基于Windows啟動過程的Rootkit檢測技術研究.pdf

1、基于Windows肩動過程的Rootkit作為目前最前沿的Rootkit技術，把存放地由傳統(tǒng)的操作系統(tǒng)磁盤文件擴展到了硬件BIOS芯片、硬盤主引導扇區(qū)等位置，同時將自身的啟動提前到了Windows系統(tǒng)內核啟動相同的級別，甚至還要更早的階段。這樣基于Windows啟動過程的Rootkit就能較早的取得對計算機的控制權，從而實現(xiàn)較強的隱藏和控制功能。基于Windows啟動過程的Rootkit技術劃分為兩個分支，即：BIOS Rootkit技

2、術和Bootkit技術，這樣分類主要的依據(jù)是：Rootkit存放的地方和肩動的時機不一樣。
　　 只有很好地掌握了基于Windows肩動過程的Rootkit所使用的關鍵技術和攻擊手段，達到知己知彼，才能找到相應檢測技術的解決方案。因此本文從防御的角度對基于Windows啟動過程的Rootkit技術進行了研究與分析。
　　 本文主要研究工作如下：
　　 (1)對木馬模型框架的理論及其協(xié)同隱藏模型進行較深入的研究和分

3、析，給出了BIOS Rootkit協(xié)同隱藏模型及模型的應用，并提出一種基于協(xié)同特征的BIOS Rootkit檢測技術。針對現(xiàn)有的BIOS Rootkit檢測技術所存在的能查而不能正?；謴偷牟蛔阒?，本算法采用了搜索特征碼、動態(tài)恢復等技術，實驗結果表明該檢測技術具有很高的可靠性，且能夠很好的恢復被BIOS Rootkit篡改的中斷服務。
　　 (2)在詳細的逆向分析主引導扇區(qū)結構及引導代碼后，提出了一種基于MBR的Bootkit檢