内核Rootkit对于操作系统来说是个严重的威胁.入侵者通过植入内核Rootkit,修改一些关键的内核结构体,实现恶意进程隐藏、日志文件删除、私密信息窃取等恶意行为.由于Rootkit主要通过篡改内核结构体对象来实现控制流截取,因此我们试图通过结构体随机化来防御这些入侵.在文中,作者提出了一种基于编译器的自动结构体随机化技术,解决了包括结构体的可随机化识别,随机化语义不变保护以及自动随机化等多个技术难题,最终利用随机环境下攻击者无法预知结构体域排列的特点,实现对内核Rootkit的防御.在实验环节,我们在被随机化的Linux系统中测试了已知的5种不同原理的8个真实的Rootkit,结果展示了我们的方法以几乎零负荷的代价防御了全部的Rootkit加载.

• 出版日期2014
• 单位南京大学