Windows下基于交叉视图的Rootkit进程隐藏检测技术

毕业论文声明本人郑重声明：1．此毕业论文是本人在指导教师指导下独立进行研究取得的成果。

除了特别加以标注地方外，本文不包含他人或其它机构已经发表或撰写过的研究成果。

对本文研究做出重要贡献的个人与集体均已在文中作了明确标明。

本人完全意识到本声明的法律结果由本人承担。

2．本人完全了解学校、学院有关保留、使用学位论文的规定，同意学校与学院保留并向国家有关部门或机构送交此论文的复印件和电子版，允许此文被查阅和借阅。

本人授权大学学院可以将此文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本文。

3．若在大学学院毕业论文审查小组复审中，发现本文有抄袭，一切后果均由本人承担，与毕业论文指导老师无关。

4.本人所呈交的毕业论文，是在指导老师的指导下独立进行研究所取得的成果。

论文中凡引用他人已经发布或未发表的成果、数据、观点等，均已明确注明出处。

论文中已经注明引用的内容外，不包含任何其他个人或集体已经发表或撰写过的研究成果。

对本文的研究成果做出重要贡献的个人和集体，均已在论文中已明确的方式标明。

学位论文作者（签名）：年月关于毕业论文使用授权的声明本人在指导老师的指导下所完成的论文及相关的资料（包括图纸、实验记录、原始数据、实物照片、图片、录音带、设计手稿等），知识产权归属华北电力大学。

本人完全了解大学有关保存，使用毕业论文的规定。

同意学校保存或向国家有关部门或机构送交论文的纸质版或电子版，允许论文被查阅或借阅。

本人授权大学可以将本毕业论文的全部或部分内容编入有关数据库进行检索，可以采用任何复制手段保存或编汇本毕业论文。

如果发表相关成果，一定征得指导教师同意，且第一署名单位为大学。

本人毕业后使用毕业论文或与该论文直接相关的学术论文或成果时，第一署名单位仍然为大学。

本人完全了解大学关于收集、保存、使用学位论文的规定，同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段保存或汇编本学位论文；学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版，允许论文被查阅和借阅。

RootKit文件隐藏技术实现
RootKit文件隐藏技术实现
作者：夜枫
作者机构：无
来源：黑客防线
年：2008
卷：000
期：004
页码：79-82
页数：4
中图分类：TP393.08
正文语种：CHI
关键词：RootKit;隐藏文件;隐藏技术;API函数;win32编程;当前目录;Hook;磁盘驱动
摘要：R00tKit隐藏文件的原理并不复杂，我们知道,win32编程中枚举一个目录下的文件通常是API函数FindFirstFile和FindNextFile两个组合起来，枚举到当前目录下的文件，而这两个APl实际对应的内核Native API是NtQueryDirectoryFile,所以我们只需要在内核Hook这个API函数，并做相应的处理就可以实现文件的隐藏。

当查到我们要隐藏的文件时，就在内核将这个文件剔除掉，所以FindFirstFile和FindNextFile实际得到的是我们已经剔除过的信息了，这样就不会被枚举出来了，也就看不到我们的文件了。

当然，这个方法是过不了反RootKit工具的，例如IceSword用的是直接和磁盘驱动通讯的方法获得到数据，所以R00tKit隐藏对于这类工具是无效的。

本栏目责任编辑：冯蕾网络通讯及安全Computer Knowledge And Technology 电脑知识与技术2008年第4卷第4期（总第31期）RootKit 攻防和检测技术张贵强1，李兰兰2（1.兰州石化职业技术学院，甘肃兰州730060；2.兰州大学，甘肃兰州730030）摘要：随着计算机网络技术的发展，网络安全问题越来越多的受到人们的关注，同时，也出现了各种类型的计算机病毒和木马程序。

最近，出现了一种特殊木马程序———Rootkit ，该文详细的介绍了Rootkit 的隐藏技术和检测方法。

关键词：Rootkit ；木马程序；网络安全；隐藏；检测中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)31-0838-02Defence and Detection Technology Against RootKitZHANG Gui-qiang 1,LI Lan-lan 2(Lanzhou Petrochemical College of Vocational Technology,Lanzhou 730060,China;nzhou University,Lanzhou 730030,China)Abstract:With the development of computer network,security of network attracts more and more attention.Meanwhile,all kinds of computer viruses and Trojan programs arised,inluding a special Trojan program:RootKit.A detailed introduction of hidden technology and detection method of RootKit has been put forward in this paper.Key words:rootkit;trojan program;network security;hidden technology;detection众所周知，木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给作者的一类病毒程序。

Rootkit的类型、功能及主要技术Rootkit 的类型小结1.固化Rootkits和BIOS Rootkits固化程序是存于ROM中，通常很小，使用系统硬件和BIOS 创建顽固的软件镜像。

将制定的代码植入到BIOS 中，刷新BIOS，在BIOS 初始化的末尾获得运行机会。

重启无用、格式化无用，在硬盘上无法探测，现有的安全软件将大部分的扫描时间用在了对硬盘的扫描上。

本文整理：（第三方信息安全网）/2 内核级Rootkits内核级Rootkits(Kernelland Rootkits)是通过修改内核、增加额外的代码、直接修改系统调用表、系统调用跳转(Syscall Jump)，并能够替换一个操作系统的部分功能，包括内核和相关的设备驱动程序。

现在的操作系统大多没有强化内核和驱动程序的不同特性。

许多内核模式的Rootkit 是作为设备驱动程序而开发，或者作为可加载模块，如Linux 中的可加载模块或Windows 中的设备驱动程序，这类Rootkit 极其危险，它可获得不受限制的安全访问权。

如果代码中有任何一点错误，那么内核级别的任何代码操作都将对整个系统的稳定性产生深远的影响。

特点：无进程；无端口。

与用户级Rootkit 相比，与操作系统处于同一级别，可以修改或破坏由其它软件所发出的任何请求。

3 用户态Rootkits用户态Rootkits(Userland Rootkits)是运行在Ring3 级的Rootkit，由于Ring3 级就是用户应用级的程序，而且信任级别低，每一个程序运行，操作系统给这一层的最小权限。

用户态Rootkit使用各种方法隐藏进程、文件，注入模块、修改注册表等。

4 应用级Rootkits应用级Rootkits 通过具有特洛伊木马特征的伪装代码来替换普通的应用程序的二进制代码，也可以使用Hook、补丁、注入代码或其它方式来修改现有应用程序的行为。

5 代码库Rootkits代码库Rootkits 用隐藏攻击者信息的方法进行补丁、Hook、替换系统调用。

Rootkit技术可以隐藏系统进程、系统文件、注册表、网络通信。

虽然Rootkit技术从1994年就开始迅速发展，但是直到2007年，国外的研究人员才开始把基于Windows启动过程的Rootkit检测技术与可信计算结合起来，从根源去解决这种攻击，但是这种检测思想实现难度大、成本高、通用性差，只能达到一个检测的目的，而不能真正的阻止这类Rootkit的运行。

2008年以后国内掀起了研究Rootkit技术的热潮，相继出现了Rootkit技术方面的成功实例。

其中包括：奇虎360公司的首席安全研究员李文彬于2008年6月提出了一种基于Boot．ini 的Rootkit-Tophet，并在其Blog中发表的一篇名为《 A new invisible Bootkit is on the way》的文章中进行了详细的描述，该Bootkit 技术能够绕过当前所有的防御软件。

在BIOS Rootkit的研究方面，国内起步较晚，相对成型的实例没有国外多。

国内目前在基于Windows 启动过程的Rootkit检测技术研究方面处于很初级的探索阶段，暂时还没有成型且可靠性高的检测技术出现，尤其在BIOS Rootkit的检测技术方面处于一个相对进展缓慢的状态。

国内还出现了通过TPM芯片去实现基于Windows启动过程的Rootkit的检测，这种检测方法的思想主要利用了可信计算的相关理论，能够检测出系统是否存在这类Rootkit，并且可以有效阻止Bootkit的运行，但是在BIOS Rootkit 的查杀方面可靠性不高，不能恢复操作系统的正常运行。

因此研究有效的并且可靠的检测和防御方法，对信启、安全技术的发展会起到很大的促进作用。

目前大部分的Anti Rootkit技术的实现都是使用了下列几种方法：Cross View(交叉检测技术）、基于行为的Rootkit检测技术和完整性校验技术。

而如今，Rootkit越来越向硬件层次渗透，试图在Windows系统启动之前就获得对系统的控制权，这样Rootkit 技术就不会检测到了。

Windows Rootkit进程隐藏与检测技术
王雷;凌翔
【期刊名称】《计算机工程》
【年(卷),期】2010(036)005
【摘要】进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全.为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术.此类检测方法直接利用系统底层的数据结构,检测能力强.
【总页数】3页(P140-142)
【作者】王雷;凌翔
【作者单位】电子科技大学通信抗干扰技术国家级重点实验室,成都,610054;电子科技大学通信抗干扰技术国家级重点实验室,成都,610054
【正文语种】中文
【中图分类】TP316
【相关文献】
1.Windows RootKit进程隐藏与检测技术的研究 [J], 刘正宏
2.Windows系统下Rootkit的隐藏与检测 [J], 徐睿
3.Rootkit进程隐藏与检测技术研究 [J], 孟晨宇;阮阳;王佳伟;周洁;康晓凤
4.Windows下基于交叉视图的Rootkit进程隐藏检测技术 [J], 李建军;王庆生
5.Rootkit进程隐藏与检测技术研究 [J], 孟晨宇;阮阳;王佳伟;周洁;康晓凤
因版权原因，仅展示原文概要，查看原文内容请购买。

—95—Windows(2000/XP)下隐藏进程的检测机制王驎峰，董亮卫(电子科技大学计算机学院，成都 610054)摘 要：随着计算机技术的不断发展，近期出现了利用Windows(2000/XP)内核设计上的漏洞隐藏自身进程的入侵技术。

针对这种隐藏技术提出了利用内核进程环境控制块(KPEB)、内核线程环境控制块(KTEB)以及Windows 操作系统的调度机制来检测这些隐藏进程的新方法，并给出了代码示例。

关键词：进程；隐藏；内核进程环境控制块；内核线程环境控制块；检测Detection on Windows(2000/XP) Hidden ProcessWANG Linfeng, DONG Liangwei(Department of Computer, University of Electronic Science and Technology, Chengdu 610054)【Abstract 】With the development of computer technology, lately some malicious code use the leak of Windows(2000/XP) kernel design to hide their processes. In order to detect the hidden processes created by malicious code, a new technology has been described with the example of program. The technology involved includes: the kernel process environment block(KPEB), the kernel thread environment block(KTEB), the mechanism of traditional processes detection and dispatcher.【Key words 】Process; Hidden; Kernel process environment block(KPEB); Kernel thread environment block(KTEB); Detection计 算 机 工 程Computer Engineering 第32卷 第20期Vol.32 № 20 2006年10月October 2006·软件技术与数据库·文章编号：1000—3428(2006)20—0095—02文献标识码：A中图分类号：TP316由于Windows 操作系统自身的不完善和不断暴露出来的漏洞，因此它被各种病毒、木马、后门等恶意入侵程序利用，这些入侵者利用各种方法掩盖它们存在于目标系统中的任何迹象来欺骗合法用户。

Windows Rootkit实现及其检测技术分析作者：梁冰来源：《电子世界》2013年第09期【摘要】Rootkit是恶意软件用于隐藏自身及其它特定资源和活动的程序集合。

本文针对windows Rootkit的启动方式，将Rootkit归为先于操作系统启动和伴随操作系统启动两类，详细分析了这两类windows Rootkit的启动方式、实现原理及隐藏技术，并对现有的检测方法的原理进行了深入的分析。

【关键词】Rootkit；宿主进程；BIOS Rootkit；MBR Bootkit1.介绍Rootkit[1]最早出现于Unix系统中，随着计算机技术的发展，现在多种操作系统平台中都出现了Rootkit。

现在的研究表明恶意代码的Rootkit技术化趋势非常明显，Rootkit越来越多地出现在Windows操作系统中用于获取敏感信息、实现目标控制。

Rootkit使用的技术通常比较高深和复杂，常规检测工具和查杀软件一般难以将其检测出，鉴于其日益增强的危害性，有必要对Rootkit实现的原理进行分析，对现有的检测技术进行深入的分析。

本文依据windows Rootkit的启动方式，将windows Rootkit归为先于操作系统启动和伴随操作系统启动两类，详细分析了其启动方式、隐藏技术和实现原理，并对现有的检测技术的原理进行了深入的分析。

本文组织如下：第二部分介绍windows Rootkit的启动方式、实现原理及隐藏技术；第三部分介绍现有的windows Rootkit检测技术的原理；第四部分综合检测方法及总结。

2.windows Rootkit的实现原理依照windows Rootkit的启动实现方式，我们将windows Rootkit分为先于操作系统启动和伴随操作系统启动两类，在伴随操作系统启动的Rootkit中，深入分析内核劫持、svchost宿主启动、winlogon事件通知、系统文件感染、DLL劫持实现的原理和方法，在先于widnows操作系统启动的Rootkit中，详细分析基于BIOS（Basic Input/Output System）的Rootkit和基于MBR（Master Boot Record）的Rootkit。

隐藏再深也不怕多管齐下揪出Rootkit病毒作者：闽人来源：《电脑爱好者》2021年第05期Rootkit病毒的开发者常常是把后门写成符合微软WDM规范的驱动程序模块，然后把自身添加进注册表的驱动程序加载入口，很多还会通过添加的服务进行自我监视。

这样一旦发现驱动文件被删除则会立刻“复活”，这就导致此类病毒极难被彻底查杀。

因此如果大家怀疑自己的电脑中招Rootkit病毒，首先就要检查当前加载的驱动，这可以借助OpenArk软件（下载地址：https：///）来完成。

安装完该软件后以管理员身份启动，切换到“内核→驱动管理”，它会列出本机里所有加载的驱动程序。

一般情况下，因为Rootkit病毒的开发者没有公司，或者是一些非知名公司，所以我们可以点击“公司”进行排序。

之后对标示红色的驱动进行排查，类似dump _x x x x.sys之类的驱动，通过搜索微软的技术文档可以知道这些是在系统启动时加入到内核，在出现蓝屏时生成dump内存镜像的工具，所以可以先将这类文件筛除（图2）。

接着再忽略英特尔、微软等知名公司的驱动，并结合蓝屏提示，如图1的蓝屏错误，显示的是“passguard_ x64.sys”文件错误，其公司名一栏为空，是可疑文件。

用鼠标右击该文件并选择“定位到文件”，自动跳转到它所在的文件夹，右击这一文件并选择“属性”，依次切换到“数字签名→签名列表→签名者姓名”，可以看到是一个非知名公司的签名（图3）。

笔者试图删除该文件，系统却提示该文件正在被使用而无法删除。

因为驱动都是通过系统服务来加载的，所以先要找到对应的服务。

启动注册表编辑器，依次展开[计算机＼HKEY_ LOCAL _MACHINE＼SYSTEM＼CurrentControlSet＼Ser vices]（即服务所在的键值），搜索关键词“passguard_x64.sys”，可以找到加载该驱动的服务，路径为[H K E Y_ LOCA L _ MACH I N E ＼SYSTEM＼CurrentControlSet＼Services＼PassGuard]（图4）。