基于符号执行的内核级Rootkit静态检测

被引：8

作者：

易宇

金然

机构：

[1] 解放军信息工程大学信息工程学院

来源：

计算机工程与设计 | 2006年 / 16期

关键词：

Rootkit检测; 静态分析; 符号执行; 污点传播; Windows;

D O I：

10.16208/j.issn1000-7024.2006.16.046

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集。加载入系统内核的内核级Rootkit使得操作系统本身变得不可信任,造成极大安全隐患。构建了一个完整的通过静态分析检测内核级Rootkit的模型,构造了描述Rootkit行为的普遍适用的定义并证明了其充分必要性,采用符号执行法进行静态分析,利用污点传播机制,针对模型特点对分析过程进行优化。基于这个模型的内核级Rootkit检测具有高准确性和较好的前瞻性。

引用

页码：3064 / 3068

页数：5