论文摘要
Rootkit作为恶意软件的一个特定类型,是近年来国内外计算机安全领域热门的研究课题。新兴的BIOS Rootkit作为Rootkit的一个分支,强调把传统的Rootkit技术和BIOS芯片技术相结合。其较强的隐蔽性和较大的破坏力,几乎可以躲过现有的任何计算机安全检测软件的检测,这对计算机安全领域提出了巨大挑战。因此对BIOS Rootkit检测技术进行研究,具有较强的实用性。BIOS Rootkit是Rootkit技术的前沿研究课题。目前国内外对BIOS Rootkit实现的相关技术研究较少,相关理论和研究资料都较为缺乏。而BIOS Rootkit的检测,目前国内外没有见到有公开发表的研究成果。因此,本文对其检测技术进行研究和探讨,将是一种崭新的尝试。本文中的实验资料将为这一领域研究提供第一手的实验验证资料。本文在剖析BIOS Rootkit实现技术的基础上,对BIOS Rootkit检测进行了深入探讨。在研究过程中,把现代检测Rootkit的一些思想灵活运用到对BIOS Rootkit的相关检测中。并提出通过检测IVT Hook的方法来判断BIOS Rootkit的存在性。最终通过编写程序进行实验验证,完满解决了BIOS Rootkit难于检测、难于发现的问题,达到了实验的预期目标。
论文目录
摘要ABSTRACT1 绪论1.1 课题背景及问题陈述1.2 国内外研究现状1.3 本文研究工作简介1.4 本文组织结构2 恶意软件及Rootkit 概要2.1 恶意软件及其分类2.1.1 恶意软件概述2.1.2 恶意软件分类2.2 Rootkit 及其分类2.2.1 Rootkit 概念2.2.2 Rootkit 简史2.2.3 Rootkit 与其他恶意软件的差别2.2.4 Rootkit 分类及各类特点简介2.3 BIOS Rootkit2.3.1 BIOS 概述2.3.2 BIOS Rootkit 概念2.3.3 BIOS Rootkit 简史2.3.4 BIOS Rootkit 特点及检测难点2.4 BIOS 相关硬件简述2.4.1 BIOS 芯片类型介绍2.4.2 ISA/PCI 总线介绍2.5 小结3 BIOS Rootkit 的原理及方法分析3.1 BIOS 的静态及动态分析3.1.1 BIOS 的静态分析3.1.2 BIOS 的动态分析3.2 实地址模式下的中断向量表(IVT)3.2.1 实地址模式、保护模式简介3.2.2 实模式下的IVT (Interrupt Vector Table)3.3 BIOS Rootkit 实例分析3.3.1 IceLord 概述3.3.2 IceLord 核心技术分析和验证3.3.3 Hack MBR3.4 BIOS Rootkit 研究相关工具3.4.1 Award BIOS 模块修改工具介绍3.4.2 Award BIOS 刷新工具介绍3.4.3 反汇编器 IDA Pro3.4.4 编译器 NASM3.4.5 虚拟机 Bochs3.4.6 16 进制磁盘编辑器WinHex3.5 小结4 BIOS Rootkit 的检测技术研究4.1 检测IVT HOOK4.1.1 详细分析IVT4.1.2 检测IVT Hook 的实现4.2 检测BIOS 文件4.2.1 从Shadow RAM 中获取BIOS ROM4.2.2 从BIOS 芯片中获取BIOS ROM4.2.3 分析几种方式获得的ROM 数据4.2.4 审计ROM 数据4.3 检测PCI 设备4.3.1 提取BIOS 文件中的PCI 设备信息4.3.2 操作系统中读取系统PCI 设备信息4.3.3 进行PCI 信息识别4.4 审计MBR4.4.1 获取原始MBR4.4.2 对MBR 进行审计4.5 防止BIOS Rootkit 加载的方法初探4.5.1 硬件跳线防止刷新BIOS4.5.2 阻止BIOS 刷新4.5.3 TPM(Trusted Platform Module)进行BIOS 验证4.6 小结5 实验及其结果分析5.1 仿真环境5.2 IVT HOOK 检测实验5.3 实验结果综合分析5.4 小结6 结语6.1 本文工作总结6.2 未来研究展望致谢参考文献附录
相关论文文献
标签:恶意软件论文; 检测论文;
