WindowsRootkit进程隐藏与检测技术

本栏目责任编辑：冯蕾网络通讯及安全Computer Knowledge And Technology 电脑知识与技术2008年第4卷第4期（总第31期）RootKit 攻防和检测技术张贵强1，李兰兰2（1.兰州石化职业技术学院，甘肃兰州730060；2.兰州大学，甘肃兰州730030）摘要：随着计算机网络技术的发展，网络安全问题越来越多的受到人们的关注，同时，也出现了各种类型的计算机病毒和木马程序。

最近，出现了一种特殊木马程序———Rootkit ，该文详细的介绍了Rootkit 的隐藏技术和检测方法。

关键词：Rootkit ；木马程序；网络安全；隐藏；检测中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)31-0838-02Defence and Detection Technology Against RootKitZHANG Gui-qiang 1,LI Lan-lan 2(Lanzhou Petrochemical College of Vocational Technology,Lanzhou 730060,China;nzhou University,Lanzhou 730030,China)Abstract:With the development of computer network,security of network attracts more and more attention.Meanwhile,all kinds of computer viruses and Trojan programs arised,inluding a special Trojan program:RootKit.A detailed introduction of hidden technology and detection method of RootKit has been put forward in this paper.Key words:rootkit;trojan program;network security;hidden technology;detection众所周知，木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给作者的一类病毒程序。

Rootkit的类型、功能及主要技术Rootkit 的类型小结1.固化Rootkits和BIOS Rootkits固化程序是存于ROM中，通常很小，使用系统硬件和BIOS 创建顽固的软件镜像。

将制定的代码植入到BIOS 中，刷新BIOS，在BIOS 初始化的末尾获得运行机会。

重启无用、格式化无用，在硬盘上无法探测，现有的安全软件将大部分的扫描时间用在了对硬盘的扫描上。

本文整理：（第三方信息安全网）/2 内核级Rootkits内核级Rootkits(Kernelland Rootkits)是通过修改内核、增加额外的代码、直接修改系统调用表、系统调用跳转(Syscall Jump)，并能够替换一个操作系统的部分功能，包括内核和相关的设备驱动程序。

现在的操作系统大多没有强化内核和驱动程序的不同特性。

许多内核模式的Rootkit 是作为设备驱动程序而开发，或者作为可加载模块，如Linux 中的可加载模块或Windows 中的设备驱动程序，这类Rootkit 极其危险，它可获得不受限制的安全访问权。

如果代码中有任何一点错误，那么内核级别的任何代码操作都将对整个系统的稳定性产生深远的影响。

特点：无进程；无端口。

与用户级Rootkit 相比，与操作系统处于同一级别，可以修改或破坏由其它软件所发出的任何请求。

3 用户态Rootkits用户态Rootkits(Userland Rootkits)是运行在Ring3 级的Rootkit，由于Ring3 级就是用户应用级的程序，而且信任级别低，每一个程序运行，操作系统给这一层的最小权限。

用户态Rootkit使用各种方法隐藏进程、文件，注入模块、修改注册表等。

4 应用级Rootkits应用级Rootkits 通过具有特洛伊木马特征的伪装代码来替换普通的应用程序的二进制代码，也可以使用Hook、补丁、注入代码或其它方式来修改现有应用程序的行为。

5 代码库Rootkits代码库Rootkits 用隐藏攻击者信息的方法进行补丁、Hook、替换系统调用。

隐藏软件的应用工作原理什么是隐藏软件？隐藏软件是一种可以在计算机或移动设备上运行的程序，它的主要功能是隐藏自己的存在和操作，使用户无法察觉。

隐藏软件被广泛用于各种场景，包括监控和远程控制等。

隐藏软件有许多不同的工作原理和技术，下面将介绍一些常见的应用工作原理。

1. 隐藏进程隐藏软件的一种常见工作原理是隐藏自身的进程。

进程是计算机中正在运行的程序的实例，每个程序都会在计算机上创建一个或多个进程。

通过隐藏自身的进程，隐藏软件可以在任务管理器等系统工具中不可见。

隐藏进程的常见技术包括：•Rootkit技术：Rootkit是一种可以隐藏进程和其他恶意软件的工具，它可以修改操作系统内核或其他系统组件，以实现隐匿性。

Rootkit技术需要在系统中获得root权限，因此往往用于攻击者对已攻陷的系统进行隐藏。

•注入技术：隐藏软件可以利用注入技术将自己的代码注入到其他进程中，从而隐藏自己的存在。

注入技术可以利用操作系统提供的API，也可以通过更底层的手段实现。

注入技术的实现较为复杂，但可以使隐藏软件更加隐匿。

2. 文件隐藏隐藏软件还可以通过隐藏自己的文件来避免被用户察觉。

文件隐藏的技术根据操作系统和文件系统的不同而有所差异。

文件隐藏的常见技术包括：•改变文件属性：隐藏软件可以通过修改文件属性，如隐藏文件、只读文件等，来隐藏自身。

一些操作系统会将隐藏文件的显示选项默认设置为关闭，用户需要手动开启才能看到这些文件。

•加密文件：隐藏软件可以将自己的文件进行加密，只有正确解密的用户才能查看和操作这些文件。

加密文件可以使隐藏软件更难被察觉，因为即使用户能够看到文件，也无法理解其内容。

•文件名伪装：隐藏软件还可以将自己的文件伪装成其他类型的文件，如图片、音频或文档等，以迷惑用户和系统。

文件名伪装通常需要使用特定的文件格式和技术。

3. 网络通信隐藏软件通常需要与远程服务器进行通信，以接收远程指令和发送收集到的数据。

为了保证隐匿性，隐藏软件通常采用隐蔽的通信方式。

Rootkit技术可以隐藏系统进程、系统文件、注册表、网络通信。

虽然Rootkit技术从1994年就开始迅速发展，但是直到2007年，国外的研究人员才开始把基于Windows启动过程的Rootkit检测技术与可信计算结合起来，从根源去解决这种攻击，但是这种检测思想实现难度大、成本高、通用性差，只能达到一个检测的目的，而不能真正的阻止这类Rootkit的运行。

2008年以后国内掀起了研究Rootkit技术的热潮，相继出现了Rootkit技术方面的成功实例。

其中包括：奇虎360公司的首席安全研究员李文彬于2008年6月提出了一种基于Boot．ini 的Rootkit-Tophet，并在其Blog中发表的一篇名为《 A new invisible Bootkit is on the way》的文章中进行了详细的描述，该Bootkit 技术能够绕过当前所有的防御软件。

在BIOS Rootkit的研究方面，国内起步较晚，相对成型的实例没有国外多。

国内目前在基于Windows 启动过程的Rootkit检测技术研究方面处于很初级的探索阶段，暂时还没有成型且可靠性高的检测技术出现，尤其在BIOS Rootkit的检测技术方面处于一个相对进展缓慢的状态。

国内还出现了通过TPM芯片去实现基于Windows启动过程的Rootkit的检测，这种检测方法的思想主要利用了可信计算的相关理论，能够检测出系统是否存在这类Rootkit，并且可以有效阻止Bootkit的运行，但是在BIOS Rootkit 的查杀方面可靠性不高，不能恢复操作系统的正常运行。

因此研究有效的并且可靠的检测和防御方法，对信启、安全技术的发展会起到很大的促进作用。

目前大部分的Anti Rootkit技术的实现都是使用了下列几种方法：Cross View(交叉检测技术）、基于行为的Rootkit检测技术和完整性校验技术。

而如今，Rootkit越来越向硬件层次渗透，试图在Windows系统启动之前就获得对系统的控制权，这样Rootkit 技术就不会检测到了。

Analysis Based on Technology of Rootkit Hidden 作者： 韩妍妍;张晓菲;刘培鹤
作者机构： 北京电子科技学院,北京100070
出版物刊名： 北京电子科技学院学报
页码： 7-11页
年卷期： 2016年 第2期
主题词： 网络安全;Rootkit;隐藏进程;木马病毒;检测
摘要：目前网络安全应用的技术有很多,但是能够不被管理员发觉而悄无声息的收集数据的只有Rootkit。

随着人们对Rootkit隐身技术的研究,它在网络安全中发挥的影响越来越大。

本文分析Rootkit进程隐藏实现思想,给出了Rootkit实现隐藏进程的具体方法,为进一步研究Rootkti 相关的木马病毒以及相应的木马病毒检测提供有效的帮助。

Windows Rootkit病毒进化与检测
胡永涛;康学斌;李柏松
【期刊名称】《信息网络安全》
【年(卷),期】2009(000)009
【摘要】Kootkit作为恶意软件的一个特定类型,是近年来国内外计算机安全领域热门的研究课题.本文介绍了Windows Rootkit技术的发展,概括了常见的Windows Rootkit技术实现及检测方法,并利用一些系统分析工具的分析结果来帮助大家理解这些概念.
【总页数】3页(P27-29)
【作者】胡永涛;康学斌;李柏松
【作者单位】(Missing);安天实验室;安天实验室
【正文语种】中文
【中图分类】TP309.5
【相关文献】
1.Windows RootKit检测与取证 [J], 王宁;刘志军
2.Windows RootKit进程隐藏与检测技术的研究 [J], 刘正宏
3.Windows Rootkit实现及其检测技术分析 [J], 梁冰
4.基于 Windows API 调用机制的 Rootkit检测系统的设计与研究 [J], 袁宇恒;黄耿星;龚征
5.Windows RootKit 检测与取证技术研究 [J], 王宁;刘志军;麦永浩
因版权原因，仅展示原文概要，查看原文内容请购买。

隐藏再深也不怕多管齐下揪出Rootkit病毒作者：闽人来源：《电脑爱好者》2021年第05期Rootkit病毒的开发者常常是把后门写成符合微软WDM规范的驱动程序模块，然后把自身添加进注册表的驱动程序加载入口，很多还会通过添加的服务进行自我监视。

这样一旦发现驱动文件被删除则会立刻“复活”，这就导致此类病毒极难被彻底查杀。

因此如果大家怀疑自己的电脑中招Rootkit病毒，首先就要检查当前加载的驱动，这可以借助OpenArk软件（下载地址：https：///）来完成。

安装完该软件后以管理员身份启动，切换到“内核→驱动管理”，它会列出本机里所有加载的驱动程序。

一般情况下，因为Rootkit病毒的开发者没有公司，或者是一些非知名公司，所以我们可以点击“公司”进行排序。

之后对标示红色的驱动进行排查，类似dump _x x x x.sys之类的驱动，通过搜索微软的技术文档可以知道这些是在系统启动时加入到内核，在出现蓝屏时生成dump内存镜像的工具，所以可以先将这类文件筛除（图2）。

接着再忽略英特尔、微软等知名公司的驱动，并结合蓝屏提示，如图1的蓝屏错误，显示的是“passguard_ x64.sys”文件错误，其公司名一栏为空，是可疑文件。

用鼠标右击该文件并选择“定位到文件”，自动跳转到它所在的文件夹，右击这一文件并选择“属性”，依次切换到“数字签名→签名列表→签名者姓名”，可以看到是一个非知名公司的签名（图3）。

笔者试图删除该文件，系统却提示该文件正在被使用而无法删除。

因为驱动都是通过系统服务来加载的，所以先要找到对应的服务。

启动注册表编辑器，依次展开[计算机＼HKEY_ LOCAL _MACHINE＼SYSTEM＼CurrentControlSet＼Ser vices]（即服务所在的键值），搜索关键词“passguard_x64.sys”，可以找到加载该驱动的服务，路径为[H K E Y_ LOCA L _ MACH I N E ＼SYSTEM＼CurrentControlSet＼Services＼PassGuard]（图4）。

经验与交流 计算机与信息技术 ·73·Windows Rootkit隐藏技术研究杨平 罗红 乔向东（空军工程大学 电讯工程学院，陕西 西安，710077）摘 要Rootkit是黑客为了隐藏其入侵痕迹、保留入侵权限而采用的一种技术。

由于具有隐藏性好、难以检测的特点，Rootkit在Windows操作系统中的应用越来越广泛，并逐渐与病毒、木马、间谍软件等应用软件相结合，给网络信息安全带了严重危害。

深入研究Windows操作系统中Rootkit的工作原理，对于防范其对网络安全造成的破坏有着重要的意义。

关键词 Rootkit；隐藏；挂钩1 引言Rootkit原本是UNIX系统上非法入侵者为了隐藏其活动痕迹而使用的一组工具。

随着Windows操作系统的广泛应用，Rootkit在该系列操作系统中应用也越来越广泛，危害也越来越大。

和其它的恶意软件不同，Rootkit的主要功能和目的是隐藏，即隐藏其在系统中的各种表现，如进程、文件、注册表项和键值、端口以及服务等。

正因为其在隐藏技术上的突出表现，Rootkit与木马等恶意软件有逐渐结合的趋势，随着影响范围不断扩大，对网络信息安全可能带来的危害也逐步增强。

2 Rootkit的分类操作系统是由内核（Kernel）和外壳（Shell）两部分组成的。

内核负责一切实际的工作，包括CPU任务调度、内存分配管理、设备管理、文件操作等；外壳是基于内核提供的交互功能而存在的界面，它负责指令传递和解释。

根据内核和外壳处理任务的不同，系统为它们设定了不同的工作环境，称为运行级别（Ring）。

虽然Intel和AMD的CPU都支持4种特权模式，但在实际应用中，Windows只实现了两个运行模式，即用户模式（Ring3）和内核模式（Ring0）。

同样，Windows Rootkit也分为两类，分别对应处理器的用户模式和内核模式。

用户模式Rootkit可以作为一个单独的程序运行，也可以改动某个现有程序、运行在一个已经存在的程序里。

进程隐藏什么是进程隐藏？在计算机科学中，进程隐藏（Process hiding）是指将正在运行的进程从操作系统的进程列表中隐藏起来，使其在任务管理器或类似的进程查看工具中不可见。

进程隐藏的主要目的是为了增加对恶意软件和攻击行为的隐蔽性，使其难以被检测和终止。

进程隐藏的原理进程隐藏的原理主要依赖于操作系统的特定功能和接口。

以下是一些常见的进程隐藏技术：1. 修改进程ID操作系统会为每个运行的进程分配一个唯一的进程ID（PID）。

通过修改进程ID，可以使进程在进程列表中不可见。

这需要对操作系统的内核进行修改，以欺骗操作系统，使其认为进程ID不存在或已被终止。

2. 隐藏进程名称通过修改进程的名称，可以使其在进程列表中不易被注意到。

这可以通过修改操作系统内核中对进程名称的记录实现。

修改进程名称可以使恶意软件模拟其他常见进程的名称，或者完全隐藏进程的名称。

3. 隐藏进程路径进程隐藏还可以通过修改进程路径来实现。

进程路径是进程在操作系统中的存储位置。

通过修改进程路径，可以使进程在进程查看工具中不易被发现。

这需要对操作系统的内核进行修改，以欺骗操作系统，使其认为进程路径不存在或已被更改。

4. 隐藏进程启动项操作系统中的启动项指的是开机自动启动的进程。

通过隐藏进程的启动项，可以使进程在系统启动时不可见，从而增加其隐蔽性。

这需要对操作系统中的启动项进行修改。

5. 隐藏进程的线程进程通常由多个线程组成。

通过隐藏进程的线程，可以使进程在进程查看工具中只显示部分线程或不显示任何线程，从而隐藏其存在。

这需要在操作系统层面对线程进行管理和修改。

进程隐藏的应用进程隐藏技术通常被用于恶意软件和攻击行为。

以下是一些常见的应用场景：1. 计算机病毒计算机病毒通常会使用进程隐藏技术来增加其对防御机制的逃避能力。

通过隐藏恶意进程，病毒可以在操作系统中长时间潜伏，绕过杀毒软件和系统监控。

2. 黑客攻击黑客攻击中经常使用进程隐藏技术来隐藏攻击代码或后门程序。