Linux下VFS层Rootkit技术研究

admin管理员组

文章数量:1536472

2023年12月29日发(作者：)

第３６卷　第８期　Ｖｏ１．３６　・计算机工程　２０１０年４月　，ｊ　Ａｐｒｉｌ　２０１０　Ｎｏ．８　Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　安全技术・　文章绩号；ｌ伽ｏ—ａ¨４２８（２０１０）ｏ８＿＿ｏ１６ｌ—ｏ２，　文■标识码ｔ　Ａ　中圈分类号，Ｎ９４５　Ｌｉｎｕｘ下ＶＦＳ层Ｒｏｏｔｋｉｔ技术研究　丁滟，富弘毅，李宇卓　（国防科技大学计算机学院，长沙４１００７３）　摘要：Ｌｉｎｕｘ下ＶＦＳ层ｒｏｔｉｋｔ隐藏层次深，查杀难度大。其典型应用ａｄｏｒｎ—ｎｇ在实际使用时无法屏蔽卡巴斯基等实时监控软件，破坏隐　蔽效果。针对该问题，运用系统调用修改和ＶＦＳ写函数内容过滤２种方法，设计并实现了相应的改进方案。仿真实验结果表明，该方案易　于实现、效果良好，可以有效提高ａｄｏｒｅ—ｎｇ的隐蔽性能。　关健诃：Ｌｉｎｕｘ内核；信息安全；ｒｏｏｔｋｉｔ技术；ＶＦＳ层　Ｒｅｓｅａｒｃｈ　０ｎ　ＶＦＳ　Ｌａｙｅｒ　Ｒｏｏｔｋｉｔ　Ｔｅｃｈｎｉｑｕｅ　ｉｎ　Ｌｉｎｕｘ　ＤＩＮＧ　Ｙａｎ，ＦＵ　Ｈｏｎｇ－ｙｉ，ＬＩ　Ｙｕ－ｚｈｕｏ　（Ｓｃｈｏｏｌ　ｏｆ　Ｃｏｍｐｕｔｅｒ，Ｎａｔｉｏｎａｌ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｄｅｆｅｎｃｅ　Ｔｅｃｈｎｏｌｏｇｙ，Ｃｈａｎｇｓｈａ　４１００７３）　［Ａｂｓｔｒａｃｔ］Ｔｈｅ　ｋｅｒｎｅｌ　ｒｏｏｔｋｉｔ　ａｔ　ＶＦＳ　ｌａｙｅｒ　ｈｉｄｅｓ　ｄ￣ｐｌｙ　ｉｎ　Ｌｉｎｕｘ，ａｎｄ　ｉｔ　ｉｓ　ｈａｒｄ　ｔｏ　ｂｅ　ｄｅｔｅｃｔｅｄ　ａｎｄ　ｋｉｌｌｅｄ．ａｄｏｒｅ・ｎｇ　ｉｓ　ａ　ｙｔｐｉｃａｌ　ｏｒｏｔｋｉｔ　ａｐｐｌｉｃａｔｉｏｎ，　ｂｕｔ　ｉｔ　ｃａｎ　ｎｏｔ　ｓｕｒｖｉｖｅ　ｓｏｍｅ　ｏｆ　ｔｈｅ　ｒｅａｌ—ｔｉｍｅ　ｍｏｎｉｔｏｒｉｎｇ　ｐｒｏｇｒａｍｓ，ｓｕｃｈ　ａｓ　ｈｔｅ　Ｋａｓｐｅｒｓｋｙ　Ｉｎｔｅｒｎｅｔ　ｓｅｃｕｒｉｔｙ．Ａｉｍｉｎｇ　ａｔ　ｈｔｉｓ　ｐｒｏｂｌｅｍ．ｔｈｅ　ｐａｐｅｒ　ｐｒｏｐｏｓｅｓ　ｔｗｏ　ｄｉｆｆｅｒｅｎｔ　ｓｏｌｕｔｉｏｎｓ．Ｏｎｅｉｓ　ｂｙｔｈｅｍｏｄｉｉｆｃａｔｉｏｎ　ｏｆ　ｒｅｌｅｖａｎｔ　ｓｙｓｔｅｍ　ｃａｌｌｓ，ｔｈｅ　ｏｔｈｅｒｉｓ　ｂｙｆｉｌｔｅｒｉｎｇｔｈｅ　ｃｏｎｔｅｎｔｗｒｉｔｔｅｎ　ｂｙｔｈｅＶＦＳｗｒｉｔｅ　ｃａｌ１．Ｂｏｔｈ　ｔｈｅｓｅ　ｔｗｏ　ａｐｐｒｏａｃｈｅｓ　ａｒｅ　ｅａｓｙ　ｔｏ　ｂｅ　ｉｍｐｌｅｍｅｎｔｅｄ．Ｅｘｐｅｒｉｍｅｎｔａｌ　ｒｅｓｕｌｔｓ　ｓｈｏｗ　ｈｔｅ　ａｐｐｒｏａｃｈｅｓ　ａｒｅ　ｅｆｆｅｃｔｉｖｅ．　］Ｋｅｙ　ｗｏｒｄｓ］Ｌｉｎｕｘ　ｋｅｒｎｅｌ；ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ；ｒｏｏｔｋｉｔ　ｔｅｃｈｎｉｑｕｅ；ＶＦＳ　ｌａｙｅｒ　ｌ概述　蔽攻击者的入侵活动。　网络时代带来了全球化信息共享，同时也使得信息安全　内核级ｒｏｏｔｋｉｔ又细分为系统调用表修改类、系统调用表　成为备受关注的问题　无论是信息攫取还是信息保护，在当　重定向类以及ＶＦＳ层ｒｏｏｔｋｉｔ等。系统调用表修改类ｒｏｏｔｋｉｔ　今信息战环境下，只有掌握“攻”、“防”两方面技术，才能　通过修改导出的系统调用表，对与攻击行为相关的系统调用　处于有利地位。ｒｏｏｔｋｉｔ是在攻击者已经获取超级用户访问权　进行替换，隐藏攻击者的行踪，典型应用有Ｋｎａｒｋ，ａｄｏｒｅ等；　限之后，隐藏自己踪迹和保留访问权限的工具，为攻击者提　系统调用表重定向类ｒｏｏｔｋｉｔ并没有修改系统调用跳转表的内　供“保护伞”。近年来，随着Ｌｉｎｕｘ系统应用范围日渐广泛，　容，而是首先拷贝了系统调用表，然后将拷贝的系统调用表　针对该系统的ｒｏｏｔｋｉｔ技术也迅速发展，已经从简单的用户级　按照入侵者的意图进行修改，执行入侵者改写的系统调用响　命令替换发展为在Ｌｉｎｕｘ内核中进行信息拦截，从系统调用　应函数。然后将ｓｙｓｔｅｍ＿ｃａｌｌ从旧的系统调用表上移开，指向　替换到ＶＦＳ层函数篡改，隐藏层次逐渐深入，隐蔽性越来越　新的系统调用表。此类ｒｏｏｔｋｉｔ的典型应用有ＳｕｃＫＩＴ等；ＶＦＳ　高。ＶＦＳ层ｒｏｏｔｋｉｔ在当今隐藏技术中隐藏层次最深，检测难　层ｒｏｏｔｋｉｔ并不修改系统调用层的内容，而是通过修改ＶＦＳ　度大。研究掌握ＶＦＳ层ｒｏｏｔｋｉｔ技术对提高网络攻防能力，在　层的具体处理函数，如替换ＶＦＳ层的ｆｉｌｅ＿ｏｐｓ等函数，来实　信息战环境下立于不败之地具有重要意义。　现信息隐藏目的。此类ｒｏｏｔｋｉｔ的典型应用有ａｄｏｉｅ・ｎｇ。　本文对当前流行的ＶＦＳ层ｒｏｏｔｋｉｔ技术以及经典应用实例　前２类内核级ｒｏｏｔｋｉｔ可以通过检查／ｄｅｖ／ｋｍｅｍ来发现系　ａｄｏｒｅ—ｎｇ进行分析研究，针对该软件在杀毒软件实时监控下　统调用表是否被篡改或替换　Ｊ。而对于ＶＦＳ层ｒｏｏｔｋｉｔ，此类　暴露的缺陷提出改进方案，并加以实现，以增强软件的隐蔽　工具无法正确检出，一些专门针对ＶＦＳ层ｒｏｏｔｋｉｔ的检测工具　性。实验证明改进效果良好。　基本处于研究阶段【４Ｊ，尚无通用工具出现。通常对于ＶＦＳ层　２相关工作　ｒｏｏｔｋｉｔ只能够通过完整性校验等工具发现可疑，然后进一步　ｒｏｏｔｋｉｔ技术出现在２０世纪９０年代早期，主要用于黑客　排查。　在侵入计算机之后，保持继续访问系统的能力。最初的ｒｏｏｔｋｉｔ　由上述可见，基于ＶＦＳ层的ｒｏｏｔｋｉｔ具有隐藏层次深、查　只是后门程序，之后为了躲避检测工具，研究的方向转向于　杀难度大等特点，成为当今ｒｏｏｔｋｉｔ研究的热点。对该类ｒｏｏｔｋｉｔ　如何有效地隐藏攻击者的各种踪迹，包括访问的文件、启动　进行深入研究，有利于掌握最新的隐藏技术，提供网络攻击　的进程等…。　能力，为打赢信息战做好充分准备。另外，对攻击技术的深　Ｌｉｎｕｘ系统的ｒｏｏｔｋｉｔ技术发展经历了用户级ｒｏｏｔｋｉｔ和内　基金项目：国家“８６３”计划基金资助项日“分布加密存储软件结构　核级ｒｏｏｔｋｉｔ　２个阶段　Ｊ。用户级ｒｏｏｔｋｉｔ通过在用户层替换ｌｓ，　及其关键技术”（２００７ＡＡ０１Ｚ４０８）　ｐｓ等关键命令，屏蔽攻击者的文件、进程等信息；内核级　作者骱：丁滟（１９７７－－），女，硕士，主研方向：操作系统安全，　ｒｏｏｔｋｉｔ则基于可装载内核模块（Ｌｏａｄａｂｌｅ　Ｋｅｒｎｅｌ　Ｍｏｄｕｌｅｓ，　网络安全　；富弘毅，博士研究生；李宇卓，工程师　ＬＫＭ）技术，将具有隐藏功能的模块嵌入系统内核，向用户屏　收藕日期：２００９—１２＿ｏｌ　Ｅ－ｍａｉｌ：ｄｉｎｇｙａｎ＿ｄｉｎｇ＠ｙａｈｏｏ．ｃｏｍ．ｃａ　—ｌ６１—　

入研究也可以提高人们进行信息安全保护的能力。　３　ａｄｏｒｅ－ｎｇ防实时监控研究　作为典型并广泛应用的ＶＦＳ型ｒｏｏｔｋｉｔ，ａｄｏｒｅ・ｎｇ通过截　获ＶＦＳ层的函数实现了文件目录隐藏、进程隐藏、通信连接　３．２改进方案２　为了使ｒｏｏｔｋｉｔ能够绕过卡巴斯基的日志监控系统，可以　考虑在ＶＦＳ层对写入卡巴斯基日志文件的内容进行过滤。这　就需要截获ＶＦＳ层ｆｉｌｅ＿ｏｐｅｒａｔｉｏｎｓ的ｗｒｉｔｅ函数，使用笔者自　己实现的ｗｉｒｔｅ函数进行替换。函数具体流程设计如下：　隐藏、信息过滤等ｒｏｏｔｋｉｔ功能　Ｊ。　由于ａｄｏｒｅ－ｎｇ工作于ＶＦＳ层，隐蔽层次深，因此一般　ｒｏｏｔｋｉｔ检测工具很难发现。然而对于一些工作在内核层的实　时监控软件，虽然不会对ａｄｏｒｅ—ｎｇ的存在进行报警，但会记　（１）判断写操作的对象是否为卡巴斯基日志文件，若是，　则继续（２）；否则跳转到（４）；　（２）判断当前进程是否为ａｄｏｒｅ—ｎｇ所隐藏的进程，若是，　则返回；否则继续（３）；　录下ａｄｏｒｅ．ｎｇ所访问的文件以及进程活动等。　以目前流行的病毒查杀工具卡巴斯基为例，卡巴斯基实　时监控模块采用系统调用替换的方法，对系统调用进行拦截，　（３）判断当前缩写内容是否有ａｄｏｒｅ—ｎｇ所隐藏的文件或目　录名，若是，则返回；否则继续（４）；　获取系统文件、进程等访问行为。如图１所示，卡巴斯基替　换了内核的ｓｙｓ—ｏｐｅｎ函数，由于ａｄｏｒｅ・ｎｇ通过修改ＶＦＳ层　ｒｅａｄｄｉｒ函数隐藏文件，并不对ｓｙｓ—ｏｐｅｎ函数做处理，因此隐　蔽进程访问隐蔽文件等操作就会被卡巴斯基实施监控模块记　录下来。　　ｌｏｐｅｎ（）１　用户层＝二二≥　执行流　圈１卡巴斯基实时监控过程　管理员检查实时监控日志，就可能发现被隐藏的文件、　进程等，通过对这些信息的分析，就可能使攻击者的来源、　目的全盘暴露。因此，有必要对ａｄｏｒｅ—ｎｇ进行改进，使其适　应实时监控环境，增强隐蔽性。　３．１改进方寨１　通过上述分析可知，卡巴斯基通过修改系统调用来记录　用户的行为。那么，如果截取修改过的系统调用，对其所记　录的信息进行过滤即可实现屏蔽敏感信息。在此，仅以ｏｐｅｎ　系统调用为例，其余的系统调用截获类似。　如图２所示，在此方案中，首先查找出系统中原有的　ｓｙｓ—ｏｐｅｎ实现函数的地址，然后在此基础上设计实现自己的　ｏｐｅｎ调用实现函数ｏｕｒ＿ｏｐｅｎ。该函数首先判断所要ｏｐｅｎ的　文件是否是需要隐藏的文件，若是，则调用系统中原有的　ｓｙｓ＿ｏｐｅｎ函数；否则调用Ｋａｖ—ｏｐｅｎ，让卡巴斯基实时监控函　数正常审计。最后修改系统调用表，使其指向ｏｐｅｎ实现函数。　圃　用户层———÷　执行流　内核层　圈２改进方案１　通过上述修改，使得对被ａｄｏｒｅ—ｎｇ隐藏的文件访问不会　被记录下来，安全管理员无法通过分析实时监控日志而发现　这些文件的存在；而对系统中其他文件的访问则会被正常记　录，安全管理员不会察觉实时监控功能已经受到屏蔽。　（４）调用系统中原有ｗｒｉｔｅ函数。　通过上述修改，如果此次写操作是向卡巴斯基日志文件　中记录被隐藏文件的访问，那么此次写操作为空操作。而其　他写操作则被正常记录。　３．３改进结果　根据上述设计方案，分别对ａｄｏｒｅ—ｎｇ进行修改，并且在　真实环境对改进后的软件进行测试。　测试平台为Ｆｅｄｏｒａ　Ｃｏｒｅ　５，内核版本２－４．２０，ａｄｏｒｅ—ｎｇ　的版本为１．５４。测试流程如下：　（１）开启卡巴斯基实时监控系统；　（２）加载改进后的ａｄｏｒｅ—ｎｇ模块，隐藏／ｔａｒｐ／ｔｅｓｔ．Ｃ文件；　（３）打开／ｔｍｐ／ｔｅｓｔ．Ｃ文件；　（４）查看卡巴斯基日志文件，查找有关／ｔｍｐ／ｔｅｓｔ．Ｃ的记录；　（５）卸载改进后的ａｄｏｒｅ—ｎｇ模块，加载未经改进的　ａｄｏｒｅ—ｎｇ模块，并隐藏／ｔｍｐ／ｔｅｓｔ．Ｃ文件；　（６）打开／ｔｍｐ／ｔｅｓｔ．Ｃ文件；　（７）查看卡巴斯基日志文件，查找有关／ｔｍｐ／ｔｅｓｔ．ｃ的记录。　改进方案１及改进方案２的的测试结果分别如图３、图４　所示。　圈３改进方案１　试锖果　圈４改进方案２舅试结果　（下转第１６４页）　

数问题，所以，篡改协定信息Ｃ是不可行的。　３．２不可追踪性　在该方案中，Ｂ观察到的信息为（ｍ　，ｒ，Ｓ，ｃ），若曰存储信　长度通常取为１　０２４　ｂｉｔ或更长。　表示ｎ的长度，模ｎ下的　次指数运算的计算时间是一次乘法运算计算时间的　０．３２４　６１ｎｌ倍　Ｊ，逆运算和指数运算的计算时间基本相等，一　一息（ｍ　，ｒ，　，ｃ），则当Ａ公开（佩　ｃ）后，　可以通过如下方程：　＝次Ｈａｓｈ运算的计算时间不多于一次模乘运算时间　ｊ。对文　献［２］提出的基于Ｓｃｈｎｏｒｒ签名算法的部分盲签名方案、基于　ＤＳＡ变形签名算法的部分盲签名方案　和本文方案进行比　（ａｓ一　）［　）］ｍｏｄ（ｐ一１）　（　）　（ｒ　一６）ｍｏｄ（ｐ一１）　＝ｒ，：　ｙ岛ｒ　ｇ￣ｍｏｄＰ　较，方案的计算量如表１所示，其中，Ｅ，Ｉ，Ｍ，Ｈ分别表示取　模意义下的指数运算、逆运算、乘法运算和Ｈａｓｈ运算。　表１计算效率比较　部分盲签名方案　基于Ｓｃｈｎｏｒｒ签名算法　基于ＤＳＡ变形签名算法　总运算量　６Ｅ＋３Ｉ＋５Ｍ＋２Ｈ　７Ｅ＋４Ｉ＋１２Ｍ　求解　，　，　，从而找出（ｍ　，，，　，ｃ）和（　，ｒ　，Ｓ　，ｃ）的联系，但　解出　，　，　必须计算离散对数，因此，在难于计算离散对数　的前提下，该方案满足不可追踪性。　３．３不可伪造性　３．３．１　消息提供者Ａ伪造合法盲签名的可能性　签名者在盲消息中置入随机因子，使攻击者不能推测签　名者所签消息的具体内容，该随机性可有效抵御选择明文攻　击，防止伪造Ｈ】。在安全的签名方案中，用户不能除去签名　者的随机因子。　在此方案审，签名者　随机选择ｋ∈Ｚ：，计算ｒ＝ｇ　ｒｎｏｄｐ，　并满足（　ｐ一１）＝１，Ｂ发送ｒ给Ａ，Ａ发送ｍ　＝（ｒ　）　（，　一　ｍｏｄ　本文方案　６Ｅ＋２Ｉ＋ｌ５Ｍ　由表１可知，本文方案的效率高于基于Ｓｃｈｎｏｒｒ签名算　法和基于ＤＳＡ变形签名算法的部分盲签名方案。　４结束语　本文提出的方案实现了预期目标，与文献【２】提出的盲签　名方案相比，其效率得到提高，具有较高应用价值。　（Ｐ一１）给Ｂ，Ｂ发送　＝删　１一ｋｍｏｄ（ｐ一１）给Ａ。如果攻击　者Ａ试图去除随机因子ｋ，则攻击者必须从Ｙ＝ｇ　ｒｏｏｄＰ和　ｒ＝ｇ　ｍｏｄＰ计算得到　和ｋ，而解决此类问题要面临有限域　上求解离散对数的难题。　３－３．２签名者伪造合法盲签名的可能性　参考文献　［１］Ａｂｅ　Ｍ，Ｆｕｊｉｓａｋｉ　Ｅ．Ｈｏｗ　ｔｏ　Ｄａｔｅ　Ｂｌｉｎｄ　Ｓｉｇｎａｔｕｒｅｓ［Ｃ］／／Ｐｒｏｃ．ｏｆ　Ｃｒｙｐｔｏｌｏｇｙ－Ａｓｉａｃｒｙｐｔ’９６．Ｂｅｒｌｉｎ．Ｇｅｒｍａｎｙ：Ｓｐｒｉｎｇｅｒ，１９９６：２４４—２５１．　，【２］张　彤，王育民．几种部分盲签名的算法设计及其安全性分　析（Ｊ］．西安电子科技大学学报，２００４，３ｌ（６）：９６３－０６６．　签名者Ｂ伪造签名面临２大困难：（１）冒充用户Ａ将消息　盲化，由ｍ　＝（，　）　（ｒ　一　ｒｏｏｄｆＰ—１）可知，在对　，　未知的　情况下，签名者　无法完成对消息ｍ的盲化。（２）冒充用户Ａ　［３］辛向军，李发根，肖国镇．对几种部分盲签名方案的安全性分析　与改进［Ｊ１．西安电子科技大学学报，２００６，３３（６）：９５３－９８４．　［４］Ｆｅｒｇｕｓｏｎ　Ｎ．Ｓｉｎｇｌｅ　Ｔｅｒｍ　Ｏｆｆ－ｌｉｎｅ　Ｃｏｉｎｓ［Ｃｌ／／Ｐｒｏｃ．ｏｆ　Ｃｒｙｐｔｏｌｏｇｙ－－　Ｅｕｒｏｃｒｙｐｔ’９３．Ｂｅｒｌｉｎ，Ｇｅｒｍａｎｙ：Ｓｐｒｉｎｇｅｒ，１９９４：３　１８－－３２８．　对签名脱盲，由ｓ　＝（ａｓ一　）【　、】　ｍｏｄ（Ｐ一１）可知，在　，　未　知的情况下，Ｂ无法完成对签名Ｓ的脱盲。解决上述问题时，　将面临有限域上求解离散对数的难题。　［５］Ｃｈｅｎ　Ｃｈｉｅｎ－一Ｙｕａｍ，Ｃｈａｎｇ　Ｃｈｉｎ－－Ｃｈｅｎ，Ｙａｎｇ　Ｗｅｉ－Ｐａｎｇ．Ｈｙｂｒｉｄ　Ｍｅｔｈｏｄ　ｆｏｒ　Ｍｏｄｕｌａｒ　Ｅｘｐｏｎｅｎｔｉａｔｉｏｎ　ｗｉｈ　Ｐｒｅｃｏｍｐｕｔｔａｔｉｏｎ［Ｊ］．　Ｅｌｅｃｔｒｏｎｉｃｓ　Ｌｅｔｔｅｒｓ，１９９６，３２（６）：５４０－－５４１．　３．４效率分析　在进行签名的过程中，指数运算、逆运算、乘法运算和　Ｈａｓｈ运算的耗时比例很大，一般来说，在实际应用中，ｎ的　（上接第１６２页）　如上所述，通过上述２种方案改进的ａｄｏｒｅ—ｎｇ模块都可　［６］Ｓｉｍｍｏｎｓ　Ｇ　Ｊ．Ｃｏｎｔｅｍｐｏｒａｒｙ　Ｃｒｙｐｔｏｌｏｇｙ：Ｔｈｅ　Ｓｃｉｅｎｃｅ　ｏｆ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｉｎｔｅｇｒｉｔｙ］Ｍ］．Ｎｅｗ　Ｙｏｒｋ．ＵＳＡ：ＩＥＥＥ　Ｐｒｅｓｓ．１９９２．　编辑陈晖　４结束语　Ｌｉｎｕｘ下ＶＦＳ层ｒｏｏｔｋｉｔ隐藏层次深，一般的ｒｏｏｔｋｉｔ侦测　工具难以发现。本文对ＶＦＳ层ｒｏｏｔｋｉｔ的典型应用ａｄｏｒｅ－－ｎｇ　进行研究，针对其无法屏蔽内核级实时监控工具的问题提出　２种改进方案，并加以实现。实验结果表明，改进效果良好，　卡巴斯基无法检测到对隐藏文件的访问。　以成功屏蔽卡巴斯基的实时监控。２次测试中在加载修改过　的ａｄｏｒｅ—ｎｇ模块后，卡巴斯基均无法记录对隐藏文件的操作；　而加载未修改的ａｄｏｒｅ—ｎｇ模块时，卡巴斯基实时监控生成该　文件被打开操作的相关记录。　３．４改进方案比较　实验证明，上述２种改进方案均可以有效地屏蔽卡巴斯　基的实时监控。但是，作为攻击程序的研究，本身就是在执　参考文献　［１］Ａｎｄｒｅａｓ　Ｂ．Ｕｎｉｘ　ａｎｄ　Ｌｉｎｕｘ—ｂａｓｅｄ　Ｒｏｏｔｋｉｔｓ　Ｔｅｃｈｎｉｑｕｅｓ　ａｎｄ　Ｃｏｕｎｔｅｒｍｅａｓｕｒｅｓ［Ｚ］．（２００４一－０４—３０）．ｈｔｔｐ：／／ｗｗｗ．ｉｆｒｓｔ．ｏｒｇ／ｃｏｎｆｅ—　ｒｅｎｃｅ／２００４／ｐａｐｅｒｓ／ｃ　１　７．ｐｄｆ．　行环境、访问资源等很多受限情况下进行，因此，上述２种　方案都存在一定的局限性，对所执行的环境有比较严格的要　［２］Ａｌｉｓａ　Ｓ．Ｒｏｏｔｋｉｔ　Ｅｖｏｌｕｔｉｏｎ］Ｚ］．（２００８－－０８－２８）．ｈｔｔｐ：／／ｗｗｗ．ｖｉｒｕｓｌｉｓｔ．　ｃｏｍ／ｅｎ／ａｎａｌｙｓｉｓ？ｐｕｂｉｄ＝２０４７９２０１６．　求。第１种方案要求严格控制系统模块的加载顺序，保证修　改后的ａｏｄｒｅ．－ｎｇ模块在卡巴斯基监控模块加载之后加载。具　［３］Ｓａｍｈａｉｎ　Ｌａｂｓ．Ｄｅｔｅｃｔｉｎｇ　Ｋｅｍｅｌ　Ｒｏｏｔｋｉｔｓ［Ｚ］．（２００３・－０６—１７）．ｈｔｔｐ：∥　ＷＷＷ．ｉｓｔｓ．ｄａｒｔｍｏｕｔｈ．ｅｄｕ／ｌｉｂｒａｒｙ／４０９．ｐｄｆ．　体实现时，攻击者可以通过修改系统启动脚本等方式来控制　启动顺序。第２种方案在ＶＦＳ层对写文件的内容进行过滤，　［４］庄泗华，王剑，张福新．检测Ｌｉｎｕｘ下的ＶＦＳ型内核后门软　件［ＪＪ．计算机应用研究，２００５，２２（５）：１９４－．１９６．　［５］Ａｄｏｒｅ—ｎｇ［Ｚ］．（２００４—０３—２５）．ｈｔｔｐ：／／ｓｔｅａｌｔｈ．７３５０．ｏｒｇ／ｒｏｏｔｋｉｔｓ／ａｄｏｒｅ・－ｎｇ・　０．５６．ｔｇｚ．　可能会对系统造成一定的性能损失。因此，在该方案的实现　中首先进行严格条件匹配，尽量将文件内容判断的情况减少　到最低。　编辑陈文　１６４一　

本文标签： 系统方案调用隐藏文件