摘要:
随着计算机技术的发展,计算机在越来越多的领域得到了应用。由于Linux系统的开源性,使其深受广大用户的喜爱,那么Linux系统的安全也比以往任何时候都显得重要。随着Linux下Rootkit技术的不断深入以及其破坏越来越大,增加Linux系统的安全迫在眉睫。 论文首先介绍了Rootkit的基本知识,Linux系统下内核级Rootkit术在国内外的发展现状。由于Rootkit的发展很快,而且破坏性很大,所以我们有必要要对系统的安全作进一步的研究。接着介绍了Linux系统的一些基础理论知识,如中断异常,系统调用,可加载模块等,为下的内容打下基础 论文随后研究了内核级Rootkit使用的各种主要技术,并在对其原理进行分析的基础上,给出该方法的具体实现。主要技术包括中断劫持,分析中断劫持的可行性,中断劫持的步骤和的实现;系统调用劫持,在分析可行性基础上给出导出系统调用表和不导出系统调用表两种情况下系统调用劫持的实现方法;函数体劫持,在分析可行性基础上给出函数劫持的具体实现;利用LKM注入技术实现模块隐藏和后门等技术。 本文最后重点研究了内核级Rootkit的检测防护机制,内核级的Rootkit要想得到运行的机会,有两种方法一种方法就是修改函数指针,使它指向Rootkit中的函数;另一种方法就是修改函数体,把函数的开始几个字节改成跳转指令,本文在分析基础上给出了内核级Rootkit的检测方案,该方案不仅检查内核空间的函数指针,还检查内核空间的函数体,因为内核空间的函数很多如果都要对它们进行检查的话很耗时间,会严重影响系统的性能,所有本文采取了一种折中的办法,与现有检测方法相比本文还分析该方案的优缺点。本文最后还研究了内核级Rootkit的防护机制,主要包括两个部分:一部分是对内核重要数据结构的保护,另一部分是对内核函数的保护。
展开
715
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
