内核级木马隐藏技术研究与实现
文献类型:学位论文
| 作者 | 孙淑华 |
| 学位类别 | 博士 |
| 答辩日期 | 2004 |
| 授予单位 | 中国科学院软件研究所 |
| 授予地点 | 中国科学院软件研究所 |
| 关键词 | 特洛伊木马 后门 隐蔽通道 隐藏 检测 内存映射 |
| 其他题名 | Research and Implementation on hiding technology of Kernel TrojanHorse |
| 学位专业 | 计算机应用技术 |
| 中文摘要 | 特洛伊木马是网络攻击的主要手段之一,其首要特征是隐蔽性。它可以在目标系统被攻破以后继续保持对它的控制,并可以以长期潜伏、滞后活动的方式来隐身以获取连续性的政治、经济、军事或商业情报。在网络攻击技术中,木马技术是一个很重要的研究领域。特洛伊木马攻击、检测和清除技术在军方和国家安全保密等部门存在潜在应用,研究意义重大。在当前多维信息战的形势下,加强这方面的工作刻不容缓。本文的研究工作以国家,“863”项目“特洛伊木马隐藏技术研究”为基础,对Lillux内核级木马的隐藏技术进行了深入地研究,分析和总结了现有的特洛伊木马的隐藏和检测技术,并针对著名的内核级木马SuKit进行了剖析,指出了该木马的不足,提出了改进建议和实现方案,开发了一个内核级木马原型Longshadow。内核级木马Longshadow是基于silvio Cesare的思想:在不支持LKM技术的前提下,在运行的系统中实现对内核的改动。没有采用修改系统调用指针进行系统调用重定向来实现隐藏,而是通过在内核中重建一个系统调用表,因此检查系统调用表的变化无法检测到木马的存在。对利用检测系统调用重定向来检测LKM木马的扫描检测工具Kstat可以成功避过。chkrootkit也是检测LKM的工 ,它是通过一些恶意代码签名来检测的,因此木马Longshadow能成功避过。stMicheal-LKM 是检测内核变动的工具,木马Longslladow通过首先定位StMicheal-LKM,然后使其失效的方法避过此种检测工具。由于木马原型LongSlladow在通信隐藏上采用了隐蔽通道技术,因此木马Longshadow可以成功避过Realsecure/snort的检测。本论文的工作主要创新之处在于:利用隐蔽通道技术和实时检测对抗技术改进了通信隐藏和对抗实时检测的能力。另外,论文也针对木马攻击过程的各个阶段对检测技术进行了分析和总结。当然,随着网络安全技术的不断发展,木马扫描检测技术在不断深入,因而木马隐藏技术也需要不断提高。木马隐藏技术与检测技术是攻与防、矛与盾的关系,它们是互相促进,螺旋式上升的。 |
| 语种 | 中文 |
| 公开日期 | 2011-03-17 |
| 页码 | 62 |
| 源URL | [http://ir.iscas.ac.cn/handle/311060/7104]  |
| 专题 | 软件研究所_中科院软件所_中科院软件所 |
| 推荐引用方式 GB/T 7714 | 孙淑华. 内核级木马隐藏技术研究与实现[D]. 中国科学院软件研究所. 中国科学院软件研究所. 2004. |
入库方式: OAI收割
来源:软件研究所
浏览0
下载0
收藏0
其他版本
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。