论文部分内容阅读
RootKit是能够持久、可靠地存在于计算机上,而难以被检测的一组程序或代码,它使得攻击者可以隐藏自己的踪迹,并且拥有超级用户的权限。近年来,攻击者通过将RootKit与恶意程序相结合,使得恶意软件具有系统管理员权限,长期潜伏于被控制计算机系统中,并躲避安全软件的检测,对计算机用户产生极大的威胁。
本文首先对Windows RootKit的功能和危害进行分析,详细介绍了它在用户空间和内核空间中所采用的核心技术,其中包括用户空间钩子、内联钩子、系统服务描述表钩子、中断描述表钩子,以及设备驱动钩子等相关技术
另外,文中分析了当前WindowsRootKit检测和清除常用的方法,对常见的WindowsRootKit的挂钩技术和隐藏功能进行分类检测。然后重点阐述了本文所使用的检测和清除WindowsRootKit的方法和实现过程。其中主要涉及的检测内容包括系统中的恶意钩子、隐藏在系统中的恶意进程、可疑文件和端口等。
对于检测到的RootKit,针对不同的类型,文中给出了相应的清除方法,这主要包括可疑进程和文件的清除。
本文的主要工作是将针对WindowsRootKit的理论研究和实际应用结合起来,实现了可以检测和清除Windows操作系统中所存在的主流WindowsRootKit的系统平台,提高了一般检测平台的稳定性和兼容性。