基于完整性验证的Windowsrootkit检测模型的中期报告中期报告1.研究背景随着计算机技术的不断发展，操作系统的安全性也越来越受到重视。其中，Windows操作系统由于其广泛应用受到攻击的风险也更加严峻。而根据安全公司的报告，rootkit已成为Windows系统中最为臭名昭著的攻击手段之一，具有隐蔽性高、潜伏能力强、攻击危害大等特点。此外，传统的基于特征码（signature）的检测方式容易被rootkit所绕过，因此如何开发一种能够有效检测Windowsrootkit的技术显得尤为重要。2.研究目的本课题旨在基于完整性验证的方式进行Windowsrootkit检测，首先对Windows系统组件及其文件的完整性信息进行获取和存储，并建立一个完整性信息库。然后监控关键的Windows系统API调用行为，以检测是否存在rootkit。最后，通过对实验数据的分析可评估该方法的有效性和适用性，并为今后进一步发展提供理论支持。3.研究内容3.1完整性信息获取完整性信息指的是Windows系统组件及其文件的完整性数据，其中包括：文件属性、文件数字签名等，这些数据可以在系统启动时或者特定时间点采集，以便后续与系统信息进行比对。我们的研究将主要涉及操作系统常规文件（如kernel32.dll、ntdll.dll等）及关键系统组件（如lsass.exe、csrss.exe等）的完整性检查。3.2完整性库建立完整性库是所有采集到完整性信息的数据集合，以及目标可疑文件的黑名单数据库。实验中，所有完整性信息会被存储在一个统一的数据库中，以便被后续的监控和检测程序所使用。3.3系统API调用行为监控本研究的重点在于对关键系统API进行监控，在Windows系统中，一些API调用是程序进行访问和控制的重要通道。因此，通过监控进程的行为，我们可以有能力检测和过滤出一些可疑的进程行为，并最终找到可能的rootkit文件。我们将围绕以下几个方面的系统API进行监控：（1）文件的创建、读取、写入；（2）系统进程信息的获取及管理；（3）网络操作行为的监控。4.研究进度目前，已完成对Windows系统组件及其文件的完整性数据采集工作，并建立了一个完整性库；在API监控方面，完成了Windows文件操作API的捕获，可以识别并记录操作文件的进程号、文件名和操作类型。在接下来的研究中，我们将继续完善API监控功能，并扩大监控行为的涵盖范围，包括系统进程信息的监控和网络操作行为的监控。5.结论和展望在本研究中，我们尝试通过完整性验证的方法对Windowsrootkit进行检测，并取得了初步进展。未来我们将进一步完善我们的模型，增加监控的API范围，并在实际环境中开展更多的实验以评估模型的有效性和适用性。我们相信，该研究在Windowsrootkit检测领域具有很大的应用前景。