返回
基于nt内核操作系统的rootkit的实现

基于nt内核操作系统的rootkit的实现

ID:33861811

大小:269.63 KB

页数:4页

时间:2019-02-28

基于nt内核操作系统的rootkit的实现_第1页
基于nt内核操作系统的rootkit的实现_第2页
基于nt内核操作系统的rootkit的实现_第3页
基于nt内核操作系统的rootkit的实现_第4页
资源描述:

《基于nt内核操作系统的rootkit的实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据ISSN1009-3044ComputerKnowledgeAndTechnology电脯知识与技术V01.4,No.8。December2008。PP.2550—2552E-mail:xsjl@ccee.net.cnhttp://www.dnzs.net.enTel:+86—551—56909635690964基于NT内核操作系统的RootKit的实现赵晓娟(湖南城建职业技术学院,湖南湘潭411101)摘要:介绍了WindowsNT平台下R.ootKit实现的基本原理及步骤,探讨了在Window

2、s平台下进行Rin90级编程的实现及如何修改安全参考监视器来彻底突破NT的安全防御系统,并给出了整个RootKit的部分核心汇编源代码。关键词:R.ootIat;WindowsNT:Ring0:安全参考监视器中图分类号:们P3∞文献标识码:A文章编号:1009-3044(20鹏)35—2550--03NTOperatingSystemKernelBasedontheReMizafionoftheRootKitZHAOXiao-juan(HuNanUrbanConstructionCollege,Xiang

3、tan41110)Abstract:IntroducedtheWindowsNTphtformRootKittoachievethebasicpfinciplesandsteps0ntheWindowsplatformunderRingO_—levelprogrammingtoachievesecurityandhowtomoaifrthereferencetothoroughlymomtorthesafetyofNTbreakthroughde·-femesystem,and百vesthewholeR.

4、ootKitThecorepartofthecompilationofsourcecode.Keywords:rootldt;windowsNT;ring0;securityreferencemonitor1引言Rootkit最初指被修改和重新编译后用来隐藏入侵者活动痕迹的一组Unix工具(典型的工具有ps、netstate和passwd)。现在,Rootkit是入侵者或非法的黑客为了隐藏它存在的痕迹和使用其系统而执行未经许可的功能,用来破坏计算机获取目录使用权的一套软件工具。Rootkit的存在可追溯到

5、上个世纪90年代初,那时Solaris和Linux操作系统是Rootkit主要的攻击对象。而现在Rootkit不再局限于像Unix这样的系统,其他的操作系统,如MicrosoftWindows也已成为入侵者的目标。RootKit的目的是保留持续的系统访问权和在计算机中隐藏自己。它可以通过两种不同层次来实现,一种是修改或者替换和包装系统中用户包括管理员运行的可执行文件和库文件,在操作系统的用户态下执行。这种方式的被称为“用户模式”另一种是控制和修改操作系统内核,运行在操作系统的内核态,这种方式是“内核模式”

6、。fl】Windows下应用程序有自己的地址空间,只能调用自己地址空间中的甬数,所以,在挂钩API函数之前,必须将一个可以替代API执行的函数的执行代码注入到目标进程。然后再想办法将目标进程对该API的调用改为对注入到目标进程中自定义函数的调用。回2NT的安全保护措施2.1基于网络的安全与WindowsNT信任域NT内核中有一个执行组件叫做安全参考监视器(SRM)。在DoD的红皮书中也已定义了一个“安全参考监视器”。在红皮书中。一个安全域被一个单一的实体所管理。“一个单一的信任系统犹如一个单一的实体一样,

7、通过一个单一的信任证据所接受。一个单一信任系统网络执行相关的参考监视器来加强对对象访问时所应遵循的清晰的和良好定义的网络安全政策。∽以上描述在NT中就是主域控制器(PDC),记住每一个系统都有本地安全和域安全。PDC的安全参考监视器负责管理域内的所有对象,与此同时.它创建了一个单一的控制点,和一个单一信任系统网络。2.2如何侵犯系统的完整性DoD红皮书定义了“信任处理基础”O'CB)。在WindowsNT中使用安全特权SE_TCB—PRlVILEGE指令和“担当操作系统一部分”的用户权利非常相似。可以通过

8、使用管理员权限来将这个安全特权添加给某一个用户。如果有权担当TCB的一部分,几乎可以做任何事情。现在在进程和剩下系统之间几乎没有安全措施。如果TCB不再被信任了,那么整个网络系统的完整性也已受到攻击。将要展示的就是这样的一个例子.如果它被安装在一个上作站上,就会侵犯一个网络分区。如果它被安装在主域控制器上,将会侵犯整个网络的完整性。在一个相同的主机里,可能拥有两个唯一的区域:TCB在传统的红皮书里被评价为受信任处理基础和NTC

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。