Windows下Bootkit防御技术的研究-信息与通信工程专业论文.docxVIP

万方数据 万方数据 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 签名： 日期： 年 月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 签名： 导师签名： 日期： 年 月 日 万方数据 万方数据 摘要 摘 要 Windows Bootkit 是一种利用 Windows 操作系统引导和启动过程中的漏洞， 在内核加载阶段实现对内核的劫持，具有很强的穿透现有主动防御系统和隐匿自 身的能力，是一种高级的 Rootkit。Windows Bootkit 通过对 BIOS、MBR 等硬件 和 NTLDR 等系统引导文件的注入，在 Windows 内核加载前获得执行机会，进而 实现对内核的劫持，能先于操作系统的安全模块和各种安全软件获得计算机的控 制权。 虽然 Windows Bootkit 技术的研究目前还处于起步阶段，但是它在穿透主动 防御系统和隐藏自身方面表现出来的巨大潜力使其成为后门技术研究者研究的焦 点。Windows 操作系统在全球拥有最多的用户，一旦 Windows Bootkit 技术成熟， 它将对现有的安全体系造成巨大威胁。因此，研究针对 Windows Bootkit 的防御 和检测技术具有巨大的现实意义。 本文在深入研究 Windows 操作系统内核原理和 Rootkit 经典技术的基础上， 以现有的 Windows Bootkit 样本为切入点，对 Windows Bootkit 的技术特点和危害 性进行全面的分析和总结，深入研究现有防御和检测技术和 Windows Bootkit 躲 避现有主动防御系统和运行时检测系统的方法。考虑到 Windows Bootkit 即使检 测到清除也非常困难的特点，因此本文把重点研究放在 Windows Bootkit 拦截技 术上。另外，由于主动防御系统有可能被突破，检测隐藏在系统中的 Windows Bootkit，向用户提出安全警告也非常必要，本文也对 Windows Bootkit 的运行时 检测技术进行研究。本文通过对现有特征码检测方法进行改进，提出了一种基于 分类的特征码提取方法。采用这种方法构建的特征库的检测引擎具有检测效率高， 对小段恶意软件片段的识别能力强等特点。本文以基于分类的特征码检测引擎为 基础，将其分别与过滤驱动技术和内存扫描技术相结合，设计了针对 Windows Bootkit 的拦截方法和检测方法。 关键词：Windows Bootkit，Windows 内核，特征码，过滤驱动，内存扫描 I ABSTRACT ABSTRACT Windows bootkit is a kind of advanced rootkit, which make use of some bugs on Windows’ boot process, taking kernel at the moment when it loading into the physical memory. Windows bootkit can breakthrough existing active defense system easily. Windows bootkit use the method such as injecting code into BIOS, MBR, NTLDR and so on, obtain executive opportunities before Windows kernel loaded, and then hijack it. Windows bootkit obtained the computer system’ control before operating system’s security module and all kinds of security software loading into memory. Although Windows bootkit technology is also very immature at this