高级Windows 2000 Rootkit检测技术1

　　
　　摘要：本文描述了一种检测内核与用户级rootkit的新技术。此技术利用处理器的单步执行模式，来测定系统内核与DLL中执行指令的数量，从而达到检测rootkit和后门的目的。同时还讨论了其在Win2k下的代码实现。
　　
　　背景知识
　　一个在计算机安全领域中重要的问题是，如何判断给定的主机是否已被入侵。由于以下两点这项工作变的非常困难：
　　1、攻击者可以利用未知漏洞进入系统。
　　2、当进入系统后，入侵者可通过安装rootkit和后门来隐藏自身(例如：隐藏进程，通讯渠道，文件等)。本文将集中讨论在Win2K系统下rootkit的检测问题。
　　
　　传统rootkit检测技术中的一些问题
　　传统的rootkit检测程序(那些我们经常在UNIX系统中见到的)只能检测一些已知的rootkit(这点使它变的像反病毒程序)或进行一些内核存储的扫描。例如Linux中就有一些工具扫描内核中的syscall table。这显然不够好，因为已经有了很多并不更改syscall table的rootkit，而Win2k下也可开发出类似的rootkit。
　　那检测程序是不是还应该扫描内核代码空间?这样我们

页码：[1] [2] [3] [4] [5] [6] [7] [8] [9] 第1页、共9页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明