随着计算机的迅速深入和普及、信息技术的迅猛发展,经济、社会等各方面的重要信息在计算机中存储和在网络中传输。信息安全的研究成为最热门的研究方向之一。终端系统的安全是构建信息安全的基础。Windows内核模块技术有很大的优点,但同时也存在很大的安全隐患。攻击行为已经从用户态进入内核态,具备了系统的最高权限,可以修改系统内核的关键数据结构并可以改变系统服务的一些功能。 本文对Windows内核模块的重要组成元素和各部分存在的不安全因素进行了深入的分析,然后对攻击内核模块的技术比如各种挂钩技术、机器重启时自动运行技术、利用驱动程序等进入内存的加载技术进行了深入的剖析,特别对Rootkit各个发展阶段的技术原理有很深入的研究。 最后,是内核模块安全检测系统的设计和实现,实际上就是在操作系统的运行过程中,对内存中各个敏感区域进行检测。内存中的各种模块,不管是内核模式下的系统模块还是用户模式下的普通应用模块,都是从某些磁盘文件中写入的,这些文件通常是PE格式文件,它在从硬盘到内存的过程中基本上是有章可循的。所以就能够以硬盘为参照,查找内存中可能出现的异常现象,从而判断系统是否受到了攻击。 本检测系统首先对系统调用过程中涉及到的重要的用户态及内核态的主要模块和重要的系统服务进行检测,这些都是攻击者的攻击目标,每一部份的检测都是对应于对内核模块进行攻击的主要技术有针对性的进行。并且本方案不是传统的基于病毒的特征码进行检测的,所以体现出一定的有效性和智能性。本文给出了整体的系统设计方案和每一检测部分具体的实现技术细节。然后对系统的性能和存在的缺点进行了分析,最后部署实验对系统进行可用性测试。