随着计算机网络的飞速发展,信息安全日益成为当今社会的重大问题之一。所谓道一尺,魔高一丈,攻与防永远是信息安全领域中恒久不变的主题。能够深入了解黑客如何展开攻击行动,对于更好地实施信息安全保障具有很好的借鉴意义。Rootkit作为黑客攻击Linux系统的强有力的工具,已经更加深入地侵入到PC之中,从操作系统内核一直到硬件,每一代Rootkit都深入到系统的更深一层,其流行速度和高级程度正在迅速增长。本文主要对其攻击和防御技术进行了详细的阐述和研究,并基于对Rootkit入侵信息的捕获和分析,实现了一个蜜网防御系统,提高了网络系统的防御性能。本文从Rootkit的起源、功能和危害说起,介绍了Linux系统中与Rootkit相关的一些基础知识、运行原理和数据结构等,包括:系统调用机制、可加载模块机制、内核目录以及EXT2/3文件系统。在对用户模式和内核模式Rootkit的实现原理分别说明后,主要就内核模式Rootkit的各种攻击技术进行了分析和讲解。首先介绍了最流行的恶意可加载内核模块(LKM)技术,详细阐述了对系统调用的攻击手段;又就LKM被禁止情况下的攻击手段/dev/kmem的修改进行了讨论;然后就解决系统重启的问题阐述了在硬盘上修改内核映象的办法,其中分别一一举例说明;由内核模块对Rootkit的重要性,分析了模块的隐藏,并提出了一些具体的方法;还探讨了对EXT2/3文件分别使用系统调用隐藏法和物理隐藏法的实现过程;接着提到了更深层次BIOS级别的Rootkit,讨论了其可能实现的一些方法。本文在分析了Rootkit的攻击手段后,提出了Rootkit的防御主要从预防、检测和采取措施三方面出发,比较详细地归纳了几种检测技术,分别在原有的基础上提出了一些改进。而为了更好地了解Rootkit的攻击手段,获得各种Rootkit的相关特征和数据信息,提出利用蜜网系统捕获和检测Rootkit的方法,对具体蜜网系统的构建和实现进行了讲解,并完成了对该蜜网系统所捕获的一种Rootkit的分析和定位。