PCIRootkit的设计与实现.pdfVIP

2009 年第11 期 前置知识：硬件基础 关键词：Rootkit、PCI、ROM PCI Rootkit 的设计与实现 文/ John Heasman 译/ Fahrenheit 2006 年二月，本文作者曾撰文一篇，介绍了一种通过高级配置电源接口（Advanced Configuration and Power Interface，ACPI ），在系统BIOS 中植入恶意Rootkit 的方法。在该方法 中，BIOS 中的ACPI 表可以为使用ACPI 机器语言（ACPI Machine Language ，AML ）所编写的 恶意代码所覆盖，后者包含了能与系统内存以及I/O 空间相交互的恶意指令，并最终使得Rootkit 在启动阶段可以覆盖操作系统的内核数据结构及相关代码。更进一步来说，由 AML 提供的高 级指令（需要 ACPI 驱动的支持）可以查询和验证当前系统以及硬件的详细版本型号等参数信 息，为跨平台的硬件Rootkit 开发提供了极大的便利。 使用ACPI 来保持Rootkit 在系统BIOS 中的持久化，和原来那些诸如将Rootkit 存储在磁盘 上，再通过驱动加载的传统方法相比，具有很多显而易见的优点。但与此同时，人们也开发出 了一些反制措施，Intel SecureFlash 和Phoenix TrustedCore 系列的主板都严格禁止使用未经签名 的程序刷新BIOS 固件。而且要防御ACPI Rootkit 的难度也不算很大，只要在CMOS 启动程序 中禁止ACPI 功能，或者从一个不加载ACPI 设备驱动的只读介质上启动，再或者严格审查系统 线 内存中ACPI 表的完整性就可以有效阻止ACPI Rootkit 的运行了。 本文的意图在于研究和讨论一种能让Rootkit 持久化存在的有效途径，我们的目标是那些包 含有扩展可擦写ROM 的PCI 设备。在早期可信计算领域的研究过程当中，就已经显示了出该 防 处 方法的可行性，虽然一直没能找到有效的预防办法，但也没有利用此漏洞的攻击情况的发生， 所以一段时间以来还算是相安无事。近年来虽然TPM （Trusted Platform Module，可信平台模块） 的发展有效改善了固件的安全状况，但在不包含TPM 的系统上对该漏洞预防和检测仍然是凤毛 客 出 麟角。本文将关注的焦点放在Microsoft Windows 平台，稍作修改也可以移植到其他的操作系统。 在后续的章节中，我们将逐一介绍PCI 、扩展ROM 和BIOS 的启动技术等等。准备好了，那我 们就开始吧！ 黑 明 PCI 总线简介 注 PCI （Peripheral Component Interconnect ）规约标准由Intel 首先提出，诞生于1990 年，描 述了一组与外设及主板上的其他总线互连时的计算机总线标准。经过15 年来的使用和发展，PCI 在现代计算机系统中已无处不在，典型的设备诸如图形卡、网卡和存储控制器（SCSI 接口）等。 请 PCI 设备都连接到一条总线上，总线间有以下的四种连接方式：  host/PCI bridge ，也被称为北桥（North Bridge ），连接了主机的处理器和根PCI 总线。  南桥（South Bridge ），连接了根PCI 总线和ISA 总线、中断控制器、IDE 控制器、USB 载 host 控制器和DMA 控制器。  根PCI 总线，包含了一个甚至多个PCI 到PCI 之间的连接。  在PCI 术语中，“功能（function ）”一词是指PCI 设备自己所包