会员服务

遏制免杀:反 Rootkit

2019 年 1 月 17 日 计算机与网络安全

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:460500587


微信公众号:计算机与网络安全

ID:Computer-network

Anti Rootkit简称ARK,是Rootkit的对立面,我们都知道Rootkit多被用于免杀,因此研究ARK技术也是研究遏制免杀技术的一个方向。检查Rootkit其实就是在做两件事情,一件是通过数据对比寻找钩子,另一件就是枚举系统中的各个重要数据结构。


从技术原理上来讲,懂得Rootkit就必然会懂ARK,这里不再着重讲解ARK的技术实现细节,而是主要讲思路。


一、适当的监控


Rootkit这个课题本身就是一个悖论。这源于一个最基本的事实,也就是Rootkit既想运行在一台计算机中,而又不想让这台计算机发现自己在运行它,这理论上是不可能。这有点类似于如下情景:甲站在屋外问“请问屋里有人吗?”乙在屋内回答“屋里没人!”这时甲会怎么想呢?


因此,适当且正确的监控是可以发现Rootkit的。反病毒软件截杀Rootkit的最有效方法并非是基于内核层的对抗,而是基于用户层的拦截。任何驱动程序想要加载到内核中都必然要经过用户层,而基于用户层的拦截恰好又是最稳定,且相对较容易实现的,因此在用户层进行适当的监控是非常必要的。


基于用户层的监控一定要适当,否则可能会导致影响系统效率等负面干扰。


二、基本检测逻辑


Rootkit的检测是采用一种被称为交叉视图(Cross-view)的方法进行的。这种方法的最初应用方式是比较系统在不同时间内的快照,并由此发现这些快照产生差异的地方。使用交叉视图方式检查Rootkit时,普通用户所能看到的所有信息都被认为是污染视图(Un-clean view),而硬件层所能“看”到的信息都被认为是干净视图(Clean view)。


在检查Rootkit时这种方法的概念变得更为复杂,它包括了对未执行的文件与内存映像信息的比对,以及各种系统关键表、关键结构的检查对比等,因此干净视图与污染视图的概念也在发生着变化。


但是实际上这种检查方法也是有缺陷的,使用交叉视图的方式检测Rootkit时,其理论基础就是它获得的干净视图必须确实是干净的。换句话说,如果Rootkit在检测程序获取干净视图时对其做了一定的干扰与欺骗,那么这种方法将不再有效。因为理论上它获取的两张视图有全部被污染的可能,这样会导致使用此方法的检查程序失去有效的参照系,进而得出错误的结论。

三、Rootkit检测方法初探


检测Rootkit的两个主要方向就是指针验证与热补丁检查。就一般情况而言,凡是内核中的Rootkit,如果其想要完成一定的功能,通常只有两种方案:一个是修改某个关键结构的指针;另一个就是给某个关键函数打一个热补丁。下面分别简单介绍一下内核层各种Rootkit的检查方法。


1、检查SSDT钩子与IDT钩子


SSDT钩子是原理最简单且最容易实现的内核层钩子,因此,可想而知这也是一种相对较容易检查的钩子。


检查SSDT钩子的方法有很多,例如可以通过分析未被执行的内核文件从而得出真实的SSDT数据,并用其与内存中的SSDT相对比。


或者直接检查SSDT中的函数指针地址,因为在一般情况下SSDT所指向的内核例程地址都在0x80000000~0x8FFFFFFF之间,而骇客们后加载的驱动程序所在的内存地址往往较高。因此修改后的SSDT所指向的内核例程地址很难落在0x80000000~0x8FFFFFFF之间。另外,此种方法也适用于检查IDT钩子。


2、检查IAT钩子


检查IAT钩子的重点就在于如何找到有效的参照系。一般情况下,被安装IAT钩子的程序基本都是系统程序或较为出名的程序。这些程序的一个特点就是有很多种方法能够获取到此程序的可信副本,例如直接读取文件,或者此程序的运行例程不止一个,那么就可以全部都拿来交叉对比一下。因此,只要我们能得到此程序的可信副本,就能知道某个程序的某个IAT是否被恶意修改了。


3、检查IRP钩子


检查IRP钩子的基本思想与检查SSDT钩子的思想有些类似。每个驱动程序都在DRIVER_OBJECT中保存了一些I/O请求包的函数指针,如果需要勾住某个类型的IRP,就要替换掉其中的某个指针,使其指向自己这个驱动中准备好的一个函数。


因此,我们可以检查这些函数指针是否都是指向其驱动程序本身的地址范围之内的,如果这是一个被修改的函数指针,其指向的地址应该是在骇客们的驱动程序中。


4、检查内联钩子


内联钩子是一种较为灵活的钩子类型,因此其检查方式也不尽相同。内联钩子是通过热补丁的方式替换某段二进制可执行代码中的一部分,这种替换有时候需要很高的技巧。


就目前来讲,检查内联钩子的方法就是通过分析未被执行的内核文件,从而得出真实的函数代码,并用其与内存中的可执行映像相对比,进而找出不同点。


四、结语


虽然从理论上讲,如果屋子里没人的话,是不可能有人告诉你“屋里子没人”的,但是在由0和1构建的虚拟世界中,不得不承认检查Rootkit还是一种比较有难度的工作的。


任何现有的Anti-Rootkit工具都是不完美且存有漏洞的,骇客们会以这些工具为目标不停地完善他们的Rootkit。因此这场数字世界中的终极战争还将继续延续下去,如果不想失败的话只有一种办法,那就是不要被技术淘汰。

微信公众号:计算机与网络安全

ID:Computer-network

【推荐书籍】

登录查看更多
0

相关内容

微信是腾讯公司于2011年1月21日推出的一款通过网络快速发送语音短信、视频、图片和文字,支持多人群聊的手机聊天软件。 用户可以通过微信与好友进行形式上更加丰富的类似于短信、彩信等方式的联系。
异质信息网络分析与应用综述,软件学报-北京邮电大学
异质信息网络分析与应用综述,软件学报-北京邮电大学
专知会员服务
61+阅读 · 2020年7月9日
Python地理数据处理,362页pdf,Geoprocessing with Python
Python地理数据处理,362页pdf,Geoprocessing with Python
专知会员服务
110+阅读 · 2020年5月24日
【经典回顾-Thomas Kipf报告】图神经网络无监督学习,32页ppt,Universiteit van Amsterdam
【经典回顾-Thomas Kipf报告】图神经网络无监督学习,32页ppt,Universiteit van Amsterdam
专知会员服务
44+阅读 · 2020年4月30日
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
专知会员服务
67+阅读 · 2020年3月25日
【WWW2020】什么是正常的,什么是奇怪的,知识图谱中缺少什么:通过归纳总结的统一表征
【WWW2020】什么是正常的,什么是奇怪的,知识图谱中缺少什么:通过归纳总结的统一表征
专知会员服务
22+阅读 · 2020年3月24日
【2020新书】简明机器学习导论,电子书与500页PPT
【2020新书】简明机器学习导论,电子书与500页PPT
专知会员服务
199+阅读 · 2020年2月7日
【KDD2019|讲座推荐】神经网络中的不完全性:偏差、偏斜结果和一些解决方案:Incompleteness in Networks: Biases, Skewed Results, and Some Solutions
【KDD2019|讲座推荐】神经网络中的不完全性:偏差、偏斜结果和一些解决方案:Incompleteness in Networks: Biases, Skewed Results, and Some Solutions
专知会员服务
7+阅读 · 2019年12月11日
【中科大徐童】多模态语义理解与关联
【中科大徐童】多模态语义理解与关联
专知会员服务
81+阅读 · 2019年12月7日
互联网、社会互动和群体行为,中国人民大学冯仕政教授,第八届全国社会媒体处理大会SMP2019
互联网、社会互动和群体行为,中国人民大学冯仕政教授,第八届全国社会媒体处理大会SMP2019
专知会员服务
30+阅读 · 2019年10月23日
【AAMSA 2019 | tutorial】对抗机器学习 Adversarial Machine Learning, 伊利诺伊大学厄巴纳-香槟分校|Bo Li,圣路易斯华盛顿大学|Yevgeniy Vorobeychik
【AAMSA 2019 | tutorial】对抗机器学习 Adversarial Machine Learning, 伊利诺伊大学厄巴纳-香槟分校|Bo Li,圣路易斯华盛顿大学|Yevgeniy Vorobeychik
专知会员服务
27+阅读 · 2019年5月13日
3D重建:硬派几何求解vs深度学习打天下?
3D重建:硬派几何求解vs深度学习打天下?
机器之心
5+阅读 · 2019年7月8日
物理学家终于找到了一种拯救薛定谔猫的方法
物理学家终于找到了一种拯救薛定谔猫的方法
中科院物理所
8+阅读 · 2019年6月10日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
网络舆情分析
网络舆情分析
计算机与网络安全
18+阅读 · 2018年10月18日
一文教你构建图书推荐系统【附代码】
一文教你构建图书推荐系统【附代码】
机器学习算法与Python学习
10+阅读 · 2018年9月16日
【工业智能】风机齿轮箱故障诊断 — 基于振动信号
【工业智能】风机齿轮箱故障诊断 — 基于振动信号
产业智能官
30+阅读 · 2018年9月5日
丘成桐:攻克物理难题的数学大师
丘成桐:攻克物理难题的数学大师
科技导报
5+阅读 · 2018年7月23日
【学界】基于生成对抗网络的多视图学习与重构算法
【学界】基于生成对抗网络的多视图学习与重构算法
GAN生成式对抗网络
6+阅读 · 2018年7月12日
专栏 | 如何做好文本关键词提取?从三种算法说起
专栏 | 如何做好文本关键词提取?从三种算法说起
机器之心
14+阅读 · 2018年3月4日
【智能农业】美国的“智慧农业”带动农业产业链实现全新变革
【智能农业】美国的“智慧农业”带动农业产业链实现全新变革
产业智能官
8+阅读 · 2017年10月26日
Explainable Recommendation: A Survey and New Perspectives
Explainable Recommendation: A Survey and New Perspectives
Arxiv
64+阅读 · 2019年8月15日
Do Transformer Attention Heads Provide Transparency in Abstractive Summarization?
Do Transformer Attention Heads Provide Transparency in Abstractive Summarization?
Arxiv
3+阅读 · 2019年7月8日
Towards Understanding Acceleration Tradeoff between Momentum and Asynchrony in Nonconvex Stochastic Optimization
Arxiv
3+阅读 · 2018年10月1日
To Cluster, or Not to Cluster: An Analysis of Clusterability Methods
To Cluster, or Not to Cluster: An Analysis of Clusterability Methods
Arxiv
4+阅读 · 2018年8月24日
Generalization without systematicity: On the compositional skills of sequence-to-sequence recurrent networks
Arxiv
3+阅读 · 2018年6月6日
Coarse-to-fine Seam Estimation for Image Stitching
Arxiv
4+阅读 · 2018年5月24日
Human-In-The-Loop Person Re-Identification
Arxiv
4+阅读 · 2018年5月4日
HyperDense-Net: A hyper-densely connected CNN for multi-modal image segmentation
Arxiv
6+阅读 · 2018年4月9日
Comparative Study of ECO and CFNet Trackers in Noisy Environment
Arxiv
5+阅读 · 2018年1月29日
Monocular Imaging-based Autonomous Tracking for Low-cost Quad-rotor Design - TraQuad
Arxiv
6+阅读 · 2018年1月21日
VIP会员
相关主题
微信群
微信公众号
微信
CVPR 2022
Networking
网络安全
相关VIP内容
异质信息网络分析与应用综述,软件学报-北京邮电大学
异质信息网络分析与应用综述,软件学报-北京邮电大学
专知会员服务
61+阅读 · 2020年7月9日
Python地理数据处理,362页pdf,Geoprocessing with Python
Python地理数据处理,362页pdf,Geoprocessing with Python
专知会员服务
110+阅读 · 2020年5月24日
【经典回顾-Thomas Kipf报告】图神经网络无监督学习,32页ppt,Universiteit van Amsterdam
【经典回顾-Thomas Kipf报告】图神经网络无监督学习,32页ppt,Universiteit van Amsterdam
专知会员服务
44+阅读 · 2020年4月30日
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
专知会员服务
67+阅读 · 2020年3月25日
【WWW2020】什么是正常的,什么是奇怪的,知识图谱中缺少什么:通过归纳总结的统一表征
【WWW2020】什么是正常的,什么是奇怪的,知识图谱中缺少什么:通过归纳总结的统一表征
专知会员服务
22+阅读 · 2020年3月24日
【2020新书】简明机器学习导论,电子书与500页PPT
【2020新书】简明机器学习导论,电子书与500页PPT
专知会员服务
199+阅读 · 2020年2月7日
【KDD2019|讲座推荐】神经网络中的不完全性:偏差、偏斜结果和一些解决方案:Incompleteness in Networks: Biases, Skewed Results, and Some Solutions
【KDD2019|讲座推荐】神经网络中的不完全性:偏差、偏斜结果和一些解决方案:Incompleteness in Networks: Biases, Skewed Results, and Some Solutions
专知会员服务
7+阅读 · 2019年12月11日
【中科大徐童】多模态语义理解与关联
【中科大徐童】多模态语义理解与关联
专知会员服务
81+阅读 · 2019年12月7日
互联网、社会互动和群体行为,中国人民大学冯仕政教授,第八届全国社会媒体处理大会SMP2019
互联网、社会互动和群体行为,中国人民大学冯仕政教授,第八届全国社会媒体处理大会SMP2019
专知会员服务
30+阅读 · 2019年10月23日
【AAMSA 2019 | tutorial】对抗机器学习 Adversarial Machine Learning, 伊利诺伊大学厄巴纳-香槟分校|Bo Li,圣路易斯华盛顿大学|Yevgeniy Vorobeychik
【AAMSA 2019 | tutorial】对抗机器学习 Adversarial Machine Learning, 伊利诺伊大学厄巴纳-香槟分校|Bo Li,圣路易斯华盛顿大学|Yevgeniy Vorobeychik
专知会员服务
27+阅读 · 2019年5月13日
热门VIP内容
相关资讯
3D重建:硬派几何求解vs深度学习打天下?
3D重建:硬派几何求解vs深度学习打天下?
机器之心
5+阅读 · 2019年7月8日
物理学家终于找到了一种拯救薛定谔猫的方法
物理学家终于找到了一种拯救薛定谔猫的方法
中科院物理所
8+阅读 · 2019年6月10日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
网络舆情分析
网络舆情分析
计算机与网络安全
18+阅读 · 2018年10月18日
一文教你构建图书推荐系统【附代码】
一文教你构建图书推荐系统【附代码】
机器学习算法与Python学习
10+阅读 · 2018年9月16日
【工业智能】风机齿轮箱故障诊断 — 基于振动信号
【工业智能】风机齿轮箱故障诊断 — 基于振动信号
产业智能官
30+阅读 · 2018年9月5日
丘成桐:攻克物理难题的数学大师
丘成桐:攻克物理难题的数学大师
科技导报
5+阅读 · 2018年7月23日
【学界】基于生成对抗网络的多视图学习与重构算法
【学界】基于生成对抗网络的多视图学习与重构算法
GAN生成式对抗网络
6+阅读 · 2018年7月12日
专栏 | 如何做好文本关键词提取?从三种算法说起
专栏 | 如何做好文本关键词提取?从三种算法说起
机器之心
14+阅读 · 2018年3月4日
【智能农业】美国的“智慧农业”带动农业产业链实现全新变革
【智能农业】美国的“智慧农业”带动农业产业链实现全新变革
产业智能官
8+阅读 · 2017年10月26日
相关论文
Explainable Recommendation: A Survey and New Perspectives
Explainable Recommendation: A Survey and New Perspectives
Arxiv
64+阅读 · 2019年8月15日
Do Transformer Attention Heads Provide Transparency in Abstractive Summarization?
Do Transformer Attention Heads Provide Transparency in Abstractive Summarization?
Arxiv
3+阅读 · 2019年7月8日
Towards Understanding Acceleration Tradeoff between Momentum and Asynchrony in Nonconvex Stochastic Optimization
Arxiv
3+阅读 · 2018年10月1日
To Cluster, or Not to Cluster: An Analysis of Clusterability Methods
To Cluster, or Not to Cluster: An Analysis of Clusterability Methods
Arxiv
4+阅读 · 2018年8月24日
Generalization without systematicity: On the compositional skills of sequence-to-sequence recurrent networks
Arxiv
3+阅读 · 2018年6月6日
Coarse-to-fine Seam Estimation for Image Stitching
Arxiv
4+阅读 · 2018年5月24日
Human-In-The-Loop Person Re-Identification
Arxiv
4+阅读 · 2018年5月4日
HyperDense-Net: A hyper-densely connected CNN for multi-modal image segmentation
Arxiv
6+阅读 · 2018年4月9日
Comparative Study of ECO and CFNet Trackers in Noisy Environment
Arxiv
5+阅读 · 2018年1月29日
Monocular Imaging-based Autonomous Tracking for Low-cost Quad-rotor Design - TraQuad
Arxiv
6+阅读 · 2018年1月21日
大家都在搜
  1. 智能仓储
  2. 电力电子
  3. 无人地面车辆
  4. 生成式人工智能
  5. MIT博士论文
  6. 卡尔曼
  7. 李清照词作
  8. 无人艇
  9. ads-b
  10. Stable Diffusion
    11.
Top
微信扫码咨询专知VIP会员
Top