Windows rootkit 检测与取证 _原创精品文档.pdfVIP

Windowsrootkit检测与取证

摘要：首先对近几年来windowsRootKit检测技术的发展和研究进行了描述，接着对当前常用的RootKit检测工

具及其检测方法做以介绍，进而探讨了WindowsRootKit的取证与分析方法，以期对当前计算机取

证人员有效解决WindowsRootKit检测和取证提供一些借鉴。

关键词:WindowsRootKitRootKit检测RootKit取证

—、WindowsRootKit概述

程序，在其中过滤由系统返回的信息，分为用户空间挂

2005年10月，RootKitRevealer的作者钩和内核挂钩。用户级APIHook常见的方式有：修改

MarkRussinovich发现Sony公司使用RootKit以保程序导入地址表（ImportAddressTable,IAT)；修改

护其电子出版物不受盗版侵权Mark在他的Blog函数输出表（ExportAddressTable,EAT)；内核级

D

上指出Sony公司不仅在消费者毫不知情的情况下APIhook常见的方式有：修改系统服务描述SSDT

（既没有明确告知消费者，也没有在软件的服务条(SystemServiceDispatchTable)；修改中断IDT

款中提及）向消费者的电脑中安装了—个RootKit,(InterruptDescriptorTable)；驱动IRP句柄劫持；修

而且知情的攻击者还可以利用这个RootKit隐藏自改函数跳转。

己的工具。随后，RootKit引起了人们广泛关注。早期的RootKit会篡改某一内核代码区或覆盖某

Rootkit是黑客在入侵目标系统后，开辟后门和隐一已知的数据区来安装挂钩，这些已知的数据区包括

藏行为的技术或者是工具。当攻击者通过某种方式进服务描述表SSDT,程序导入地址表IAT,中断描述符表

入被入侵的系统并安装上RootKit就可以欺骗目标计IDT。当前的检测工具如VICE,SystemVirginity

算机的操作系统，从而达到隐藏所有修改并拥有操作Verifier和IceSword能进行所有代码区和已知数据区

系统控制权。WindowsRootKit的核心技术就是隐藏的完整性检测，能较好地检测这些早期的挂钩技术。

技术，隐藏的内容包括文件、目录、进程、注册表项、为躲避检测，近几年挂钩技术目标转向未知数据

网络端口、设备驱动器、网卡模式等。区的操作，尤其是在内核数据结构中改写函数指针。

RootKit最早出现于Unix系统中，随着计算机技HookFinder,K-Tracer,PoKeR系统采用事后分析的方

术的发展，现在多种操作系统平台中都出现了法，来研究钩子放在数据区的哪个区域。有大量的内核

RootKit。其中Windows系统上的RootKit技术，尤其对象和函数指针存在于内存中，事后分析方法有一定的

受到广泛重视，RootKit也分为几种：缺陷，SBCFI,Gibraltar,HookSafe和SFPD系统采用

(-)早期RootKit主动分析方法，强调检测操作系统并研究这些函数指

工作原理是把系统中的一些程序替换成恶意的版针在什么地方，如何被钩子使用的，从而制定新的

本，当这些替换的程序运行时，就会自动隐藏特定的对hook检测策略。

象。如称为RootKit之父的Cabanas病毒„