高级Windows 2000 Rootkit检测技术2

就有了一个运行在内核模式中的Tripwire。但这还不够好，因为在大多数的操作系统中，我们可以写出即不更改SST(syscall table)也不更改代码的内核级rootkit。在系统中有很多可以勾连的函数指针(例见[2])。
　　以我看，存储扫描技术决不会成为rootkit检测的终结。这主要是因为我们不能确定具体的监测存储区域。
　　那到底怎样检测出我们系统中的入侵者呢?
　　首先我们以rootkit中所使用的技术，将其分为两类：
　　*通过更改系统结构来隐藏某对象的(如运行的进程)和
　　*更改内核执行路径(例：勾连那些负责枚举活动进程的内核函数)来达到同样目的的。
　　
　　更改系统数据结构的rootkit
　　这类的rootkit不太多。有意思的例子包括fu rootkit(见[3])，通过删除内核中PsActiveProcessList链上的进程对象来隐藏进程。ZwQuerySystemInformation等函数是不能发现这些隐藏进程的。但同时，因为Windows的线程分派器(dispatcher， scheduler)使用另外的数据结构，这些"隐藏"进程仍可运行(被分配到CPU使用时间)。Windows的线程分派器使用以下三个(注1)数据结构：
　　
　　*pKiDispatcherReadyL

页码：[1] [2] [3] [4] [5] [6] [7] [8] [9] 第2页、共9页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明