基于文件系统过滤驱动的内核Rootkit隐藏技术

journal6 ›› 2010, Vol. 31 ›› Issue (3): 43-46.

基于文件系统过滤驱动的内核Rootkit隐藏技术

（吉首大学物理科学与信息工程学院，湖南吉首 416000）

出版日期:2010-05-25 发布日期:2012-04-17
作者简介:侯春明（1979-），男，湖南桑植人，吉首大学物理科学与信息工程学院讲师，硕士，主要从事计算机应用与信息安全研究.
基金资助:
吉首大学校级科研课题（09JD015）

Research on Occultation Techniques of Kernel Rootkit Based on File System Filter Driver

(College of Physics Science and Information Engineering，Jishou University，Jishou 416000,Hunan China)

Online:2010-05-25 Published:2012-04-17

摘要/Abstract

摘要：Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit，阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现，并讨论了针对Rootkit隐藏的检测技术.

关键词： 文件系统, Rootkit, 过滤驱动, 隐藏

Abstract: A Rootkit is a set of programs and code that allows a permanent or consistent，undetectable presence on a computer.Windows kernel Rootkit based on file system filter driver has been researched.The work principle of file system filter driver and the realization of filter driver and occultation techniques of kernel Rootkit based on file system filter driver have been introduced.The techniques of Rootkit detection have been discussed.

Key words: file system, Rootkit, filter driver, occultation

侯春明, 刘林. 基于文件系统过滤驱动的内核Rootkit隐藏技术[J]. journal6, 2010, 31(3): 43-46.

HOU Chun-Ming, LIU Lin. Research on Occultation Techniques of Kernel Rootkit Based on File System Filter Driver[J]. journal6, 2010, 31(3): 43-46.

[1]	侯春明, 王灵. 基于过滤驱动的图书馆网络系统安全监控[J]. journal6, 2011, 32(4): 46-49.
[2]	侯春明, 陈斌. 基于分层驱动的Windows内核rootkit关键技术[J]. journal6, 2009, 30(4): 48-51.