内核级木马隐藏技术研究

摘要

随着计算机、网络的持续发展，给木马的传播提供了诸多途径。木马能带来巨大的危害很大部分来源于其隐蔽性，难于被检测、发现。不过，传统用户级木马，由于一些主动防御软件、杀毒软件的免费使用，以及这些工具对其所用伎俩了如指掌、狠杀猛截，危害性已呈逐年下降的趋势。这就促使了一些木马研究者去探究木马在内核中的隐藏技术，以期达到更好的隐藏效果，逃避传统工具的检测。
　　 内核级木马主要使用内核Rootkit 技术来实现对其自身的隐藏。研究内核级木马隐藏技术，不仅可以深入对内核的学习，而且也有利于找到更好的检测方案来应对可能出现的隐藏技术。
　　 传统的主从型内核级木马的木马功能是在应用层实现的，内核只是起到一个协助隐藏的作用。而应用层的程序具有诸多的特性，这就需要协助隐藏部分针对所有的特性实施隐藏。针对这些缺点，通过对常用内核级隐藏技术的分析，改进的内核级木马隐藏方案在四个方面做了调整：在自启动方面，采用线程注入、在驱动中加载驱动的方法；在文件隐藏方面，通过逆向IRP的传递过程，对接近磁盘卷操作的函数NtfsCommonDirectoryControl 进行内联Hook；在木马功能的实现上，主要通过驱动程序来完成；为了对木马截获信息的保护，在传送给隐蔽通信通道前，使用AES加密算法来加密。
　　 最后，通过对调整后的方案的实现以及测试，发现其能逃避一些知名反Rootkit工具的检测，达到了较好的隐藏效果。

目录

文摘

英文文摘

声明

1 绪论

2 隐藏技术分析

3 内核级木马隐藏方案的分析与设计

4 内核级木马隐藏方案的实现

5 内核级木马隐藏方案的测试

6 总结与展望

致 谢

参考文献