系统服务Rootkits隐藏行为分析

摘要

用挂钩系统服务来实现进程、文件、注册表、端口等对象的隐藏是最常见的rootkits实现方式.然而大量的检测方法并不能将rootkits和其所隐藏的对象对应起来.本文分析了用户层和内核层系统服务rootkits的隐藏行为,建立了6种模型.在检测出系统服务rootkits的基础上,提出了一种分析其二进制执行代码,匹配模型,找出隐藏对象的方法,实现了一个隐藏行为分析原型.实验结果证明这种隐藏行为分析方法能有效分析出隐藏对象.