• 当前位置:首页>>编程开发A>>安全防御>>Raising The Bar For Windows Rootkit Detection
  • Raising The Bar For Windows Rootkit Detection
  • 创建时间:2005-08-22
    文章属性:翻译
    文章提交:linux2linux (linux2linux_at_163.com)

    ==Phrack Inc.==

                  Volume 0x0b, Issue 0x3d, Phile #0x08 of 0x14


    |=-------------------------=[ Shadow Walker ]=---------------------------=|
    |=--------=[         给Windows Rootkit的检测增加障碍        ]=------------=|
    |=-----------------------------------------------------------------------=|
    |=---------=[ Sherri Sparks <ssparks at mail.cs.ucf dot edu > ]=---------=|
    |=---------=[ Jamie Butler <james.butler at hbgary dot com >  ]=---------=|
          
    0 - 关于Rootkit技术的简介 & 背景
      0.1 - 动机                                                        
          
    1 - Rootkit检测
      1.1 - 检测 rootkit (所造成)的影响 (启发式)
      1.2 - 检测Rootkit本身 (特征值)

    2 - 内存体系结构的回顾                                            
      2.1 - 虚拟内存 - 分页 vs. 分段                          
      2.2 - 页表 & PTE                                                
      2.3 - 虚拟地址到物理地址的转换                            
      2.4 - 页出错处理程序的作用                                
      2.5 - 分页的性能问题 & TLB                          

    3 - 内存伪装的概念                                                
      3.1 - 隐藏执行代码                                            
      3.2 - 隐藏纯粹数据                                                  
      3.3 - 相关工作                                                      
      3.4 - 证明概念的实现                                    
          3.4.a - 修改过的FU Rootkit
          3.4.b - Shadow Walker 内存挂钩引擎
                                      
    4 - 已知的局限 & 性能上的影响
                                      
    5 - 检测
        
    6 - 总结                                                            
          
    7 - 参考

    8 - 致谢                                      
          
    --[ 0 - 简介 & 背景                                        

    从历史角度来看, Rootkit面对着理解自己攻击行为后所设计的防御技术的不断发展, 展现出一种
    相互进化的自适应性和响应性. 如果我们回顾rootkit技术的进化过程, 这个模式是很明显的.
    第一代的rootkit是原始的. 他们简单地替换/修改受害者系统上关键的系统文件. UNIX登录程序
    是一个共同目标, 吸引着攻击者恶意地用一个具有记录用户密码功能的增强型版本替换原来的二进制文件.
    因为这些早期的rootkit的改变受限于磁盘上的系统文件, 所以他们推动了诸如Tripwire[1]这样的文件
    系统完整性检查工具的发展.

    作为回应, rootkit开发者将他们的修改方式从磁盘移到已加载程序的内存映像, 并且再一次躲避
    了检测. 这些第二代rootkit大体上基于挂钩技术——通过对已加载的应用程序和一些诸如系统调用
    表的操作系统部件打内存补丁而改变执行路径. 虽然更具备隐蔽性, 但是这样的修改还是可以通过
    启发式地搜索异常检测出来. 举例来说, 对于那些包含不指向操作系统内核的系统服务表是很值得
    怀疑的. 这就是VICE[2]使用的技术.      

    第三代的内核rootkit技术称为直接内核对象操作(DKOM),
  • 上一篇:PHP COM组件调用绕过安全模式执行任意文件漏洞
    下一篇:Postfix + Cyrus-IMAP + Cyrus-SASL + MySQL + IMP 完全指南