持久型Windows Rootkit检测技术的研究与实现的中期报告.docx

持久型WindowsRootkit检测技术的研究与实现的中期报告

一.研究背景和意义

随着网络攻击的日益增多，以及黑客工具的普及，网络安全已经成为一个重要的议题。而rootkit是严重威胁计算机系统安全的一种恶意软件，在感染系统后，可以隐藏自身，对系统进行篡改，甚至对系统的管理员操作进行破坏，导致系统安全受到威胁。

其中，持久型的WindowsRootkit是目前常见的一种，其具有自我保护的能力，使得其可以在系统重新启动后自动激活，并且能够在系统中长期存在。而目前对于这类Rootkit的检测方法仍然存在许多问题，因此，研究持久型WindowsRootkit的检测技术，对保障计算机的安全性至关重要。

二.研究目标

本研究旨在探究基于内核技术的持久型WindowsRootkit检测技术，主要任务包括：

1.收集Rootkit样本库，研究Rootkit的特征。

2.研究Windows内核模块的加载机制，以及内核模块的管理机制。

3.探究现有的Rootkit检测技术，分析其优缺点。

4.设计并实现一种基于内核技术的持久型WindowsRootkit检测方法。

5.对设计的检测方法进行评估和测试，分析其检测能力和误报率。

三.研究内容和进度

1.收集Rootkit样本库，研究Rootkit的特征。

已经完成，在现有的Rootkit样本库中筛选出了一些具有代表性的样本，并对其进行了深入研究，获得了Rootkit的特征。

2.研究Windows内核模块的加载机制，以及内核模块的管理机制。

已经完成，对Windows内核的加载机制和内核模块的管理机制进行了深入研究，并对不同版本的Windows操作系统进行了实验和测试。

3.探究现有的Rootkit检测技术，分析其优缺点。

已经完成，对现有的基于行为的检测方法和基于签名的检测方法进行了分析和比较，并总结了其优缺点。

4.设计并实现一种基于内核技术的持久型WindowsRootkit检测方法。

目前正在进行中。该方法主要基于内核技术，通过监控内核模块的注册和注销，以及检测内核模块的行为等方式，实现对Rootkit的检测。

5.对设计的检测方法进行评估和测试，分析其检测能力和误报率。

计划在实验室内部进行测试，利用真实的Rootkit样本进行测试，评估该方法的检测能力和误报率。

四.研究计划和预期成果

本研究预计的完成时间为6个月，具体计划如下：

第一阶段（1个月）：

收集Rootkit样本库，研究Rootkit的特征。

第二阶段（2个月）：

研究Windows内核模块的加载机制，以及内核模块的管理机制。探究当前的Rootkit检测技术，分析其优缺点。

第三阶段（3个月）：

设计并实现一种基于内核的持久性WindowsRootkit检测方法。

第四阶段（1个月）：

对设计的检测方法进行评估和测试，分析其检测能力和误报率。

预期成果：

设计并实现了一种基于内核技术的持久型WindowsRootkit检测方法，在实验室内部进行了测试，并对检测结果进行了分析和评估，为今后进一步研究Rootkit检测技术提供了参考和借鉴。