第３８卷第１２期２０１１年计算机科学Ｖｏｌ．３８Ｎｏ．ＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅＤｅｃ２基于ＶＭＭ的Ｒｏｏｔｋｉｔ及其检测技术研究（解放军信息工程大学信息工程学院郑州４５０００２）摘要借助虚拟化技术，Ｒｏｏｔｋｉｔ隐藏能力得到极大提升，基于ＶＭＭ的Ｒｏｏｔｋｉｔ的研究成为主机安全领域的热点。总结了传统Ｒｏｏｔｋｉｔ的隐藏方法和技术瓶颈，介绍了ＶＭＭ的自身优势和软、硬件实现方法，分析了不同ＶＭＭＲｏｏｔ－ｋｉｔ的设计原理和运行机制。针对ＶＭＭ存在性检测的不足，阐述了一种新的ＶＭＭ恶意性检测思路，同时讨论了ＶＭＭＲｏｏｔｋｉｔ的演关键词Ｒｏｏｔｋｉｔ虚拟机监控器，检测，防护中图法分类号文献标识码ＴＰ３０９．ＡＲｅｓｅａｒｃｈｏｎＶＭＭ－ｂａｓｅｄＲｏｏｔｋｉｔａｎｄｉｔｓＤｅｔｅｃｔｉｏｎＴｅｃｈｎｏｌｏｇｙＬｅｖｅｒａｇｉｎｇｖｉｒｔｕａｌｉｚａｔｉｏｎｔｅｃｈｎｏｌｏｇｙ，ｒｏｏｔｋｉｔｈａＡｂｓｂａｓｅｄｒｏｏｔｋｉｔｈａｓｂｅｃｏｍｅｔｈｅｆｏｃｕｓｉｎｃｏｍｐｕｔｅｒｓｅｃｕｒｉｔｙｆｉｅｌｄ．Ｔｈｉｓｐａｐｅｒｓｕｍｍａｒｉｚｅｄｔｈｅｔｒａｄｉｔｉｏｎａｌｈｉｄｄｅｎｍｅｔｈｏｄｓａｎｄｔｈｅｂｏｔｔｌｅｎｅｃｋｏｆｔｈｅｉｎ－ｂｏｘｔｅｃｈｎｏｌｏｇｙ，ｉｎｔｒｏｄｕｃｅｄｔｈｅａｄｖａｎｔａｇｅｏｆＶＭＭａｔａｒｃｈｉｔｅｃｔｕｒｅａｎｄｔｈｅｉｍｐｌｅｍｅｎｔａｔｉｏｎｂａｓｅｄｏｎＲｏｏｔｋｉｔＶＭＭ，ＤｅｔｅｃＫｅｙｗｏＲｏｏｔｋｉｔ技术可以帮助恶意代码隐藏程序属性和攻击行为，躲避反病毒软件的监控，Ｒｏｏｔｋｉｔ及其检测技术是业界关注的焦点。Ｒｏｏｔｋｉｔ一般通过挂钩程序执行路径（ＥｘｅｃｕｔｉｏｎＰａｔｈＨｏｏｋ）［１］、直接内核对象操纵（ＤｉｒｅｃｔＫｅｒｎｅｌＯｂｊｅｃｔＭａ－ｎｉｐｕｌａｔｉｏｎ，ＤＫＯＭ）［２］技术篡改操作系统信息，消除入侵痕迹。Ｒｏｏｔｋｉｔ检测根据被修改的系统对象或行为，判别Ｒｏｏｔ－ｋｉｔ的存在。在操作系统内部，Ｒｏｏｔｋｉｔ技术受体系结构束缚，难以向深层发展。系统虚拟化技术改变了原有计算机的体系结构，虚拟机监控器（ＶｉｒｔｕａｌＭａｃｈｉｎｅＭｏｎｉｔｏｒ，ＶＭＭ）运行于主机硬件之上、操作系统之下，拥有最高特权级，操作系统无法感知自身真实的运行环境。将析，提出新型的检测思路和防护方法。１Ｒｏｏｔｋｉｔ概述Ｒｏｏｔｋｉｔ技术使恶意代码隐藏得更深，更容易躲避安全检测。传统Ｒｏｏｔｋｉｔ种类繁多，技术复杂。从用户应用层深入到操作系统内核层，采用的技术主要有以下两种：一是挂钩程序执行路径（Ｈｏｏｋ），其主要思想是修改程序执行逻辑，在调用路径的不同层次上，挂钩原有系统函数或指令代码，将其替换为Ｒｏｏｔｋｉｔ自有函数或恶意代码，过滤系统返回信息，为程序执行者提供错误或虚假的结果。二是直接内核对象操纵（ＤｉｒｅｃｔＫｅｒｎｅｌＯｂｊｅｃｔＭａｎｉｐｕｌａ－ｔｉｏｎ，ＤＫＯＭ）。内核对象为用户提供了进程、驱动和网络端口等详细系统信息，ＤＫＯＭ修改了这些对象的关键数据结构，以隐藏与攻击相关的对象信息，提升线程的执行权限。到稿日期：２０１１－０１－０５返修日期：２０１１－０３－２１前沿技术研究计划（０８２３００４１本文受国家高技术研究发展计划（８６３计划）基金资助项目（２００８ＡＡ１０Ｚ４１９）和河南省基础与周天阳（１９７９－），男，硕士生，主要研究方向为网络与信息研究、虚拟化及安全应用，Ｅ－ｍａｉｌ：ｚｈｏｕｔｉａｎｙａｎｇ２０１０＠ｇｍａｉｌ．ｃｏｍ；朱俊虎（１９７４－），男，副教授，主要研究方向为网络与信息安全；王清贤（１９６０－），教授，博士生导师，主要研究方向为信息安全、算法分析等。为获得系统控制权，攻击和防御都向系统底层迁移，Ｒｏ－ｏｔｋｉｔ若能够驻留在更底层，就能够躲避甚至控制安全软件。反之安全软件若占据底层，就能够检测、隔离和消除较高层的Ｒｏｏｔｋｉｔ。传统Ｒｏｏｔｋｉｔ面临两个主要的问题：一是不能完全控制整个系统，...