大家好,小蜜来为大家解答以上问题。rootkit,win32很多人还不知道,现在让我们一起来看看吧!
1、Rootkit出现在20世纪90年代初,rootkit一词首次出现在1994年2月的一份安全咨询报告中。
2、这个安全咨询是CERT-CC的CA-1994-01,题目是“进行网络监听攻击”,最新修订日期是1997年9月19日。
3、rootkit技术自出现以来,发展非常迅速,应用越来越广泛,检测难度也越来越大。
4、rootkit简介Rootkit是一种奇特的程序,具有隐身功能:无论是静止(以文件形式存在)还是活动(以进程形式存在)都不会被检测到。
5、换句话说,这种程序可能一直存在于我们的电脑中,只是我们没有意识到而已。
6、这个功能正是很多人梦寐以求的,无论是电脑黑客还是电脑取证人员。
7、黑客可以在入侵后植入Rootkit,暗中刺探敏感信息,也可以伺机而动,伺机而动;取证人员还可以使用Rootkit实时监控嫌疑人的违法行为。
8、它不仅可以收集证据,而且有助于及时采取行动。
9、一、背景知识我们通常所说的智能机,从超级计算机到个人PC再到智能手机,通常有硬件和软件两部分。
10、此外,设备的智能化是通过软件实现的。
11、在所有软件中,有一个是必不可少的,那就是操作系统。
12、操作系统可以简单理解为一组高度复用的核心程序。
13、一方面管理底层硬件设备,另一方面为其他上层程序提供良好的运行环境。
14、诚然,人有不同的生命,是同一个软件,但操作系统享有至高无上的特权:它不仅管理硬件,而且其他所有软件都服从于它。
15、因为应用程序和硬件之间有一个操作系统,应用程序不能直接访问硬件,而是通过调用操作系统提供的接口来使用硬件。
16、也就是说,硬件对应用程序是不可见的。
17、当然,一切都不是绝对的,应用程序绕过操作系统直接访问硬件也不是不可能,但这样做会付出很高的代价。
18、想象一下,一个软件开发者正在开发一个功能丰富的软件。
19、功能本身就够他头疼的了。
20、现在他要操心的是某个轨道某个集群上的某个数据,某个品牌显示器上某个人物颜色的二进制码等繁琐的事情。
21、不用说,光是财力和物力,开发周期就让人无法忍受。
22、所以现在所有的应用都是使用操作系统提供的简单明了的服务来访问系统,因为毕竟没有人愿意去索取。
23、二。
24、内核的主要功能从上面我们已经知道,内核在系统中处于核心枢纽的位置。
25、下面,我们将具体介绍内核中与Rootkit密切相关的几个主要功能,更重要的是这些功能对Rootkit意味着什么:进程管理。
26、进程可以简单理解为正在运行的程序,占用内存、CPU时间等系统资源。
27、目前的操作系统大多支持多用户多任务,也就是说系统要并行运行多个程序。
28、因此,内核不仅要有专门的代码来为进程或线程分配CPU时间,还要开辟一块内存区域来存储用来记录这些进程细节的数据结构。
29、内核如何知道系统中有多少个进程以及每个进程的状态?正是这些数据结构,换句话说,它们是内核感知进程存在的基础。
30、因此,只要修改这些数据结构,就可以隐藏该过程。
31、文件访问。
32、文件系统是操作系统提供的最重要的功能之一。
33、内核中的驱动将设备原有的结构,如柱面、扇区等抽象成更易于使用的文件系统,并提供一致的接口供上层程序调用。
34、也就是说,这部分代码完全控制了对硬盘的访问。
35、通过修改内核中的这部分代码,攻击者可以隐藏文件和目录。
36、安全控制。
37、对于大多数操作系统来说,由于系统中同时存在多个进程,为了避免它们之间的冲突,内核必须对每个进程实施有效的隔离措施。
38、 例如,在MS-Windows系统中,每个进程都被强制指定特定的权限和单独的内存范围。
39、所以对于攻击者来说,只要对内核中负责安全事务的代码稍加修改,整个安全机制就会崩溃。
40、内存管理。
41、今天的硬件平台(如英特尔的奔腾系列处理器)的内存管理机制已经变得非常复杂,它可以将一个内存地址转换成多个物理地址。
42、比如进程A根据地址0x0030030读取内存,它得到的值是“飞机”;但是进程B也是按照同一个地址0x0030030读取内存,但是得到的值是“cannon”。
43、如上所述,相同的地址指向两个不同的物理内存位置,并且每个位置存储不同的数据,这并不奇怪。
44、——只是两个进程把虚拟地址映射到物理地址的方式不同而已。
45、如果利用好这一点,可以让Rootkit逃避调试程序和取证软件的追踪。
46、用超级巡警杀人。
本文到此结束,希望对大家有所帮助。
标签: