《Rootkit恶意软体之隐藏及侦测技术课件.ppt》由会员分享,可在线阅读,更多相关《Rootkit恶意软体之隐藏及侦测技术课件.ppt(31页珍藏版)》请在三一办公上搜索。
1、惡意軟體之隱藏及偵測技術,大葉大學資訊管理學系曹偉駿副教授,大葉大學資訊管理系,2,大綱,研究背景與動機研究目的文獻探討新型的 研製實驗設計與分析結論與未來發展方向,大葉大學資訊管理系,3,研究背景與動機(),近年來,惡意軟體()包括病毒、木馬以及間諜程式日益盛行道高一尺,魔高一丈,一種稱為的技術正威脅著系統,並且讓系統的安全檢測變得更加困難,甚至無從下手的高深隱藏技術常被許多惡意程式用來躲過防毒軟體或防惡意軟體程式的監控,大葉大學資訊管理系,4,研究背景與動機(),年 音樂光碟使用 技術,來保護防盜拷軟體不被使用者任意移除,引來人們對的注意專門討論的論壇誕生 問世,這些 夠好嗎?老大的姿態自
2、居?有些機構如 或軍方,透過網路竊取情報時,需要高隱藏技術,大葉大學資訊管理系,5,研究目的,若想研製具有高準確度之偵測機制,必需探究的製作流程、技術及特徵,才能有效率的防患於未然 開發出一套新型的 且能不被現有的偵測方法所偵測到,激勵 能改進其缺失經由研究變種的心得,研製比市面上更強的,其偵測方法希望能觸發研發者新的想法,並能縮短開發新版本的時間,大葉大學資訊管理系,6,文獻探討(),惡意程式碼決策流程圖,大葉大學資訊管理系,7,文獻探討(),的探討出現二十世紀年代初,這個名詞,來自 與 兩個字的結合。是一套可以讓攻擊者取得受害電腦最高權限的工具,攻擊者利用 權限隱藏與電腦的溝通,不讓管理者
3、發現。,大葉大學資訊管理系,8,文獻探討(),類型 諸如或等作業系統都有使用者模式()和核心模式()等執行模式。,大葉大學資訊管理系,9,文獻探討(),攻擊者以中的木馬程式來替換系統中正常的應用程式與系統檔案。,大葉大學資訊管理系,10,文獻探討(),透過操作與利用,已成為最難被發現的,因為它能夠在應用層檢查中,建立一條繞過檢驗的通道。,大葉大學資訊管理系,11,文獻探討(),修改系統呼叫表,大葉大學資訊管理系,12,文獻探討(),技術隱藏檔案正常系統呼叫函數替換成的系統呼叫函數 隱藏程序程序的記錄訊息會存放於檔案系統中的,改變()系統呼叫函數 隱藏網路連接網路連結會記錄在與這兩個檔案之中,改
4、變()系統呼叫函數 重定向檔案設置 將正常系統呼叫函數替換為的系統呼叫函數、兩學者提出,主要是利用繞道()技術,大葉大學資訊管理系,13,文獻探討(),程序,大葉大學資訊管理系,14,文獻探討(),現有的 安裝於系統核心模組時,將會隱藏監聽網路封包之檔案且改變八個系統呼叫:、與 供攻擊者取得較多的系統控制權 特性 隱藏檔案或目錄、隱藏或連接、程序執行重定向、非授權的用戶權限增加、隱藏正在執行的程序 具有 的主要功能,如隱藏檔案、隱藏程序、隱藏網路連結與重定向檔案設置等一個非常強大的功能:許可權後門程式,大葉大學資訊管理系,15,文獻探討(),現有的偵測技術特徵偵測()鑑別的特徵()行為偵測()
5、搜尋程式隱藏的元素,包括檔案或記錄(、)完整性偵測()對系統中的檔案與目錄建立一個比對資料庫()硬體式偵測()透過外接周邊設備方式安裝在電腦插槽中,對進行偵測與監控()交叉察看偵測()透過 取得系統上重要的資訊,如檔案()、程序()或機碼(),再與經由程式本身演算法產生的資訊進行交叉察看(),大葉大學資訊管理系,16,文獻探討()各偵測技術的比較,大葉大學資訊管理系,17,新型的 研製(),更改系統呼叫之記憶體位址,偵測,大葉大學資訊管理系,18,新型的核心模式(),重定向系統呼叫方法架構,大葉大學資訊管理系,19,躲避現有偵測機制的測試方法,大葉大學資訊管理系,20,變形的 之偵測機制(),
6、大葉大學資訊管理系,21,變形的 之偵測機制(),變形系統呼叫指令,作業系統核心映像檔系統呼叫指令,大葉大學資訊管理系,22,實驗設計與分析,編譯核心編譯與安裝變形,大葉大學資訊管理系,23,實驗測試功能可行性(),隱藏程序,大葉大學資訊管理系,24,實驗測試功能可行性(),大葉大學資訊管理系,25,實驗測試功能可行性(),隱藏檔案,大葉大學資訊管理系,26,實驗測試躲避現有偵測軟體(),大葉大學資訊管理系,27,實驗測試躲避現有偵測軟體(),大葉大學資訊管理系,28,實驗測試躲避現有偵測軟體(),大葉大學資訊管理系,29,結論,本論文所提出重定向系統呼叫方法確實能夠成功迴避現有的偵測軟體,具有實務意義與相關研究價值,大葉大學資訊管理系,30,未來發展方向,經由研究的心得,研製比現有 更強的偵測軟體發展專於隱藏 的,並能躲過市面上知名的偵測軟體針對所設計的 技術,研發出對應的偵測方法,大葉大學資訊管理系,31,謝謝聆聽敬請指教,
