BIOS安全检查系统架构的探讨.docVIP

BIOS安全检查系统架构的探讨 　　摘 要:BIOS中存在的安全隐患具有不易清除、不易监控、隐蔽性强、破坏性大的特点。全文探讨一种对BIOS进行安全检查的系统,即通过建立BIOS安全样本库,运用扫描和解析软件对目标计算机BIOS进行分析,然后与BIOS安全样本库匹配,从而确定其完整性和隐患存在方式。 　　关键词:BIOS安全检查;系统架构 　　中图分类号:TP3　文献标识码:A　文章编号:1671-7597(2010)1020049-01 　　 　　BIOS是计算机系统的底层核心,其安全可控对整个计算机系统安全至关重要。目前我国并无BIOS的核心技术与生产能力,同时传统的信息安全也更多的注重软件系统,而忽略了BIOS。因此建立针对BIOS的安全检查系统意义重大。 　　 　　1　BIOS安全威胁 　　 　　BIOS的技术一直在不断更新,但是其程序代码小、在操作系统没加载之前执行的特征一直未变。BIOS的安全威胁主要来自以下方面:①功能性故障威胁。BIOS集成在主板上,因此主板厂商在获取授权BIOS源代码之后,可能会根据自身需要进行一些修改,如集成一些自身开发或第三方开发的BOS功能模块。但是这些功能可能存在一定得软硬件兼容问题。如LINUX系统中,集成的防引导扇区病毒模块会造成某些分区软件安装的失败,磁盘恢复精灵模块可能会造成硬盘恢复失败和数据丢失。②BIOS配置漏洞,作为底层配置,如果BIOS出现漏洞,可能会使得远程计算机可以通过网络软件形成对主机的存储访问,甚至修改BIOS配置。③BIOS物理攻击。利用BIOS的FLASH芯片,通过网络或远程计算机能向其中植入病毒,如提升主机板写入电压,能导致计算机不能正常启动,甚至可以造成主板部分电路或芯片的物理损坏。BIOS物理攻击最典型案例为CIH病毒,他在WINDOWS系列操作系统下都可以通过采用设备驱动程序的编写方法,进入RINGO级特权模式实施,④BIOS木马。木马被包装后,利用OS下的BIOS读写工具软件。能向BIOS芯片中植入木马,并反向释放到操作系统中运行。这种木马的特点就在于对硬盘格式化、分区、操作系统重装、更换硬盘有极强的抵抗力。 　　 　　2　BIOS安全检查系统架构分析 　　 　　2.1　BIOS安全检查原理及系统架构设计 　　BIOS安全检查的原理是:通过与BIOS安全隐患库特征码匹配,发现BIOS的安全隐患,通过与BIOS标准代码样本库的代码模块的消息摘要的比较,判定代码的完整性。其过程如下: 　　①采用安全解析引擎对BIOS进行解析。 　　②将解析的BIOS代码模块与BIOS标准代码样本库进行对比,对其完整性进行度量。 　　③采用安全隐患扫描引擎对BIOS安全隐患库中的特征码进行扫描,并与BIOS进行匹配,对其安全隐患度进行度量。 　　④根据②⑧得到的完整性及隐患性可以判断形成检测报告。在系统架构上,采取C/S结构模式,即远程收集被检查计算机的BIOS信息,并将其存储在服务器上。然后从存储服务器上读取BIOS样本,利用专项工具进行检查、解析、比对。 　　 　　2.2　BIOS采样 　　所谓BIOS采样就是针对不同主板厂商集成的BIOS进行提取,并将其上传到服务器,作为解析或扫描的对比依据。上传的信息还应包括一些基本信息,如采样机器信息、主板信息、BIOS生产商等。但是在操作系统环境下,特别是WINDOWS环境下,一般禁止普通程序直接对硬件进行I/O操作和物理内存访问,因此一般采取以下方法实现从主板上存储BIOS的FLASH芯片中读出BIOS的内容:直接针对Flash芯片进行操作;打开南桥中的通道,直接对4Gphysical Memory最高端读写;调用BIOS的SMIFlash功能;使用BIOS生产厂商或主板厂商提供的读写BIOSFLASH芯片工具,以上方式中,使用BIOS生产厂商提供的读写工具方案最优,它一般不存在误操作对BIOS带来的损伤。再客户端机器采购较为一致时,这种方式最为简单,但四种方法的采样流程基本一致:1)利用WINIO扩展库,读取OxF0000一OxFFFFF,搜索譬如Award、AMI、Phoenix等关键字,确定BIOS的厂商及类型,2)获取BIOS信息,一般采取SMBl0S结构。该表结构对描述了B10S的各种信息,如偏移量、名称、长度、特征等。如偏移量“05h”代表1字节的“入口点长度”,“06h”代表1字节的“SMBIOS主版本”等。 　　 　　2.3模块分解及完整性度量 　　要完成BIOS的解析,就需要分解BIOS模块,因为随着BIoS的功能越来越强,模块越来越多,而Flash芯片中的空间有一定的限制,因此BIOS在放入到Flash芯片之前必须要经过压缩。不同的模块之间存在压缩算法特