当前位置:文档之家 › 永久型Windows Rootkit检测技术

永久型Windows Rootkit检测技术

  • 格式:pdf
  • 大小:186.68 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

四招快速清除系统中的木马病毒

四招快速清除系统中的木马病毒

四招快速清除系统中的木马病毒黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发觉,他们会想尽种.种方法对其进行伪装。

而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中,始终是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码肯定会表现出肯定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来推断的。

程序运行后,我们只要单击“扫瞄”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。

此时,我们只要查看分析结果中可执行的头部数,假如有两个或更多的可执行文件头部,那么说明此文件肯定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必需请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。

因此清除的步骤也相对简单一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成详细的项目,对此我们假如发觉自己系统消失特别时,则需要推断是否中了DLL木马。

在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗口中即可查看全部DLL模块,这时假如发觉有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。

对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。

Windows系统Rootkit检测技术研究

Windows系统Rootkit检测技术研究

为应 用 级 R okt 内核级 Roti o ti和 okt 。前 者 工作 在 Rig3级 , n 只替 换或修 改 系统 管理 员和 用户 使用 的 可执 行程 序 , 一般 不会 对操 作 系统 的其 它应 用 服务 造成 影 响 ; 者工 作在 Rig0级 , 有对 系统 的最 后 n 拥 高操 作权 限 , 直接 操 作 硬 件 设 备 , 内存 访 问 限 可 无 制 , 以 实 现 应 用 级 R okt 法 完 成 的 隐 藏 功 可 o ti无
kt 早现 在 Unx 作 系统上 , 在几 乎所 有 的操 i最 i操 现 作 系统 都 受 到 R okt的攻 击 , o ti 目前 Wid ws环 no 境下 的 Roti也 日益 流 行 。Roti okt okt检测 技 术 是
当前 R okt 究 的难 点 , Wid ws系 统 本 身 o ti 研 而 no 的复 杂 性 也 给 R okt检 测 带 来 了不 小 的 难 题 。 o ti 本文针 对 Wid ws 境 下 的 Ro t i 检 测 技术 进 no 环 okt
西安 707) 10 7 ( 空军工程大学 电讯工程学 院


R okt o ti是一组后 门工具 的集合 , 是特洛伊木 马发展 的高 级阶段 。通过 研究 Wid ws n o 下的 R okt o ti技术原 理
及 检测 技术 , 出具 体 实 现 方 法 。 给
关键词 R okt 特洛伊木马 网络安全 o ti
类是通 过 修 改 应 用 程 序 调用 系统 函数 的执 行 路
径, 劫持正常程序及系统函数调用的执行路径 , 篡改 函数调用函数的返回值以达到向用户隐藏攻击信息
的 目的 ; 一类是通 过修改 系统 内核数 据结构 , 当用 户 程序 向内核 查询 信 息 ( 当前 运 行进 程 、 动 程序 ) 如 驱

RootKit攻防与检测

RootKit攻防与检测

本栏目责任编辑:冯蕾网络通讯及安全Computer Knowledge And Technology 电脑知识与技术2008年第4卷第4期(总第31期)RootKit 攻防和检测技术张贵强1,李兰兰2(1.兰州石化职业技术学院,甘肃兰州730060;2.兰州大学,甘肃兰州730030)摘要:随着计算机网络技术的发展,网络安全问题越来越多的受到人们的关注,同时,也出现了各种类型的计算机病毒和木马程序。

最近,出现了一种特殊木马程序———Rootkit ,该文详细的介绍了Rootkit 的隐藏技术和检测方法。

关键词:Rootkit ;木马程序;网络安全;隐藏;检测中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)31-0838-02Defence and Detection Technology Against RootKitZHANG Gui-qiang 1,LI Lan-lan 2(Lanzhou Petrochemical College of Vocational Technology,Lanzhou 730060,China;nzhou University,Lanzhou 730030,China)Abstract:With the development of computer network,security of network attracts more and more attention.Meanwhile,all kinds of computer viruses and Trojan programs arised,inluding a special Trojan program:RootKit.A detailed introduction of hidden technology and detection method of RootKit has been put forward in this paper.Key words:rootkit;trojan program;network security;hidden technology;detection众所周知,木马病毒是指寄生于用户计算机系统中,盗窃用户信息,并通过网络发送给作者的一类病毒程序。

Anti_Rootkit技术

Anti_Rootkit技术

概述当今rootkit技术被广泛应用于恶意软件的开发中,恶意软件利用此技术来做一些应用程序做不到的事情,如文件的隐藏,注册表键值的隐藏,对抗防护软件等。

于是对于rootkit程序的检测与清除技术(anti-rootkit(以下简称ark))得以发展。

作为rootkit技术的天敌,ARK技术具有与其对手一样的特性。

但是ark作为一种检测技术有着比起对手更宽裕的时间来占领内核制高点。

ARK基础知识概述(1)WDM内核模块开发WDM(windows driver model)技术为windowsNT系列操作系统的内核扩展模块开发模型,,windowsNT系列系统包括windowsNT,windows2000, windowsXP 与windows vista, windows7WDM模型主要采用分层的方法,模仿面向对象的技术,按照微软一贯的思路,先进行逻辑上的“分层”,然后将标准的实现和低层细节“封装”起来,形成“基类”,客户程序通过“继承”的方式来扩展“基类”的功能,完成所需要的实现。

在微软的技术文献中,称Windows NT和Windows 2000为“基于对象”(object-based)的系统,和操作系统一样,WDM驱动程序模型也是“基于对象”的系统程序。

WDM使用了分层的驱动程序结构,而且WDM是基于对象的。

为了便于对硬件的管理,WDM里对每一个单一的硬件引入了一些数据结构,部分描述了一个DEVICE_OBJECT数据结构栈。

在数据结构栈中最低层的是物理设备对象(Physical Device Object),用于描述我们的设备与物理总线的关系,简称为PDO。

在PDO的上面,有功能设备对象(Function device Object),用来描述设备的逻辑功能,简称为FDO。

在数据结构栈的其他位置, FDO的上面或下面,有许多的过滤设备对象(Filter Device Objects),简称为FiDO。

rootkit

rootkit

内核对象是 Windows 系统中用来登记系 统运行情况和资源记录的内核数据结构,由 对象管理器来管理。修改内核数据结构的方 法主要分为两类: 修改活动进程链表(PsActiveProcessList) 修改进程令牌 (Process Token)

在链表 PsActiveProcessList 上保存着所有进程的 EPROCESS 结构,当某些模块需要获得系统中 运行的所有进程信息时,就会通过遍历该双向 链表来获得所要的信息。如果在 PsActiveProcessList 链表上删除相应的某进程信 息,则该进程将被隐藏起来,即使调用系统服 务 ZwQuerySystemInformation()也无法得到该进 程的相关信息。而由于 Windows 的线程分派 器使用另外的数据结构 (pKiDispatchReadyListHead,pKiWaitInListHead,p KiWaitOutListHead),因此,隐藏的进程仍然 能够正常的运行


需要注意,Rootkit 本身并不能使攻击者获 取管理员权限,它不是一种软件利用工具。 攻击者必须先使用其它手段获取主机的控 制权,例如利用漏洞的溢出攻击,或者被 动的密码嗅探等。一般需要取得管理员权 限才能正确部署 Rootkit工具。Rootkit 一般 具备下述功能:
窃取重要信息 通过监控键盘击键以及网络数据,窃取用户口令以及网络银行密码等 隐私信息 维持控制权 攻击者可以通过 Rootkit 隐藏的后门,非常隐蔽的以管理员权限再次进 入系统 隐藏攻击痕迹 隐藏与 Rootkit 相关的文件、进程、通信链接和系统日志等攻击痕迹。 欺骗检测工具 使检测工具无法发现系统的异常,无法找到隐蔽在系统中的 Rootkit 软件。 提供植入手段 其它可执行程序,例如蠕虫或病毒可以通过 Rootkit提供的隐蔽通道 植入系统,并且可以使用 Rootkit 来隐藏自身。 提供攻击跳板 攻击者可以利用受控主机对网络上的其它主机发动攻击,例如蠕虫传 播、拒绝服务攻击等。

Windows系统下Rootkit的隐藏与检测

Windows系统下Rootkit的隐藏与检测
来 替换 系统 中原 有 的 D L 并 将 原 D L改 名. 写 L, L 重 的 D L的 IT和原 D L的 E T E p ̄A des a L A L A ( xo drs T -
R tt o k 的攻击过程主要包括 : i ①收集 目标 系统 信息. 攻击者在攻击某个系统之前 , 需要知道 目 标系 统有哪些漏洞 , 使用什么操 作系统 , 哪些 帐号等. 有 ②获得管理员等级的用户 的访问权限. 在得到 目标 系统足够 的信 息 后 , 攻击 者便 开 始 利 用 其 漏 洞发 起 进攻. 比较常见 的是先获得普通用户访问权 限, 然后 再利用 目标系统的本地漏洞提高到超级用户访问权 限. 还有 一种方 式 是直 接 利用 f t tnt 网络 服 p和 e e 等 l 务的漏洞获得超级用户访问权限. ③在 目标操作 系 统上安装 R o i 获得超级用户访问权限后 , ot t k. 攻击者 就可以在 目标系统上安装 R o i 来隐藏攻击行为 , ot t k, 创建各种后 门. ④控制 目 标系统. 目标系统上安装 在 Ro i , ot t 就可以持久的控制 目标系统 , k后 对其进行各
些 服务 等等 .
2 Wi o s oti隐藏技术 n w o t d R k
R ti隐藏 的实 现 过 程 主要 有 : 1 用 户 态 下 ok t ()
的 A I ok 在用户态 , PH . 一种常用的隐藏方法就是修 改P E文件 的 IT I o d rsT b ) 实现 .A A (mp ̄A des al 来 e IT 中记 录 了该 文 件 运 行 时 需 要 调 用 的所 有 函数 链 接 库 . E文件 运行 时会将 自己和 IT中记 录 的链 接库 P A
种攻 击 , 而且不 被 目标 系统 的管 理 员 察 觉 . 如 : 例 利 用 目标 系统 攻 击 其 它 系统 , 目标 系统 拒绝 提 供 某 使

Windows平台下Rootkit进程检测

Z HANu
( ol eo o u r N nigU iesyo ot C l g f mp  ̄ - aj nvri f s e C n t P s&T
。 nig2 00 。 hn ) Naj 10 3 C ia n
t e p a o m a ee tmo to e c r e tRo t th d e r c s d tk sg o fe ti r c c h l t r C d t c s ft u r n o l i d n p o e s a a e o d e c n p a t e. f n h d n i
v lp rnt n r s-ma pn lt r b s i a d etbefrd t t eo satii a dco s y p igpa o m a e Olh n l a l o ee i f d c ngteRo tihd e rc s .Th x ei n n ctsta h okt d npo e s i ee p rme tid ae h t i
中 图分 类号 :P 1 . T 367 文 献标 识码 : A 文章 编号 : 7 - 2X(0 10 - 1 10 1 3 69 21 )7 0 4 —4 6
Ro t i Pr c s t c in u d r W i d wsP a f r o k t o e sDe e t n e n o l to m o
Absr c : o k ti e f r c d r so o a b e t x s s i g o ei b e c mp trs se t a t Ro t i sa s to p o e u e rc det t s a l o e iti a l t rr l l o u e y t m.I r e o o d tc e h d h i n a n a n o rn t ee t h i - d t t d n po es e r c s ,Ro k tmu t U e t c n l g fp o e sh d n .Th o k tp o e sh d n s a k n ftc n l g o m s u d r s t m ot i s s t h o o y o r c s i i g e h e e Ro t r c s i i g i id o h o o y t n e ys i e e

Rootkit技术

Rootkit技术rootkit的主要分类早期的rootkit主要为应用级rootkit,应用级rootkit主要通过替换login、ps、ls、netstat 等系统工具,或修改.rhosts等系统配置文件等实现隐藏及后门;硬件级rootkit主要指bios rootkit,可以在系统加载前获得控制权,通过向磁盘中写入文件,再由引导程序加载该文件重新获得控制权,也可以采用虚拟机技术,使整个操作系统运行在rootkit掌握之中;目前最常见的rootkit是内核级rootkit。

内核级rootkit又可分为lkm rootkit、非lkm rootkit。

lkm rootkit主要基于lkm技术,通过系统提供的接口加载到内核空间,成为内核的一部分,进而通过hook系统调用等技术实现隐藏、后门功能。

非lkm rootkit主要是指在系统不支持lkm机制时修改内核的一种方法,主要通过/dev/mem、/dev/kmem设备直接操作内存,从而对内核进行修改。

非lkm rootkit要实现对内核的修改,首先需要获得内核空间的内存,因此需要调用kmalloc分配内存,而kmalloc是内核空间的调用,无法在用户空间直接调用该函数,因此想到了通过int 0x80调用该函数的方法。

先选择一个不常见的系统调用号,在sys_call_table 中找到该项,通过写/dev/mem直接将其修改为kmalloc函数的地址,这样当我们在用户空间调用该系统调用时,就能通过int 0x80进入内核空间,执行kmalloc函数分配内存,并将分配好的内存地址由eax寄存器返回,从而我们得到了一块属于内核地址空间的内存,接着将要hack的函数写入该内存,并再次修改系统调用表,就能实现hook系统调用的功能。

rootkit的常见功能隐藏文件:通过strace ls可以发现ls命令其实是通过sys_getdents64获得文件目录的,因此可以通过修改sys_getdents64系统调用或者更底层的readdir实现隐藏文件及目录,还有对ext2文件系统直接进行修改的方法,不过实现起来不够方便,也有一些具体的限制。

鬼影病毒及ROOTKIT技术简介


例子
以超级巡警的主要执行文件AST.exe为例,首先,有个文件名为kkk.exe 的恶意程序向IFEO列表里写入AST.exe项,并设置其Debugger指向 kkk.exe,于是系统就会认为kkk.exe是AST.exe的调试器,这样每次用户 点击执行AST.exe时,系统执行的实际上是作为调试器身份的kkk.exe, 至于本该被执行的AST.exe,此刻只能被当作kkk.exe的执行参数来传递 而已,而由于kkk.exe不是调试器性质的程序,所以被启动的永远只有 kkk.exe自己一个,用户每次点击那些“打不开”的安全工具,实际上就 等于又执行了一次恶意程序本体!这个招数被广大使用“映像劫持”技 术的恶意软件所青睐,随着OSO这款超级U盘病毒与AV终结者(随机数病 毒、8位字母病毒)这两个灭杀了大部分流行安全工具和杀毒软件的恶意 程序肆虐网络以后,一时之间全国上下人心惶惶,其实它们最大改进的 技术核心就是利用IFEO把自己设置为各种流行安全工具的调试器罢了, 破解之道尤其简单,只需要将安全工具的执行文件随便改个名字,而这 个安全工具又不在乎互斥量的存在,那么它就能正常运行了,除非你运 气太好又改到另一个也处于黑名单内的文件名去了,例如把AST.exe改为 IceSword.exe。
鬼影病毒处理方法(续)
2、修复MBR(关键一步,必须做),接着上一步,选择“4.修复”--> “ 修复(F)“ --> 确定。 第三步:重装戒恢复系统。在第二步完成后,千万丌要重启电脑迚入 WINDOWS了,否则会二次感染。
第四步:全盘杀毒。返回WINDOWS后,需要升级你的杀毒软件到最 新版本(最新病毒库),然后迚行“全盘查杀”,这样可以把残留在非 系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草 除根”。

内核级后门Rootkit技术


后门代码
CODE
IAT HOOK
系统 DLL
CODE
Rootkit
BAD CODE
CODE
技术总揽 隐藏篇 之 代码注入


Ring3: a.CreateRemoteThread + WriteProcessMemory 1.线程注入 2.代码注入 b.SetWindowsHookEx c. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs d.Winlogon通知包 e.感染PE文件(1、全部插入 2、感染IAT ) f. DebugActiveProcess + SetThreadContext etc. (Activx,SPI,BHO…) Ring0: KeAttachProcess…
技术总揽 隐藏篇 之 DKOM

DKOM (Direct Kernel Object Manipulation) 直接修改系统内核数据实现隐藏 因为是修改系统内核数据,所以要写驱动(或采用其他技 巧)进入管态(Ring0) 使用WinDbg、SoftICE、IDA Pro等工具自己挖掘未公开的 Windows系统内部结构,从而实现比较好的效果… 对Windows系统机制非常熟悉,前置课程《操作系统原理》

参考资料
1.
2. 3. 4.

《Subverting the Windows Kernel》
RAIDE: Rootkit Analysis Identification Elimination 《Windows防火墙与封包拦截技术》
谢谢观看
通过特征码搜索系统中PspCidTable地址
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
维普资讯
第3 4卷 第 1 期 8
V1 4 o. 3






20 0 8年 9月
Se t m be 0 pe r2 08
No J .8
Co p t rEn i e rn m u e gn e i g
软件技术与数据库 ・
 ̄ m 1 0 3 8o )- 0 _ 2 文 标 码; i q" o _ 4 (o 1 _ 7_ o .22 88o 0 0 _ 献 识 A
(. l g f o ue, i j iesy Tajn 0 0 2 1Col eo mp trTa i Unvri , ini 0 7 ; e C nn t 3 2 C l g f o ue, e igUnvri f eh oo y B in 0 0 2 . ol e C mp tr B in iesyo T cn lg , e ig10 2 ) e o j t j [ sr clB c ueo emae t tr ga dhdn t drS oe, es tn o tibc me eyi ot tsu f o ue eui . Abtat ea s f r n nl s i n iigi r e’cd s prie t okt e o s vr p y on nu s R a mp r n seo mp t sc ry a i c r t
系统过滤驱动与钩挂系统服 务分析系统行为 ,判定系统是否 已被装入永久型 Wid wsR okt n o o ti,并完成对 经典 Ro tthc e eed r ok —akrdfne 及它 i 所保护的恶意程序 的检测 。由于 该检测技术使 用底层驱动 监测 ,不依 赖特征码 ,因此对 内核级 和将来 出现 的 Ro ti okt具有 良好 的检测
[ yw r s Ke o d ]mo i ry t p rie t o ti cosve nt s m; es tn okt rs—iw os e s R ;
l 概述
R okt o ti的定义为 : 恶意代码 的编写者用来 隐藏其代码不 被发现的工具。通过监 昕系统 ,R okt o t 利用预设数值取代返 i 回的数据。在 R okt oti的伪装下 , 传统的恶意软件更加难以察
中 分 号: P15 阻 类 T3 . 1
永 久 型 W id ws okt检 测 技 术 n o ti Ro
王全民 ,于佳辨 2 j赵 彤 ,韩红英
(. J 天津大 学计算机学院 ,天津 3 0 7 ;2 00 2 .北京工业大学计算机学院 ,北京 10 2 ) 02 0 摘 要: 永久型 R o i可以长期 隐秘在系统 中, ott k 并隐藏恶意代码 , 威胁计算机 的安全 。 该文应 用 c s v w方法构建监控系统 , rsi o —e 采用文件
Th s p p r a p i s t e c o sviw t d t o sr c h n t r s se i a e p l h r s — e meho o c n t tt e mo i y t m.I i mp e ne O d c d e h r t e s se i i sa ld p r it n e u o t s i l me t d t e i e wh t e y t m s n t l e sse t h e wi d ws Ro k tb n l i g s se ’ e a i r s n i y t m l rd i e n o k n y t m e v c s Th y t m e e t s Ro t i h c e n o ot i y a ayzn y tm S b h v o su i g fl s s e f t rv ra d h o i g s se s r ie . e s se d tc e o k t a k r e i e — d f n e i h i h e e d r wh c s t e mos ca sc lRo t i i h e l wo l n o l r s p o e t d b t t ls i a o k t n t e r a rd a d s me ma wa e r t c e y i .Du O t e u e o o lv ld i e n o e t h s f l w— e r v r a d n t e d p n i g o i n t r i a s a o d p ro ma c n d t c i g k r e e e d u k o o k t e e d n n s g a u e,t lo h sg o e r n e i e e tn e n l v l f l n a n n wn Ro t i.
效果。
关健词 :监控系统 ;永久型 R o i rs v w方法 ot t os i k ;c — e
De e to e h i ue0 r it n i d wsRo t i tc ln T c n q f ‘ Pe sse t W n o okt
W N un i a u ig g Z A n2 A og i 2 A GQ a. n , a e 2 H OT g H NH n-n a r lY J .n , b , yg
觉 ,造 成 更 : o ti的
们都是通过枚举、扫描 的方式进行检测 ,不能及 时判断系统 是否 已被安装了 R okt oti 。 永久型 R okt o ti的技术特点为: 需要隐藏文件和相应的注