多介质启动型内核劫持技术的研究与实现 .pdfVIP

摘要

摘要

恶意代码的植入和隐藏技术一直是信息安全界关注的重点。随着攻击技术的

不断提高，恶意代码植入和隐藏层面从最初的系统应用层上升到内核层。近年来，

攻击者在计算机启动流程的初始阶段就能实现恶意代码的植入。对于计算机系统

安全而言，及时准确的检测到恶意代码的存在是其核心工作之一。而现有的安全

检测方法主要作用于系统启动之后，不能有效检测在系统初始启动阶段实施的恶

意代码植入过程。对于这类攻击方法的检测，需要建立在对该技术本身深入研究

的基础之上，为此本文对近年来具有代表性的启动型代码植入和隐藏原型进行了

深入的研究，并在此基础上设计实现了基于多种引导介质协同工作的代码植入和

隐藏原型。在对多种启动型恶意代码植入方式对比分析后，提出了计算机系统应

对此类攻击的防御策略。本文主要从以下几个方面来开展研究工作：

1、对系统的启动机制进行研究，包括系统加电时BIOS的工作流程和操作系

统各启动模块的工作流程。在此基础上，对现有基于单引导介质的启动型内核劫

持原型进行深入的研究，总结出了这些原型的技术特点和面对现有主流安全防御

软件时所存在的两个主要不足：不能有效对抗安全软件的动态主动防御和静态磁

盘扫描分析。

2、针对单引导介质下原型所存在的问题，设计实现了基于多种引导介质协同

工作的启动型内核劫持原型。通过实现光盘的可引导化架构，将执行模块布局在

光盘的引导扇区。系统启动时，对光盘引导流程进行劫持，转移BIOS中断调用的

入口地址，布置操作系统启动流程劫持环境。然后释放操作系统启动劫持模块，

最后调用原始MBR将控制权转移给系统磁盘，开始操作系统的启动流程。在对操

作系统启动流程进行劫持的过程中，通过链式劫持的方式对各个启动模块进行劫

持，传递系统控制权直到加载自定义的内核驱动模块。本原型的动态释放位于系

统启动之前，可以有效对抗安全软件动态主动防御，并且原型执行过程不会修改

系统磁盘原有结构，因此也能有效对抗安全软件静态扫描分析。

3、在对多种启动型内核劫持原型深入分析的基础上，研究计算机系统遭受此

类攻击的问题根源，总结现有计算机系统在启动架构上的不足，提出针对这种攻

击手段的防御策略。

关键词：协同引导、启动劫持、内核劫持、恶意程序植入与隐藏、攻击防御

I

ABSTRACT

ABSTRACT

andconcealmentofmaliciousprogramsarerisingfromtheinitialring3leveltothe

ring0level.Recentyears,attackerscouldimplementtheimplantationofmalicious

programsattheinitialstagewhenthecomputerbootsup.Intermsofthesecurityof

However，

firstdeeplyanalyzetherepresentativeprototypesabouttheimplantationand

concealmentofthemaliciouscodehappenedonthestartup.Then,wedesignand

implementtheprototypeoftheimplantationandconcealmentofthemaliciouscode

wayofmultiplestartupimplantationofmaliciouscode,weproposethedefensive

strategyforhowtodealwiththiskindofattack.Westartourresearchmainlyinthe

followingaspects:

1.ResearchonstartupmechanismofOS,includingtheprocessofBIOSandeach

bootmodulewhenthesystemispoweredon.Ont