Rootkit攻击与检测防范技术研究王宇摘要：Rootkit几乎具备了所有恶意代码的优势，具有灵活性更大、潜伏性更强、破坏范围更广等特点，能够对Linux、Windows等计算机操作系统和Android等移动终端操作系统实施攻击。随着Rootkit的快速发展和广泛使用，如何检测防范Rootkit攻击也成为了热点研究问题。关键词：Rootkit;挂钩;Rootkit检测;：TP393.08文献标识码：A：1672-9129（2020）16-0040-011Rootkit概述Rootkit，直譯即特权用户工具集，从其名称定义不难看出，Rootkit实质是一类能够获取特殊控制权限，访问敏感数据或进行风险操作的软件集[1]。Rootkit早在1994年就已经出现，它本身并不是一项新型攻击技术，但却是发展最快、威胁最大的恶意代码之一，这是因为Rootkit同时兼备了木马、后门、计算机病毒的特征，能通过替换、修改硬件代码或计算机程序将自己进行伪装隐藏，绕过安全检测机制的监测，对系统实施访问或控制。由于Rootkit的隐藏性更深、潜伏期更长，一般系统的检测机制及一些检测软件很难对其进行有效检测，这使Rootkit相较其他类恶意代码，能造成更大的危害。2Rootkit攻击技术2.1攻击模式。主流计算机操作系统多采用自下向上的分层模型，层间接口提供统一标准或协议将下层进行封装，为上层提供服务，但分层模型在简化层间连接的同时也存在被攻击的风险。用户模式的Rootkit攻击通过接入开发接口、关闭保护机制和使用挂钩技术等将指定代码加载到系统进程中，在未授权的情况下进行如替换系统库文件、更改系统进程等敏感操作。内核模式的Rootkit攻击针对操作系统的内核对象（如文件、进程等）进行攻击，修改或替换内核代码，通过访问底层信息控制系统，再利用获得的权限对抗安全机制，欺骗上层调用，实施深度隐藏。实现Rootkit内核模式攻击的方式有很多，例如通过修改系统硬件的驱动程序改变原有的服务调用。2.2挂钩技术。挂钩是将攻击者事先写好的代码以外挂程序的形式插入到目标程序中，当外挂程序被执行时，进程将执行攻击代码，在用户不知情的情况下完成攻击。较为常见的挂钩技术有API函数挂钩和描述符表挂钩。API函数挂钩主要有两种实现方式，一种是修改输入地址表（IAT），另一种是修改函数地址中的机器码。IAT中是程序运行要调用的不同函数的地址信息，Rootkit使用挂钩技术攻击时，首先会分析目标程序的结构，然后根据API函数地址和IAT确定目标函数地址，再使用攻击代码所在地址进行替换，这样当程序运行至目标函数时，攻击函数就能取而代之得到运行，完成攻击。另一种方式是直接修改函数入口的机器码，使程序转到攻击函数。描述符表挂钩的攻击对象是系统服务描述符表（SSDT）、中断描述符表（IDT）、全局描述符表（GDT）等。SSDT挂钩是将SSDT中某个系统服务对应的接口地址修改为挂钩子函数的地址，进而改变系统服务的执行路径[2]。IDT挂钩是用新的表项替换IDT中原有的表项，改变系统服务的执行流程。GDT挂钩是通过改变内在段的执行特权隐藏攻击进程。2.3虚拟化技术。虚拟化技术使软件与硬件不再仅具有一对一的映射关系，同一硬件设施可以被多种软件共享。基于虚拟化技术的Rootkit正是利用这一特点绕开系统的安全检测，实现深度潜伏。虚拟化技术的基本组成要素有虚拟机（VM）和虚拟机管理器（VMM），VMM使用宿主、监控、混合三种模型对物理主机的资源进行管理。VMMRootkit在宿主模型下构建包含攻击代码的VM，再利用VMM控制宿主系统，监控、截获任意信息，由于构建的VM与宿主系统是隔离的，因此安全检测无法检测到攻击代码的存在[3]。在监控模型下，VMMRootkit更改系统驱动程序，改变执行流程、建立后门等，监视、记录系统信息，也可以更改指令实现自身隐藏。混合模型是前两种模型的集成，因此VMMRootkit的攻击方法与前述相同。3Rootkit检测与防范3.1检测方法。根据Rootkit作用主体对象的不同将检测方法分为硬件和软件两种检测。硬件检测目前尚处于理论研究阶段，虽然取得了一些成果，如利用直接内存访问技术和实时扫描技术等，对硬件设备的物理内存进行监控、分析、判断，及时发现异常情况，但具体实践经验较少，有待进一步发展。软件检测方法类型较多，常用的有行为检...