Rootkit隐遁攻击技术及其防范

本书系统论述了Rootkit隐遁攻击的概念、原理、应用技术及检测取证。首先，简要回顾了Rootkit的由来、定义、原理、类型及其演化。其次，阐述了Rootkit技术的基础理论，包括硬件系统、软件系统，以及Windows内核驱动程序设计。然后，重点探讨了Rootkit攻击技术的具体类型及其实现，包括用户层Rootkit、内核层Rootkit、固件Rootkit及硬件Rootkit。最后，从防御的角度讨论了Rootkit检测与取证技术，以及Rootkit未来的发展趋势。 本书取材新颖，聚焦前沿，内容丰富，可作为IT和安全专业人士的研究指导用书，同时也适合作为高等学校计算机安全专业本科、研究生的参考教材。

张瑜，男，博士，教授，2009年6月毕业于四川大学计算机学院，获工学博士学位，并获四川大学优秀博士毕业生称号。现任职于海南师范大学信息学院，网络与信息安全学术带头人，海南省信息安全委员会委员。2013年受国家留学基金委资助，赴美国Sam Houston State University访学一年，在网络安全领域与美方进行了深度科研合作。主持国家自然科学基金、教育部、海南省重点研发计划项目、海南省自然科学基金等国家计划项目的研究，在国内外**期刊上发表论文30余篇，20多篇被SCI、EI收录。已出版《计算机病毒进化论》、《免疫优化理论及其应用》等专著，申请国家发明专利2项。

目 录 第1章 Rootkit概述 ...............................................................................................................1 1.1 Rootkit的由来 ........................................................................................................................1 1.2 Rootkit的定义 ........................................................................................................................3 1.3 Rootkit的原理 ........................................................................................................................3 1.3.1 计算机系统的抽象.....................................................................................................4 1.3.2 Rootkit设计理念 .......................................................................................................7 1.4 Rootkit的类型及其演化 ........................................................................................................8 1.5 本章小结 ...............................................................................................................................11 第2章 硬件系统 ..................................................................................................................13 2.1 保护模式概述 .......................................................................................................................13 2.2 保护模式执行环境 ...............................................................................................................14 2.3 保护模式CPU特权级 .........................................................................................................18 2.4 保护模式内存分段与分页 ...................................................................................................18 2.5 内存访问控制体系 ...............................................................................................................23 2.6 本章小结 ...............................................................................................................................24 第3章 软件系统 ..................................................................................................................25 3.1 Windows系统的设计原则...................................................................................................25 3.2 Windows系统的体系结构...................................................................................................26 3.3 Windows的分段与分页.......................................................................................................27 3.4 Windows系统服务调用机制...............................................................................................28 3.4.1 中断分发...................................................................................................................30 3.4.2 异常分发...................................................................................................................32 3.4.3 系统服务分发...........................................................................................................33 3.5 本章小结 ...............................................................................................................................35 第4章 Windows内核驱动程序 ...........................................................................................37 4.1 概述 .......................................................................................................................................37 4.2 重要数据结构 .......................................................................................................................41 4.2.1 IRP ............................................................................................................................42 4.2.2 I/O堆栈 ....................................................................................................................45 4.2.3 IRP的传递与完成 ...................................................................................................47 4.3 WDM驱动的基本结构 .......................................................................................................48 4.3.1 DriverEntry ...............................................................................................................48 4.3.2 AddDevice.................................................................................................................53 4.3.3 IRP处理例程 ...........................................................................................................54 4.3.4 Unload .......................................................................................................................54 4.3.5 内核驱动程序实例...................................................................................................54 4.4 本章小结 ...............................................................................................................................56 第5章 用户层Rootkit .........................................................................................................57 5.1 用户层Rootkit概述 .............................................................................................................57 5.2 用户层Rootkit技术 .............................................................................................................58 5.2.1 IAT钩子 ...................................................................................................................58 5.2.2 Inline Function钩子 .................................................................................................69 5.2.3 DLL注入 ..................................................................................................................75 5.2.4 DLL劫持 ..................................................................................................................78 5.3 本章小结 ...............................................................................................................................85 第6章 内核层Rootkit .........................................................................................................87 6.1 内核层Rootkit概述 .............................................................................................................87 6.2 内核层Rootkit技术 .............................................................................................................88 6.2.1 系统表格钩子...........................................................................................................89 6.2.2 映像修改.................................................................................................................129 6.2.3 过滤驱动程序.........................................................................................................139 6.2.4 直接内核对象操纵（DKOM） ............................................................................143 6.3 本章小结 .............................................................................................................................145 第7章 底层Rootkit ...........................................................................................................147 7.1 扩展的处理器模式 .............................................................................................................147 7.1.1 系统管理模式.........................................................................................................148 7.1.2 虚拟机技术.............................................................................................................149 7.2 固件 .....................................................................................................................................150 7.2.1 板载BIOS ..............................................................................................................150 7.2.2 扩展ROM ..............................................................................................................152 7.2.3 ACPI组件 ...............................................................................................................152 7.2.4 UEFI组件 ...............................................................................................................152 7.3 硬件 .....................................................................................................................................154 7.4 本章小结 .............................................................................................................................154 第8章 Rootkit检测与取证分析 .........................................................................................155 8.1 Rootkit检测概述 ................................................................................................................155 8.2 Rootkit检测技术 ................................................................................................................158 8.2.1 IAT Hook检测示例 ...............................................................................................159 8.2.2 IRP Hook检测示例 ................................................................................................160 8.2.3 IDT Hook检测示例 ...............................................................................................162 8.2.4 MSR Hook检测示例 .............................................................................................165 8.2.5 SSDT Hook检测示例 ............................................................................................174 8.2.6 Inline Hook检测示例 ............................................................................................176 8.2.7 基于免疫的Rootkit检测技术...............................................................................177 8.3 Rootkit检测工具 ................................................................................................................191 8.4 Rootkit取证分析 ................................................................................................................193 8.4.1 证据的获取与存储.................................................................................................194 8.4.2 取证分析.................................................................................................................194 8.5 Rootkit取证工具 ................................................................................................................238 8.5.1 磁盘镜像工具.........................................................................................................238 8.5.2 内存镜像工具.........................................................................................................241 8.5.3 内存分析工具.........................................................................................................243 8.5.4 进程转储工具.........................................................................................................243 8.5.5 时间轴取证工具.....................................................................................................243 8.5.6 证据收集工具.........................................................................................................244 8.5.7 电子邮件取证工具.................................................................................................244 8.5.8 大数据取证分析工具.............................................................................................245 8.6 本章小结 .............................................................................................................................246 第9章 Rootkit的未来 .......................................................................................................247 9.1 Rootkit的发展趋势 ............................................................................................................247 9.2 Rootkit的防御方向 ............................................................................................................248 参考文献 ..............................................................................................................................251