中大機構典藏-NCU Institutional Repository-提供博碩士論文、考古題、期刊論文、研究計畫等下載:Item 987654321/54451
English  |  正體中文  |  简体中文  |  全文筆數/總筆數 : 80990/80990 (100%)
造訪人次 : 41266344      線上人數 : 215
RC Version 7.0 © Powered By DSPACE, MIT. Enhanced by NTU Library IR team.
搜尋範圍 查詢小技巧:
  • 您可在西文檢索詞彙前後加上"雙引號",以獲取較精準的檢索結果
  • 若欲以作者姓名搜尋,建議至進階搜尋限定作者欄位,可獲得較完整資料
  • 進階搜尋


    請使用永久網址來引用或連結此文件: http://ir.lib.ncu.edu.tw/handle/987654321/54451


    題名: Discoverer- Rootkit即時偵測系統;Discoverer- a realtime Rootkit detection system
    作者: 林郁展;Lin,Yu-chan
    貢獻者: 資訊工程學系碩士在職專班
    關鍵詞: 核心;程序;process;Rootkit
    日期: 2012-07-25
    上傳時間: 2012-09-11 18:51:01 (UTC+8)
    出版者: 國立中央大學
    摘要: Rootkit 是目前最常被攻擊者用來隱藏其攻擊行為的工具,現有的Rootkit 檢測機制大多以檢查系統的靜態特徵或比對系統的完整性等方式偵測Rootkit,但攻擊者可透過不同的方式混淆系統的特徵值,而快速即時的完整性確認亦不易達成。 因此本論文提出一精確、快速即時的Rootkit 偵測機制–Discoverer–以提昇系統偵測Rootkit 的能力。由於攻擊者的網路連線及攻擊者正在執行的程序是Root kit 主要的隱藏對象,因此 Discoverer 藉由找出被隱藏的網路連線及程序偵測Rootkit。為了管理網路連線及程序,作業系統內包含有各式的資料結構來記錄相關的訊息,攻擊者可加入甚至修改程式碼以讓使用者無法得知攻擊者的網路連線或正在執行的攻擊者程序,但若藉由竄改與網路連線或程序相關的資料結構,如run queue,來達成上述目的,則很可能會破壞系統的正常運作,因此這些資料結構中的資訊是最能真實反應系統狀態的資訊,本論文利用新增的系統呼叫,將使用者模式下所列出的程序相關資料(如ps、netstat)傳入核心,與系統內部相關資料結構中的資訊逐一比對。找出隱藏程序的pid、socket 連線、及所存取的file 名稱與路徑。實驗結果顯示Discoverer 可精確地偵測出我們所蒐集到的各式Rootkit。Rootkit is most often used by attacker to hide their behavior, theRootkit detection mechanisms mostly focus on static characteristics or theintegrity of the system, but the attacker can confuse the system eigenvaluesthrough various ways , and the integrity of the rapid real-time confirmationwould not be easy to reach. This paper presents an accurate, rapid real-timeRootkit detection mechanisms-Discoverer-to enhance the ability of thesystem to detect Rootkit. Since the attacker's network connection and therunning process is the main hidden object of Rootkit, Discoverer by locatingthe hidden network connections and process to detect Rootkits. In orderto manage network connections and process, the operating system containsa variety of data structures to record the relevant message, the attackercan be added or even modify the code to allow users to not know the attacker'snetwork connection, or are under implementation process of the attacker,but if by tampering with the network connection or process-related datastructures, such as the run queue, to achieve the above purpose, they arelikely to undermine the normal functioning of the system, so the informationin these data structures can be a true reflection of system statusinformation, this paper list and send all the user mode process information(such as ps, the netstat) into the Kernel by adding the new system call,and compare one by one with kernel data .Then find out the hidden processPID, socket connections, and the access file name and path. The experimentalresults show that Discoverer can accurately detect all kinds of Rootkitswhich we collected.
    顯示於類別:[資訊工程學系碩士在職專班 ] 博碩士論文

    文件中的檔案:

    檔案 描述 大小格式瀏覽次數
    index.html0KbHTML648檢視/開啟


    在NCUIR中所有的資料項目都受到原著作權保護.

    社群 sharing

    ::: Copyright National Central University. | 國立中央大學圖書館版權所有 | 收藏本站 | 設為首頁 | 最佳瀏覽畫面: 1024*768 | 建站日期:8-24-2009 :::
    DSpace Software Copyright © 2002-2004  MIT &  Hewlett-Packard  /   Enhanced by   NTU Library IR team Copyright ©   - 隱私權政策聲明