BIOSRootkit及其检测技术的研究(文本).doc

BIOS Rootkit 及其检测技术的研究  目 录 目 录 I 1 绪论 4 1.1 课题背景及问题陈述 4 1.2 国内外研究现状 4 1.3 本文研究工作简介 4 1.4 本文组织结构 4 2 恶意软件及Rootkit概要 5 2.1引言 5 2.2 恶意软件及其分类 5 2.2.1 恶意软件概述 5 2.2.1 恶意软件分类 5 2.3 Rootkit及其分类 8 2.3.1 Rootkit概念 8 2.3.2 Rootkit简史 9 2.3.3 Rootkit与其他恶意软件的差别 9 2.3.2 Rootkit分类及各类特点简介 10 2.4 BIOS Rootkit 11 2.4.1 BIOS概述 11 2.4.2 BIOS Rootkit概念 12 2.4.3 BIOS Rootkit简史 12 2.4.4 BIOS Rootkit特点及检测难点 13 2.5 BIOS相关硬件简述 14 2.5.1 BIOS芯片类型介绍 14 2.5.2 ISA/PCI总线介绍 15 2.6 小结 16 3 BIOS Rootkit的原理及方法分析 17 3.1引言 17 3.2 BIOS的静态及动态分析 17 3.2.1 BIOS的静态分析 17 3.2.1 BIOS的动态态分析 24 3.3 实地址模式下的中断向量表（IVT） 26 3.3.1 实地址模式、保护模式简介 26 3.2.2 实模式下的IVT（Interrupt Vector Table） 27 3.4 BIOS Rootkit实例分析 28 3.4.1 IceLord概述 28 3.4.2 IceLord核心技术分析和验证 29 3.4.3 Hack MBR 44 3.5 直接调用中断向量躲避IVT Hook检测程序 45 3.5.1 问题提出 45 3.5.2 程序实现 45 3.6 其他BIOS Rootkit实现思路 55 3.6.1 设置硬件断点 55 3.6.2 Hack BOOTBLOCK 66 3.7 BIOS Rootkit研究相关工具 66 3.7.1 Award BIOS 模块修改工具介绍 66 3.7.2 Award BIOS 刷新工具介绍 69 3.7.3 反汇编器 IDA Pro 70 3.7.4 编译器 NASM 71 3.7.5 虚拟机 Bochs 74 3.7.6 16进制磁盘编辑器WinHex 74 3.8 小结 75 4 BIOS Rootkit 的检测技术研究 76 4.1 引言 76 4.2 检测IVT Hook 76 4.2.1 详细分析IVT 77 4.2.2 实现IVT Hook检测 78 4.3 检测BIOS文件 86 4.3.1 从Shadow RAM中获取BIOS ROM 86 4.3.2 从BIOS芯片中获取BIOS ROM 88 4.3.3 分析几种方式获得的ROM数据 89 4.3.4 审计ROM数据 91 4.4 检测PCI设备 92 4.4.1 提取BIOS文件中的PCI设备信息 92 4.4.2 操作系统中读取系统PCI设备信息 93 4.4.3 进行PCI信息识别 94 4.5 审计MBR 95 4.5.1 获取原始MBR 95 4.5.2 对MBR进行审计 96 4.6 防止BIOS Rootkit加载的方法初探 96 4.6.1 硬件跳线防止刷新BIOS 96 4.6.2 阻止BIOS刷新 96 4.6.3 TPM（Trusted Platform Module）进行BIOS验证 97 4.7 小结 97 5 实验结果及其结果分析 98 5.1 引言 98 5.2 仿真环境 98 5.3 IVT Hook检测实验 99 5.4 实验结果综合分析 101 5.5 小结 101 6 结语 102 6.1 本文工作总结 102 6.2 未来研究展望 102 参考文献 103  1 绪论 1.1 随着全球信息化普及程度的提高，计算机安全问题也日趋严重。恶意软件成为威胁计算机安全的一大分支。 Rootkit作为恶意软件的一个特定类型，是近年来国内外计算机安全领域热门的研究课题，特别是新兴的Rootkit分支BIOS Rootkit，强调把传统的Rootkit技术和BIOS芯片相结合，其较强隐蔽性和较大破坏力，几乎可以躲过现有的任何计算机安全检测软件的检测，这使得计算机安全检测领域面临巨大挑战。因此，对BIOS Rootkit的检测研究工作已成为必要而紧迫的事情。 对BIOS Rootkit检测的研究可以采用目前成熟的检测思路和方法，考虑BIOS Rootkit存在于BIOS芯片的特殊性来进行。因此是比较可行