基于Xen虛擬化的內核態(tài)rootkit檢測.pdf

1、隨著計算機技術的不斷發(fā)展,計算機在越來越多的領域得到了應用。伴隨而來的計算機系統(tǒng)安全問題越來越引起人們的關注,圍繞計算機系統(tǒng)安全的相關問題成為研究的熱點。內核態(tài)rootkit是目前隱藏性最好、最難檢測的一類惡意軟件,對計算機系統(tǒng)安全構成了嚴重威脅,研究內核態(tài) rootkit的檢測技術有十分重要的意義。
　　本文首先對與內核態(tài)rootkit緊密相關的 Linux內核知識以及本文采用的Xen虛擬化技術進行了分析與介紹。然后研究分析了內

2、核態(tài)rootkit的攻擊技術與原理。傳統(tǒng)的rootkit檢測方法依賴于系統(tǒng)底層的系統(tǒng)調用或數(shù)據(jù)結構,當內核rootkit入侵系統(tǒng)時,檢測結果不再準確。利用虛擬化結構的特點,本文提出了基于虛擬化的內核 rootkit檢測方法。本文將檢測工具部署在被檢測系統(tǒng)外的虛擬機中,利用虛擬機監(jiān)控器對被檢測虛擬機的 CPU、內存信息完全可見的優(yōu)勢,針對內核態(tài)rootkit攻擊內核關鍵數(shù)據(jù)和代碼、隱藏進程信息的特點,對被檢測系統(tǒng)中內核的關鍵區(qū)域的完整性以