基于Linux 系统调用的内核级Rootkit 技术研究[J].pdf

第期计算机技术与发展. .
年月; .
基于系统调用的内核级
技术研究
石晶翔,陈蜀宇,黄晗辉
.重庆大学计算机学院,重庆;
.重庆大学软件工程学院,重庆
摘要:系统调用是用户程序和操作系统进行交互的接口。劫持系统调用是内核级入侵系统后保留后门常用的
一项的技术。研究系统调用机制及系统调用劫持在内核级中的应用可以更好地检测和防范内核级,
使系统更加安全。文中在分析系统调用机制的基础上,研究了内核级劫持系统系统调用的
种不同方法的原理及实现,最后针对该类内核级给出了种有效的检测方法。在检测过程中综合利用文中提出的
几种检测方法,能提高【系统的安全性。
关键词:;系统调用;
中图分类号:. 文献标识码: 文章编号:——一


,—,—
.,,,;
.,,,
:.’.
.
.
,
.. . ,
.
.; ;
引言相互结合的趋势,随着影响范围的不断扩大,对网络信
最早出现于世纪年代初,是攻击者息安全可能带来的危害也逐渐增强。
在攻击/时用来隐藏自己的踪迹和保留分为应用级和内核级两
访问权限的工具。的目的不是为了突破系种类型。应用级在操作系统应用层修改系统
统获得进入系统的权限,而是通过其他手段获得系统文件,比较容易预防和检测。内核级攻击操作
权限后对所得到的权限进行保存,同时隐藏攻击活动系统内核,与应用级相比功能更为强大,更难
的痕迹,防止暴露。检测。因此内核级以其强大的功能和较为完
正是因为这样,如今与木马等恶意软件有善的隐蔽性更加受到瞩目。
收稿日期:——;修回日期:——系统调用机制
基金项目:科技部科技型中小企业技术创新基金】
系统调用是内核提供的用户程序与内核韵一种接
作者简介:石晶翔一,男,福建龙岩人,硕士研究生,研究方向
口,它位于用户态与核心态之间的边界。用户程序通
为嵌入式系统;陈蜀宇,教授,博士生导师,研究方向为嵌入式系统
等。过系统调用向核请求服务,当内核完成服务后将结果
· · 计算机技术与发展第卷
目兽“. .:
返回给用户程序。. ——/检查是否处在被跟踪状态/
一一
在系统中,系统调用是用异常类型实现的, —,%
.——/检查系统调用号是否合法/
用户态的程序通过门陷入到系统内核中去,执行一些
一。:
具有特权的函数。例如,用户程序在调用系统调用
——,%,/调用系统调用函数/
时,它通过执行相应的软中断指令陷入操作系
%,%/保存返回值/
统内核空间,系统进行中断权限检查后根据中断描述
—:
符表查找到系统调用的中断服务例程—。中
断服务例程根据应的系统调用号在系统调用系统调用号定义为宏,从开始编号,如系
表——中查找到系统调用函数—统调用的宏定义是—。系统调用表
后执行,将结果返回给用户程序。系统调用完成后, ——依次保存着所有系统调用函数的地址,
系统通过执行返回指令从内核态返回到用户态,将控以一—为下标,找出系统调用表——
制权返回给用户程序。执行的执行过程如图中对应表项的内容,就是其对应的系统调用函数—
所示。的地址
——////—./
. —一删
罢. ..