摘要
近年来,随着互联网应用的迅猛发展增加,人们越来越离不开计算机网络的帮助,网络安全问题日益突出,计算机网络渗透、敏感信息窃取事件时有发生。用户在享受网络所带来的便利与快捷时,也在承受着诸如病毒、木马等恶意程序的威胁。Rootkit是一项操作系统底层技术,通常作为攻击者用来隐藏自己的踪迹和保留 root访问权限的工具,其最终要达到的目的主要是:文件隐藏、网络连接隐藏、注册表项隐藏和进程隐藏等。Rootkit技术作为目前网络安全入侵技术中相对底层和核心的技术越来越被信息安全的攻击方与防御方重视,只有对于这类攻击技术有着很好的了解,才能进一步研究如何对这种技术进行检测与防御。 本课题主要研究Windows NT系列操作系统的针对Rootkit的安全机制,并在此基础上实现了一种简单的Rootkit技术,用于测试Windows NT系统的安全性,具体工作分为以下两个方面展开:Windows NT操作系统的安全机制分析、Windows NT32位操作系统下Rootkit技术应用研究和与突破。 首先,本文介绍了本题研究的背景和意义,对Rootkit技术发展现状和Windows NT操作系统的研究现状进行了阐述,并分析了 Windows NT操作系统的发展给Rootkit带来的挑战。 然后,本文对Windows NT32位操作系统中对Rootkit技术有着重要影响的两个安全机制:UAC、强制驱动签名进行了分析,重点在于分析现有安全机制的优点和不足。 接着,本文重点对Windows NT32位操作系统环境下Rootkit技术进行了研究分析。主要是针对Windows NT32位操作系统与之前操作系统主要改变的网络结构和部分内核数据结构进行了分析,结合分析结果对连接隐藏、注册表隐藏、进程隐藏以及内核态线程注入技术进行了实现。 最后,本文对基于上述课题研究成果所编写的Rootkit程序进行了性能和功能测试。
NETL