主板Bios Rootkit实现与检测技术研究.docVIP

重庆大学硕士学位论文 BIOS Rootkit 及其检测技术的研究 彭 毅 重庆大学硕士学位论文 目 录 PAGE II 目 录 TOC \o 1-3 \h \z \u 目 录 I 1 绪论 4 1.1 课题背景及问题陈述 4 1.2 国内外研究现状 4 1.3 本文研究工作简介 4 1.4 本文组织结构 4 2 恶意软件及Rootkit概要 5 2.1引言 5 2.2 恶意软件及其分类 5 2.2.1 恶意软件概述 5 2.2.1 恶意软件分类 5 2.3 Rootkit及其分类 8 2.3.1 Rootkit概念 8 2.3.2 Rootkit简史 9 2.3.3 Rootkit与其他恶意软件的差别 9 2.3.2 Rootkit分类及各类特点简介 10 2.4 BIOS Rootkit 11 2.4.1 BIOS概述 11 2.4.2 BIOS Rootkit概念 12 2.4.3 BIOS Rootkit简史 12 2.4.4 BIOS Rootkit特点及检测难点 13 2.5 BIOS相关硬件简述 14 2.5.1 BIOS芯片类型介绍 14 2.5.2 ISA/PCI总线介绍 15 2.6 小结 16 3 BIOS Rootkit的原理及方法分析 17 3.1引言 17 3.2 BIOS的静态及动态分析 17 3.2.1 BIOS的静态分析 17 3.2.1 BIOS的动态态分析 24 3.3 实地址模式下的中断向量表（IVT） 26 3.3.1 实地址模式、保护模式简介 26 3.2.2 实模式下的IVT（Interrupt Vector Table） 27 3.4 BIOS Rootkit实例分析 28 3.4.1 IceLord概述 28 3.4.2 IceLord核心技术分析和验证 29 3.4.3 Hack MBR 44 3.5 直接调用中断向量躲避IVT Hook检测程序 45 3.5.1 问题提出 45 3.5.2 程序实现 45 3.6 其他BIOS Rootkit实现思路 55 3.6.1 设置硬件断点 55 3.6.2 Hack BOOTBLOCK 66 3.7 BIOS Rootkit研究相关工具 66 3.7.1 Award BIOS 模块修改工具介绍 66 3.7.2 Award BIOS 刷新工具介绍 69 3.7.3 反汇编器 IDA Pro 70 3.7.4 编译器 NASM 71 3.7.5 虚拟机 Bochs 74 3.7.6 16进制磁盘编辑器WinHex 74 3.8 小结 75 4 BIOS Rootkit 的检测技术研究 76 4.1 引言 76 4.2 检测IVT Hook 76 4.2.1 详细分析IVT 77 4.2.2 实现IVT Hook检测 78 4.3 检测BIOS文件 86 4.3.1 从Shadow RAM中获取BIOS ROM 86 4.3.2 从BIOS芯片中获取BIOS ROM 88 4.3.3 分析几种方式获得的ROM数据 89 4.3.4 审计ROM数据 91 4.4 检测PCI设备 92 4.4.1 提取BIOS文件中的PCI设备信息 92 4.4.2 操作系统中读取系统PCI设备信息 93 4.4.3 进行PCI信息识别 94 4.5 审计MBR 95 4.5.1 获取原始MBR 95 4.5.2 对MBR进行审计 96 4.6 防止BIOS Rootkit加载的方法初探 96 4.6.1 硬件跳线防止刷新BIOS 96 4.6.2 阻止BIOS刷新 96 4.6.3 TPM（Trusted Platform Module）进行BIOS验证 97 4.7 小结 97 5 实验结果及其结果分析 98 5.1 引言 98 5.2 仿真环境 98 5.3 IVT Hook检测实验 99 5