一个高隐蔽性的Windows Rootkit系统的设计与实现

摘要

隐蔽性是计算机秘密取证软件和恶意代码赖以维持其对宿主计算机监控的首要性质。而Rootkit技术则可以满足软件对隐蔽性的需求。本文设计并实现了一个基于驱动模块整体移位、内核线程注入、IRP深度内联Hook、NDIS Hook技术的Windows Rootkit系统。此系统能够长期潜伏于宿主计算机中,秘密收集敏感信息并将其传输至控制端。该Rootkit系统能够很好的躲避专业的Anti-Rootkit工具(如Rootkit Unhooker和冰刃),躲避知名计算机取证工具WireShark的分析,并能穿透著名的卡巴斯基安全套件和瑞星个人防火墙。