返回
e4文件系统过滤驱动的内核rootkit隐藏技术

e4文件系统过滤驱动的内核rootkit隐藏技术

ID:34658076

大小:382.44 KB

页数:6页

时间:2019-03-08

e4文件系统过滤驱动的内核rootkit隐藏技术_第1页
e4文件系统过滤驱动的内核rootkit隐藏技术_第2页
e4文件系统过滤驱动的内核rootkit隐藏技术_第3页
e4文件系统过滤驱动的内核rootkit隐藏技术_第4页
e4文件系统过滤驱动的内核rootkit隐藏技术_第5页
资源描述:

《e4文件系统过滤驱动的内核rootkit隐藏技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据第31卷第3期2010年5月吉首大学学报(自然科学版)JournalofJishouUniversity(NaturalScienceEdition)V01.31No.3May2010文章编号:1007~2985(2010)03—0043—04基于文件系统过滤驱动的内核Rootkit隐藏技术’侯春明,刘林(吉首大学物理科学与信息工程学院,湖南吉首416000)摘要:Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了

2、文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现,并讨论了针对Rootkit隐藏的检测技术.关键词:文件系统;Rootkit;过滤驱动;隐藏’中图分类号:TP316文献标志码:A随着信息技术的飞速发展,以窃取计算机控制权和敏感信息为目标的程序迅速增加.Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码[1].Rootkit能在目标计算机中长期潜伏,窃取信息而不被察觉,因此在计算机战争、间谍、反计算机犯罪、证据收集等领域得到广泛应用

3、,同时也被计算机病毒、木马、恶意软件等恶意代码使用者用来实现计算机的恶意控制.控制者一旦获得操作系统的控制权限,种植了Rootkit,它就能维护一个后门,允许控制者一直以管理员权限控制系统,并且通过隐藏文件、进程、注册表项、端口等来隐藏攻击行为,从而逃避用户和安全软件的检测[2].隐蔽性是Rootkit的最大特性,而文件系统是Rootkit应用的重要领域.许多Rootkit需要在文件系统中存储文件,并且要求这些文件实现隐藏.Rootkit的文件隐藏技术有2种:利用钩子技术实现文件隐藏,这种方法效率低;利用

4、文件系统过滤驱动技术,效率高,可靠性强.利用文件系统过滤驱动技术来实现Ro—otkit的文件隐藏,成为当前Windows操作系统内核信息安全领域的热点.1文件系统过滤驱动工作原理1.1Windows文件系统驱动文件系统驱动程序是存储管理子系统的一个组件,为用户提供在持久性介质上存储和读取信息的功能,可以创建、修改和删除文件,同时可以安全可控地在用户之间共享和传输信息,并以适当的方式向应用程序提供结构化的文件内容口].用户应用程序对磁盘上的文件进行的各种操作,如创建、打开、关闭、读数据、写操作等,最终都要借

5、助文件系统驱动才能完成.各种操作调用Kernel32.dll,通过Win32子系统调用NativeAPI向内核层传送请求,然后通过系统服务函数将上层的请求传递给I/0管理器,在I/0管理器中,将对磁盘文件的各种操作请求都统一为输入输出请求包IRP,然后向下层传送IRP给文件系统驱动,最终由文件系统驱动调用磁盘及其他存储设备驱动,进而完成对物理存储设备的各种操作.操作完成后,再将处理结果沿着相反路径返回,整体执行过程如图1所示.*收稿日期:2010一04—25.基金项目:吉首大学校级科研课题(09JD015

6、)作者简介:侯春明(1979一),男,湖南桑植人,吉首大学物理科学与信息工程学院讲师,硕士,主要从事计算机应用与信息安全研究.万方数据吉首大学学报(自然科学版)第31卷1.2Windows文件系统过滤驱动WindowsNT操作系统的内核驱动模型WDM(WindowsDriverModel)采用了分层结构的驱动程序结构n].I/O管理器实现1个分层的数据结构,在DEVICE_OBJECT对象中保存某种关系,自动将请求IRP发给设备栈中的最高的1个设备,由其决定如何处理,或是自身处理,或是向下传递,从而实现分

7、层.在WDM模型中,过滤驱动程序可以在应用程序读写数据的过程中,先于操作系统本身的文件系统驱动截获数据处理相关的IRP,进而进行各种相应的操作,比如隐藏文件、修改数据等.从图1可以看出,文件系统过滤驱动位于I/O管理器和文件系统驱动程序之间.2基于文件系统过滤驱动的Rootkit隐藏技术2.1文件系统过滤驱动的实现图1文件系统过滤驱动原理基于文件系统过滤驱动的Rootkit本质上就是驱动程序,在将自身载入内核的同时,完成特定的功能.在Windows操作系统中,对于应用最广泛的FAT32和NTFS文件系统,

8、主要生成2类设备,一类是文件系统驱动本身生成的控制设备CDO,另外一类是该文件系统的卷设备.驱动程序和应用层程序类似,有1个主函数DriverEntry,是Windows驱动程序的入口函数.DriverEntry函数由内核中I/O管理器负责调用.DriverEntry的第1个参数是1个指针,指向1个刚被初始化的驱动程序对象,该对象就代表对应的驱动程序,WDM驱动程序的DriverEntry例程应完成对这个对象的初始化并返回,其

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。