王宇

摘要：Rootkit幾乎具備了所有惡意代碼的優(yōu)勢(shì)，具有靈活性更大、潛伏性更強(qiáng)、破壞范圍更廣等特點(diǎn)，能夠?qū)inux、Windows等計(jì)算機(jī)操作系統(tǒng)和Android等移動(dòng)終端操作系統(tǒng)實(shí)施攻擊。隨著Rootkit的快速發(fā)展和廣泛使用，如何檢測(cè)防范Rootkit攻擊也成為了熱點(diǎn)研究問題。

關(guān)鍵詞：Rootkit;掛鉤;Rootkit檢測(cè);

中圖分類號(hào)：TP393.08?? 文獻(xiàn)標(biāo)識(shí)碼：A?? 文章編號(hào)：1672-9129（2020）16-0040-01

1 Rootkit概述

Rootkit，直譯即特權(quán)用戶工具集，從其名稱定義不難看出，Rootkit實(shí)質(zhì)是一類能夠獲取特殊控制權(quán)限，訪問敏感數(shù)據(jù)或進(jìn)行風(fēng)險(xiǎn)操作的軟件集[1]。Rootkit早在1994年就已經(jīng)出現(xiàn)，它本身并不是一項(xiàng)新型攻擊技術(shù)，但卻是發(fā)展最快、威脅最大的惡意代碼之一，這是因?yàn)镽ootkit同時(shí)兼?zhèn)淞四抉R、后門、計(jì)算機(jī)病毒的特征，能通過替換、修改硬件代碼或計(jì)算機(jī)程序?qū)⒆约哼M(jìn)行偽裝隱藏，繞過安全檢測(cè)機(jī)制的監(jiān)測(cè)，對(duì)系統(tǒng)實(shí)施訪問或控制。由于Rootkit的隱藏性更深、潛伏期更長(zhǎng)，一般系統(tǒng)的檢測(cè)機(jī)制及一些檢測(cè)軟件很難對(duì)其進(jìn)行有效檢測(cè)，這使Rootkit相較其他類惡意代碼，能造成更大的危害。

2 Rootkit攻擊技術(shù)

2.1攻擊模式。主流計(jì)算機(jī)操作系統(tǒng)多采用自下向上的分層模型，層間接口提供統(tǒng)一標(biāo)準(zhǔn)或協(xié)議將下層進(jìn)行封裝，為上層提供服務(wù)，但分層模型在簡(jiǎn)化層間連接的同時(shí)也存在被攻擊的風(fēng)險(xiǎn)。

用戶模式的Rootkit攻擊通過接入開發(fā)接口、關(guān)閉保護(hù)機(jī)制和使用掛鉤技術(shù)等將指定代碼加載到系統(tǒng)進(jìn)程中，在未授權(quán)的情況下進(jìn)行如替換系統(tǒng)庫(kù)文件、更改系統(tǒng)進(jìn)程等敏感操作。內(nèi)核模式的Rootkit攻擊針對(duì)操作系統(tǒng)的內(nèi)核對(duì)象（如文件、進(jìn)程等）進(jìn)行攻擊，修改或替換內(nèi)核代碼，通過訪問底層信息控制系統(tǒng)，再利用獲得的權(quán)限對(duì)抗安全機(jī)制，欺騙上層調(diào)用，實(shí)施深度隱藏。實(shí)現(xiàn)Rootkit內(nèi)核模式攻擊的方式有很多，例如通過修改系統(tǒng)硬件的驅(qū)動(dòng)程序改變?cè)械姆?wù)調(diào)用。

2.2掛鉤技術(shù)。掛鉤是將攻擊者事先寫好的代碼以外掛程序的形式插入到目標(biāo)程序中，當(dāng)外掛程序被執(zhí)行時(shí)，進(jìn)程將執(zhí)行攻擊代碼，在用戶不知情的情況下完成攻擊。較為常見的掛鉤技術(shù)有API函數(shù)掛鉤和描述符表掛鉤。API函數(shù)掛鉤主要有兩種實(shí)現(xiàn)方式，一種是修改輸入地址表（IAT），另一種是修改函數(shù)地址中的機(jī)器碼。IAT中是程序運(yùn)行要調(diào)用的不同函數(shù)的地址信息，Rootkit使用掛鉤技術(shù)攻擊時(shí)，首先會(huì)分析目標(biāo)程序的結(jié)構(gòu)，然后根據(jù)API函數(shù)地址和IAT確定目標(biāo)函數(shù)地址，再使用攻擊代碼所在地址進(jìn)行替換，這樣當(dāng)程序運(yùn)行至目標(biāo)函數(shù)時(shí)，攻擊函數(shù)就能取而代之得到運(yùn)行，完成攻擊。另一種方式是直接修改函數(shù)入口的機(jī)器碼，使程序轉(zhuǎn)到攻擊函數(shù)。

描述符表掛鉤的攻擊對(duì)象是系統(tǒng)服務(wù)描述符表（SSDT）、中斷描述符表（IDT）、全局描述符表（GDT）等。SSDT掛鉤是將SSDT中某個(gè)系統(tǒng)服務(wù)對(duì)應(yīng)的接口地址修改為掛鉤子函數(shù)的地址，進(jìn)而改變系統(tǒng)服務(wù)的執(zhí)行路徑[2]。IDT掛鉤是用新的表項(xiàng)替換IDT中原有的表項(xiàng)，改變系統(tǒng)服務(wù)的執(zhí)行流程。GDT掛鉤是通過改變內(nèi)在段的執(zhí)行特權(quán)隱藏攻擊進(jìn)程。

2.3虛擬化技術(shù)。虛擬化技術(shù)使軟件與硬件不再僅具有一對(duì)一的映射關(guān)系，同一硬件設(shè)施可以被多種軟件共享。基于虛擬化技術(shù)的Rootkit正是利用這一特點(diǎn)繞開系統(tǒng)的安全檢測(cè)，實(shí)現(xiàn)深度潛伏。

虛擬化技術(shù)的基本組成要素有虛擬機(jī)（VM）和虛擬機(jī)管理器（VMM），VMM使用宿主、監(jiān)控、混合三種模型對(duì)物理主機(jī)的資源進(jìn)行管理。VMM Rootkit在宿主模型下構(gòu)建包含攻擊代碼的VM，再利用VMM控制宿主系統(tǒng)，監(jiān)控、截獲任意信息，由于構(gòu)建的VM與宿主系統(tǒng)是隔離的，因此安全檢測(cè)無法檢測(cè)到攻擊代碼的存在[3]。在監(jiān)控模型下，VMM Rootkit 更改系統(tǒng)驅(qū)動(dòng)程序，改變執(zhí)行流程、建立后門等，監(jiān)視、記錄系統(tǒng)信息，也可以更改指令實(shí)現(xiàn)自身隱藏?；旌夏Ｐ褪乔皟煞N模型的集成，因此VMM Rootkit的攻擊方法與前述相同。

3 Rootkit 檢測(cè)與防范

3.1檢測(cè)方法。根據(jù)Rootkit作用主體對(duì)象的不同將檢測(cè)方法分為硬件和軟件兩種檢測(cè)。硬件檢測(cè)目前尚處于理論研究階段，雖然取得了一些成果，如利用直接內(nèi)存訪問技術(shù)和實(shí)時(shí)掃描技術(shù)等，對(duì)硬件設(shè)備的物理內(nèi)存進(jìn)行監(jiān)控、分析、判斷，及時(shí)發(fā)現(xiàn)異常情況，但具體實(shí)踐經(jīng)驗(yàn)較少，有待進(jìn)一步發(fā)展。

軟件檢測(cè)方法類型較多，常用的有行為檢測(cè)、完整性檢測(cè)、執(zhí)行時(shí)間/路徑檢測(cè)和差異檢測(cè)。行為檢測(cè)根據(jù)Rootkit攻擊行為特征庫(kù)的數(shù)據(jù)，分析比對(duì)當(dāng)前系統(tǒng)是否有符合特征的行為信息，由比對(duì)結(jié)果可知Rootkit攻擊是否發(fā)生。完整性檢測(cè)依據(jù)內(nèi)核文件特征庫(kù)，檢驗(yàn)系統(tǒng)文件特征值是否發(fā)生改變，若特征值與存儲(chǔ)值不同，證明存在Rootkit攻擊。執(zhí)行時(shí)間/路徑檢測(cè)統(tǒng)計(jì)分析系統(tǒng)服務(wù)的執(zhí)行時(shí)間和指令數(shù)差異檢測(cè)Rootkit攻擊，但此種檢測(cè)方法可能會(huì)產(chǎn)生誤報(bào)或影響系統(tǒng)性能。差異檢測(cè)對(duì)不同層次反饋的文件、進(jìn)程等信息進(jìn)行全面比較，再根據(jù)檢測(cè)出的差異分析該差異是否來源于Rootkit攻擊。

3.2防范方法。對(duì)Rootkit攻擊的防御要從用戶、固件、內(nèi)核三個(gè)方向開展，由于用戶級(jí)Rootkit攻擊是針對(duì)系統(tǒng)權(quán)限較低的文件或程序，潛伏性不強(qiáng)，因此現(xiàn)有檢測(cè)技術(shù)就能完成有效防御。固件級(jí)Rootkit防御的核心是使防御代碼獲得優(yōu)先控制權(quán)，即在系統(tǒng)啟動(dòng)運(yùn)行之前就完成防御代碼的部署與配置，再利用防御代碼阻止攻擊代碼加載。內(nèi)核級(jí)Rootkit攻擊危害性最高，檢測(cè)防御難度也最大，目前有效的防御方法是將操作系統(tǒng)內(nèi)核部分與外部程序進(jìn)行隔離，當(dāng)攻擊代碼試圖通過驅(qū)動(dòng)或其他方式加載時(shí)，安全保護(hù)層可以識(shí)別這種非授權(quán)行為并進(jìn)行清除。

4 結(jié)論

Rootkit攻擊是一類特殊的惡意攻擊，檢測(cè)難度高，發(fā)展速度快;隨著智能固件與硬件的應(yīng)用越來越廣泛，Rootkit防御也獲得了更多關(guān)注。本文從Rootkit特點(diǎn)著手，對(duì)Rootkit攻擊的攻擊模式、掛鉤技術(shù)、虛擬化技術(shù)進(jìn)行了詳細(xì)介紹，并從不同角度概述了現(xiàn)行的檢測(cè)、防范方法。

參考文獻(xiàn)：

[1]張瑜，劉慶中，李濤， 等.Rootkit研究綜述[J].電子科技大學(xué)學(xué)報(bào)，2015，（4）：563-578

[2]劉邦明，鄔浙艷，孫黌杰.SSDT掛鉤：基于Windows內(nèi)核的RootKit技術(shù)樣本[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009，（3）：62-64.

[3]施江勇，王會(huì)梅，鮮明， 等.硬件虛擬化rootkit檢測(cè)方法研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2014，31（1）：1-5，12.