1、Rootkit是能持久的存在于計(jì)算機(jī)上而難以被檢測(cè)的一組程序或代碼,是惡意軟件用來隱藏自己的蹤跡和保留計(jì)算機(jī)超級(jí)用戶權(quán)限的工具。Rootkit的嚴(yán)重危害性表現(xiàn)在它擁有目標(biāo)計(jì)算機(jī)的超級(jí)用戶權(quán)限,可以在用戶不知道的情況下對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行隨心所欲的操控。不斷發(fā)展的Rootkit技術(shù)甚至能攻破Rootkit檢測(cè)軟件,并通過修改Rootkit檢測(cè)軟件的執(zhí)行邏輯使Rootkit檢測(cè)軟件失效。
　　 本文首先對(duì)Rootkit采用的技術(shù)和發(fā)展趨

2、勢(shì)進(jìn)行了分析,對(duì)Rootkit檢測(cè)工具的現(xiàn)狀進(jìn)行了總結(jié);對(duì)與Rootkit緊密相關(guān)的windows操作系統(tǒng)進(jìn)行了研究,包括訪問控制機(jī)制、內(nèi)存分頁和尋址方式、進(jìn)程和線程、可加載內(nèi)核模塊(驅(qū)動(dòng))、系統(tǒng)服務(wù)調(diào)度表、中斷描述符表、PE文件的結(jié)構(gòu)和加載方式、操作系統(tǒng)信息查詢函數(shù)等。在對(duì)Rootkit新技術(shù)、RootMt檢測(cè)工具缺陷性和windows操作系統(tǒng)脆弱性三個(gè)方面進(jìn)行分析的基礎(chǔ)上,設(shè)計(jì)了一個(gè)自檢子系統(tǒng)和Rootkit檢測(cè)子系統(tǒng)相互獨(dú)立的Ro

3、otkit檢測(cè)系統(tǒng)。
　　 本文對(duì)Rootkit檢測(cè)子系統(tǒng)進(jìn)行了詳細(xì)設(shè)計(jì)。對(duì)文件完整性檢測(cè),提出基于待檢測(cè)模塊可重復(fù)隨機(jī)組合求取MD5信息摘要的檢測(cè)算法和具體的文件完整性檢測(cè)流程;通過對(duì)鉤子函數(shù)采用的不同技術(shù)進(jìn)行分析后,提出基于函數(shù)地址可接受范圍和函數(shù)起始64字節(jié)一致性檢測(cè)鉤子;通過對(duì)注冊(cè)表文件和注冊(cè)表查詢的分析,提出基于HIVE文件的隱藏注冊(cè)表檢測(cè);通過對(duì)Rootkit隱藏文件技術(shù)和磁盤文件存儲(chǔ)方式的研究,提出基于直接磁盤文件

4、讀取檢測(cè)隱藏文件;通過對(duì)Rootkit的系統(tǒng)消息鉤子和直接內(nèi)核對(duì)象操作技術(shù)研究,提出基于內(nèi)核對(duì)象句柄和線程調(diào)度隊(duì)列檢測(cè)隱藏進(jìn)程。在Rootkit檢測(cè)子系統(tǒng)自保護(hù)方面,隱藏了與Rootkit檢測(cè)子系統(tǒng)相關(guān)的文件、進(jìn)程和驅(qū)動(dòng),并設(shè)計(jì)了提前啟動(dòng)方式,在降低系統(tǒng)的誤檢率方面,通過專門的數(shù)據(jù)分析模塊對(duì)各檢測(cè)模塊上報(bào)的疑似Rootkit進(jìn)行再分析。
　　 本文將自檢子系統(tǒng)和Rootkit檢測(cè)子系統(tǒng)設(shè)計(jì)成沒有直接依賴和調(diào)用關(guān)系的兩個(gè)獨(dú)立子系統(tǒng)