Rootkit與Anti-Rootkit軟件的設計與實現(xiàn).pdf

1、隨著windows作為目前主流PC（個人電腦）的普及，windows操作系統(tǒng)的研究以及發(fā)展已經深入到生活中的方方面面，特別是 windows的核心部件，對于它的研究，可以作為一個安全手段；當然對于它的研究也是一把雙刃劍，也可以摧毀一臺電腦。針對這兩方面的，主要是rootkit和anti-rootkit。為了達到某些不可告人的目的，rootkit作為一個攻擊者，它會在各方面對自己進行隱蔽，然后在需要的時候發(fā)起攻擊，以達到某些目的，比如竊取

2、商業(yè)機密，摧毀電腦；而 anti-rootkit是隨著 rootkit的誕生而誕生的，它的目的很明確，就是揪出所有隱藏在電腦的rootkit，還給主人一個安全的環(huán)境。Rootkit和anti-rootkit是一種對抗的關系，隨著對系統(tǒng)的更深入研究，將會愈演愈烈。根據(jù)對操作系統(tǒng)入侵的層次來劃分，可以將 Rootkit分為用戶級 Rootkit和內核級 Rootkit。比較而言，用戶級 Rootkit工作在操作系統(tǒng)的應用層，具有輕便、通用性

3、強的優(yōu)點；而內核級 Rootkit直接攻擊操作系統(tǒng)的內核，危害更大，功能更強大，更難以檢測，不過其工作需要環(huán)0權限，且兼容性較差。
　　本文針對這兩種Rootkit，首先闡述了 Rootkit的相關技術原理，包括用戶級Rootkit以及內核級Rootkit，描述了常規(guī)的Rootkit手段。包括IAT HOOK、EAT HOOK、IDT表的修改以及IRP處理例程HOOK以及經典的SSDT HOOK，在此基礎上，介紹了幾種更加新穎的

4、Rootkit技術手段。通過對 Rootkit的技術手段的分析，介紹了幾種常規(guī)的 Anti-Rootkit的方法，并針對新的 Rootkit方法來進行Anti-Rootkit。最后，本文根據(jù)文中提及的Rootkit方法以及Anti-Rootkit方法，分別編寫一款軟件來進行驗證。通過采用新的 Rootkit方法來對當前世面上的Anti-Rootkit軟件來進行驗證，彌補這些安全軟件的不足之處，從而開發(fā)出新的Anti-Rootkit軟件，