基于UEFI固件的恶意代码防范技术研究.pdfVIP

第 38卷 第9期 计 算 机 工 程 2012年 5月 VO1．38 No．9 ComputerEngineering Mav 2012 · 安全技术 · 文章编号：1000—3428(2012)09—0l17_．04 文献标识码：A 中围分类号；TP309．2 基于UEFI固件的恶意代码 防范技术研究 付思源 ，刘功申 ，李建华 (上海交通大学 a．电子工程系；b．信息安全工程学院，上海 200240) 摘 要 ：统一可扩展固件接口(UEFI)缺乏相应的安全保障机制，易受恶意代码的攻击，而传统的计算机安全系统无法为固件启动过程和操 作系统引导过程提供安全保护。针对上述问题，设计基于UEFI的恶意代码防范系统。该系统利用多模式匹配算法实现特征码检测引擎， 用于在计算机启动过程中检测与清除恶意代码，并提供恶意启动项处理及系统内核文件备份等功能。实验结果证明，该系统能为固件及上 层操作系统提供完善的安全保护，且代码尺寸小、检测速度快，恶意代码识别率高。 关健词 ：基本输入输出系统；统一可扩展固件接VI；固件；恶意代码；特征码匹配；多模式匹配 Research0fM aliciousCodeDefenseTechnology Based0nUEFIFirmware FUSi-yuan，LIU Gong-shen“，LIJian—hua (a．DepartmentofElectronicEngineering；b．SchoolofInformationSecurityEngineering，ShanghaiJiaotongUniversity,Shnaghai200240，China) [Abstract]UnifiedExtensibleFirmwarelnterface(UEF1)facesagrjmchallengesofmaliciouscodeattack．Thetraditionalcomputersecurity softwarecannotprovidesecurityforthefirmwareandoperatingsystem bootprocess．Inordertosolvehteproblem，htispaperdesignsamalicious codedefensesystem basedOffUEFIfimr ware．Byusinghtemulti—paRem matchingalgorithm，asignaturedetectingengineunderUEFIenvironment isimplemented，which providesfunctionally ofmaliciouscodedetect，bootoption analysisand fimr wareandoperating system kernelbackup． Experimentalresultsprovethathtesystem caneffectiveiyresistmaliciouscodewithsmallcodesizeandlow coststomeetthefirmware’Sneedof flashsizeandfastboot． [Keywords]BasicInputOutputSystem(BIOS)；UnifiedExtensibleFimrwareInterface(UEFI)；firmware；maliciouscode；signaturematching； multi-patternmatching D0I：1O．3969~．issn．1000—3428．2012．09035 1 概述 2006年推出UEFI2．0标准和相应的UEFI平台初始化(PI1．0) 近年来，随着病毒、木马、网络蠕虫等恶意代码攻击技 标准，并将其