节点文献
一个高隐蔽性的Windows Rootkit系统的设计与实现
【机构】 北京航空航天大学计算机学院;
【摘要】 隐蔽性是计算机秘密取证软件和恶意代码赖以维持其对宿主计算机监控的首要性质。而Rootkit技术则可以满足软件对隐蔽性的需求。本文设计并实现了一个基于驱动模块整体移位、内核线程注入、IRP深度内联Hook、NDIS Hook技术的Windows Rootkit系统。此系统能够长期潜伏于宿主计算机中,秘密收集敏感信息并将其传输至控制端。该Rootkit系统能够很好的躲避专业的Anti-Rootkit工具(如Rootkit Unhooker和冰刃),躲避知名计算机取证工具WireShark的分析,并能穿透著名的卡巴斯基安全套件和瑞星个人防火墙。
【关键词】 Rootkit;
驱动模块整体移位;
内核线程注入;
IRP深度内联Hook;
NDIS Hook;
【基金】 国家自然科学基金(60473057,90604007,90718017);教育部博士点基金(20070006055)资助
- 【会议录名称】 全国计算机安全学术交流会论文集(第二十四卷)
- 【会议名称】第24次全国计算机安全学术交流会
- 【会议时间】2009-09-12
- 【会议地点】中国云南丽江
- 【分类号】TP393.08
- 【主办单位】中国计算机学会计算机安全专业委员会