的基础上,提出两种内核检测脱钩方法,实现了对rootkit挂钩的有效检测与脱钩,确保了系统荻取注册表等敏感信息的完整性.     

Rootkit modeling and experiments under Linux

This article deals with rootkit conception. We show how these particular malicious codes are innovative comparing to usual malware like virus, Trojan horses, etc. From that comparison, we introduce a functional architecture for rootkits. We also propose some criteria to characterize a rootkit and thus, to qualify and assess the different kinds of rootkits. We purposely adopt a global view with respect to this topic, that is, we do not restrict our study to the rootkit software. Namely, we also consider the communication between the attacker and his tool, and the induced interactions with the system. Obviously, we notice that the problems faced up during rootkit conception are close to those of steganography, while however showing the limits of such a comparison. Finally, we present a rootkit paradigm that runs in kernel-mode under Linux and also some new techniques in order to improve its stealth features.     

Rootkit detection from outside the Matrix

The main purpose of this article is to present a secure engine which is specifically designed for a security analyst when studying rootkits and all kinds of programs which interact at a deep level with the operating system, including Anti-Virus, Personal Firewall and HIPS programs. State-of-the-Art algorithms for rootkit detection are pre- sented in this paper. Forensic techniques to monitor the system’s critical components and advanced heuristics are also used. This survey is based on a proof-of-concept human analysis framework which puts forward a reliable system for automatically gaining information about a rootkit and its interaction with the OS executive, but focuses on human decision as a detection process without the same limitations or constraints as product-oriented anti-rootkit programs. We use the new point of view provided by this framework to take a fresh look at heuristics and forensics which are currently used by rootkit detectors. Sébastien Josse is an I.T. consultant at Silicomp-AQL Security Evaluation Lab and also a Ph.D student EDX Polytechnique Doctoral School within the ESAT Virology and Cryptology Lab in Rennes sebastien.josse@esat.terre.defense.gouv.fr.     

Linux下基于可执行路径分析的内核 rootkit检测技术研究

如何检测系统是否被入侵者安装了rootkit是计算机安全领域中的重要问题。该文描述了一种基于可执行路径分析(EPA)的检测内核级rootkit的新技术,该技术利用处理器的单步执行模式,来测定系统内核中执行指令的数量,从而达到检测rootkit的目的。     

基于驱动的通用木马结构研究与设计

在对木马结构和各种内核级rootkit技术进行分析的基础上,提出一种模块化的基于驱动的通用木马结构,该结构能够融合各类内核rootkit,具有通用性,并能有效的将运行在用户态的木马主体部分和运行在内核态的驱动程序部分有机联系起来,驱动程序通过和用户态程序相互通信实现隐蔽通信和木马程序自身的隐藏.测试结果表明,该结构能够很好的支持驱动程序对包括进程、文件、注册表、服务等木马相关信息的隐藏.     

一种基于交叉视图的Windows Rootkit检测方法

Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患.首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交又视图的Windows rootkit检测方法.这种方法通过比较从系统高层和底层获得的进程列袁,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得.最后,利用这种方法实现了一个Windows rootkit检测工具Ⅵ一TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能.     

Linux系统调用劫持:技术原理、应用及检测

系统调用劫持是黑客入侵系统后保留后门常用的一项技术。文章提出了利用可装入内核模块修改系统调用表和中断描述符表两种实现Linux系统调用劫持的方法,探讨了系统调用劫持技术在rootkit、入侵检测等方面的应用,并给出了利用kmem进行系统调用劫持检测的一般方法。该文的分析基于Intelx86平台上的2.4内核。