1. 雲端運算服務平台之Windows Rootkits
技術研究
大葉大學 資訊管理學系
曹偉駿 教授
蘇琮凱 研究生
大葉大學網路安全實驗室
1

2. 大綱
 緒論
 研究背景
 研究動機與目的
 文獻探討
 Rootkit防禦方法
 虛擬監測機制
 建構基於Windows 核心模式之 Driver-hidden Rootkit防禦機制
 防禦機制
 機制模組設計
 研究流程
 實驗測試
 結論

3. 緒論-研究背景與動機
 越來越多的惡意程式結合Rootkit技術來遮掩本身的非
法行為
 我們發現先進的Rootkit技術都是以”驅動程式”
（Driver Program)的形態被載入
 目前的防禦機制並無法有效判斷是否為Rootkit攻擊

4. 序論-研究目的
 基於DKOM技術研製出一新型的Windows 雲端作業系
統 Kernel Mode Rootkit
 提出新型有效的雲端Windows Kernel Mode Rootkit偵
測方法。

5. 文獻回顧 (1/8)-Rootkit偵測方式
 特徵偵測（Signature based detection）
 鑑別Rootkit的特徵
 行為偵測（Behavior based detection）
 搜尋Rootkit程式隱藏的元素，包括檔案或記錄
 完整性偵測（Integrity based detection）
 對系統中的檔案與目錄建立一個比對資料庫
 硬體式偵測（Hardware based detection）
 透過外接周邊設備方式安裝在電腦PCI插槽中，對Rootkit
進行偵測與監控
 交叉察看偵測（Cross view based detection）
 透過Windows common APIs 取得系統上重要的資訊，如檔
案(files)、程序(process)或機碼(Registry key)，再與「經由
程式本身演算法產生的資訊」進行交叉察看

6. 文獻回顧 (2/8)-Rootkit偵測方式
優點 缺點
特徵偵測 需不定期更新病毒碼至資料庫 無法偵測未知型的惡意軟體
中，即可偵測新的惡意軟體
行為偵測 可辨識已知或未知的惡意軟體 無法辨識特定的惡意軟體
完整性偵測 不需更新病毒碼至資料庫中， 無法辨識惡意軟體行為
可發現系統檔案是否被竄改
硬體式偵測 擁有自己的CPU，並透過DMA 需花費大量成本建置與維護
對電腦記憶體掃描
交叉察看偵測 檢測系統檔案、程序與機碼 只應用於Windows作業系統

7. 文獻回顧 (3/8)-Rootkit防禦機制
 記憶體影子防禦系統(Memory Shadowing)
 內核代碼簽章(Kernel-Mode Code Signing Walkthrough)
 主機型入侵防禦系統(Host-based Intrusion Prevention System)
 虛擬機器(Virtual Machine)

8. 文獻回顧 (4/8)-虛擬監測機制
 與惡意軟體交戰後，作業系統損壞與記錄喪失等問題
 個虛擬作業系統環境下，創造另一個虛擬作業系統並加於
監測，我們稱之為虛擬監測機制(virtual machine monitor,
VMM)
 全虛擬化(Full Virtualization) 必需透過主作業系統的支援，
才能與硬替設備溝通
 半虛擬化(Paravirtualization) 這類型的虛擬監測機制，不
需要透過主作業系統的支援，便可與硬體設備溝通

9. 文獻回顧 (5/8)-Rootkit虛擬化技術
全虛擬化 半虛擬化

10. 文獻回顧 (6/8)-微軟雲端方案
軟體
Virtual Virtual
QEMU VMware Xen Hyper-v
比較項目 Box PC
圖形化界面 No Yes Yes Yes No Yes
跨平台模擬性 No No Yes No Yes Yes
環境隔離 Yes Yes Yes Yes Yes Yes
全虛擬化 Yes Yes Yes Yes Yes Yes
半虛擬化 No No No No Yes Yes
可模擬32位元系統 Yes Yes Yes Yes Yes Yes
可模擬64位元系統 No No Yes No Yes Yes

11. 文獻回顧 (7/8)-隱藏技巧
 Direct Kernel Object Manipulation (DKOM)

12. 適用雲端運算之Windows Rootkit
偵測機制-研究流程

13. 適用雲端運算之Windows Rootkit
偵測機制-研究流程

14. 適用雲端運算之Windows Rootkit
偵測機制
 新型Windows Rootkits隱藏技術
 (1)移除PE鏡像
 (2)移除註冊表

15. 適用雲端運算之Windows Rootkit
偵測機制（1/2）
 (1)使用zwqueryvirtualmemory搜尋二元樹

16. 適用雲端運算之Windows Rootkit
偵測機制 （2/2）
 (2)開機時以最優先的權限載入本研究所研發之Rootkit
偵測軟體，Rootkit偵測軟體載入後能防止Rootkit自動
載入並能防止Rootkit刪除其相關註冊表值，並常駐於
系統之中

17. 實驗環境(1/2)
資安測試需於封閉之網路
狀態下進行
網路測試環境必須是
擁有完整資源控制權 獨立的
以進行實驗
儲存實驗狀態，增加
重覆使用便利性 記錄實驗資訊，如執行步
驟、實驗結果

18. 實驗環境(2/2)

19. 隱藏能力測試 (1/3)

20. 隱藏能力測試 (2/3)

21. 隱藏能力測試 (3/3)

22. 結論
 (一)找出現有Windows 2008雲端作業系統之核心弱點，
並促使rootkit偵測軟體研發廠商重視Windows 2008雲
端作業系統之rootkit偵測軟體研發，以有效保障雲端
環境及廣大使用者電腦系統安全。
 (二)研製一新型Windows 2008 雲端作業系統 Kernel
Mode Rootkit提供rootkit偵測軟體用以測試新研發之
Windows 2008雲端作業系統之rootkit偵測軟體。
 (三)找出現有Windows 2008雲端作業系統Rootkits偵
測軟體之弱點，激勵rootkit偵測軟體研發廠商須時時
檢測其偵測功能，以有效保障廣大使S用者電腦系統安
全。

23. 謝謝聆聽
敬請指教