基于虚拟机的 Rootkit 检测系统

内核级 Rootkit 位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁.目前基于虚拟机的 Rootkit 方面应用大都偏重于完整性保护,未对 Rootkit 的攻击手段和方式进行检测识别.文中在虚拟机框架下,提出了一种新型的 Rootkit 检测系统 VDR,VDR 通过行为分析可有效识别 Rootkit 的攻击位置方式,并自我更新免疫该Rootkit 的再次攻击.实验表明,VDR 对已知 Rootkit 的检测和未知 Rootkit 的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便.     

基于虚拟机架构的内核Rootkit防范方案

内核Rootkit是运行在操作系统内核空间的恶意程序,对系统安全构成巨大威胁。研究表明,内核Rootkit的共同特征是修改内核的程序控制流程。分析了Linux内核中影响程序控制流程的资源,并通过对这些资源进行保护,来防止Rootkit对内核控制流程的篡改。实验表明,该方法能够有效防止多种Rootkit对Linux内核的攻击。     

基于WindowsAPI调用机制的Rootkit检测系统的设计与研究

从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。     

基于VMM的Rootkit及其检测技术研究

借助虚拟化技术,Rootkit隐藏能力得到极大提升,基于VMM的Rootkit的研究成为主机安全领域的热点。总结了传统Rootkit的隐藏方法和技术瓶颈,介绍了VMM的自身优势和软、硬件实现方法,分析了不同VMM Rootkit的设计原理和运行机制。针对VMM存在性检测的不足,阐述了一种新的VMM恶意性检测思路,同时讨论了 VMM Rootkit的演化方向,并从防护的角度提出了一些安全使用虚拟化技术的建议。     

基于Kprobe的Rootkit检测机制

对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统中审计工具所得的结果进行交叉视图的比对得到被隐藏对象。在实验阶段选择几种现有流行的Rootkit安装,采用了基于Kprobe的检测方法,通过实验结果表明该机制具有良好的可靠性。     

基于新型VMI技术的内核Rootkit检测方案

随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。     

一种新的内核级Rootkit的检测方法*

对Rootkit 的基本概念进行了介绍,然后延伸至内核级Rootkit。在详细剖析内核级Rootkit 原理的基础上分析了其他检测Rootkit方法的局限性,提出一种新的方法。该方法分析内核模块加载时是否有可疑行为,结合对比system.map和kmem文件判断其是否为Rootkit。最后用实验证明了此方法的有效性。     

基于文件系统异常的内核级Rootkit检测

分析现有的两类Rootkit检测方法。根据内核级Rootkit在系统中的隐藏机制,提出了一种基于文件系统异常的有效检测方法。实验表明,该方法能够简便快捷地检测出内核级Rootkit的存在,帮助系统管理员进一步维护系统安全。     

Windows平台下Rootkit进程检测

Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果.     

基于VMM的Rootkit检测技术及模型分析

随着计算机网络的发展,信息安全已逐渐成为当今社会的主要问题之一。内核态 Rootkit 以其良好的隐蔽特性被广泛应用于恶意代码中,严重影响操作系统内核的完整性。文章首先对基于LKM的Linux主流Rootkit技术进行了归纳整理,剖析了当前基于VMM的Rootkit检测技术及模型的原理和架构,对“In-VM”、“In-VMM”和“In-Host”检测模型的有效性、实用性、可靠性等方面进行了讨论和对比分析,其中“In-VM”模型在Rootkit检测在有效性方面效果突出,而“In-Host”模型在实用性和可靠性方面效果较好,“In-VMM”作为二者的折中方案,其各方面特性相对均衡。基于VMM的Rootkit检测技术及模型的分析,为明确该领域的研究方向及进一步研究提供参考依据。     

一种基于交叉视图的Windows Rootkit检测方法

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。     

虚拟化环境下基于职能分离的Rootkit检测系统架构研究

针对现有虚拟化环境下Rootkit检测技术易被绕过、性能开销大的问题,提出了虚拟化环境下基于职能分离的检测系统架构XenMatrix,其在保证检测系统透明性的同时提高了自身的安全性;设计了检测频率的自适应调整策略,实现了Rootkit检测频率的动态调整,有效降低了系统的性能开销。最后对实验结果的分析表明,相比现有检测技术,该原型系统能够有效检测Rookit,具有较高的检测率和较低的性能开销。     

基于Linux系统调用的内核级Rootkit技术研究

系统调用是用户程序和操作系统进行交互的接口.劫持系统调用是内核级Rootkit入侵系统后保留后门常用的一项的技术.研究Linux系统调用机制及系统调用劫持在内核级Rootkit中的应用可以更好地检测和防范内核级Rootkit,使Linux系统更加安全.文中在分析Linux系统调用机制的基础上,研究了内核级Rootkit劫持系统Linux系统调用的5种不同方法的原理及实现,最后针对该类内核级Rootkit给出了3种有效的检测方法.在检测过程中综合利用文中提出的几种检测方法,能提高Linux系统的安全性.     

Windows系统Rootkit检测技术研究

Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段.通过研究Windows下的Rootkit技术原理及检测技术,给出具体实现方法.     

Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。     

基于协同特征的BIOS Rootkit检测技术

对木马模型框架的理论及其协同隐藏模型进行研究和分析,给出BIOS Rootkit协同隐藏模型的具体形式化描述,提出一种在Windows环境下基于协同特征的BIOS Rootkit检测技术。针对现有BIOS Rootkit检测技术存在能查但不能正常恢复的问题,采用搜索特征码并动态恢复的技术解决。实验结果表明,该检测技术具有良好的可靠性、检测效率和完整性。     

Android系统Rootkit技术综述

Rootkit秘密修改操作系统的代码和数据,给计算机系统带来严重威胁。随着操作系统在手机中的不断普及,智能手机也开始面临这一威胁。以Android智能手机系统为例,针对一种基于SMS(Short Messaging Service)的内核级Rootkit技术的实现原理与攻击行为进行了分析研究,并提出EPA(Executive Path Analysis)等三种相应检测技术。     

Windows 下EPA技术的研究与改进

本文对Windows下rookit的几种检测技术进行了比较和研究,并着雷分析了基于可执行路径分析(EPA)技术.同时还讨论了其在Win2k下的代码实现,并提出改进方案.