基于Windows啟動(dòng)過(guò)程的Rootkit檢測(cè)技術(shù)研究.pdf

1、基于Windows肩動(dòng)過(guò)程的Rootkit作為目前最前沿的Rootkit技術(shù)，把存放地由傳統(tǒng)的操作系統(tǒng)磁盤(pán)文件擴(kuò)展到了硬件BIOS芯片、硬盤(pán)主引導(dǎo)扇區(qū)等位置，同時(shí)將自身的啟動(dòng)提前到了Windows系統(tǒng)內(nèi)核啟動(dòng)相同的級(jí)別，甚至還要更早的階段。這樣基于Windows啟動(dòng)過(guò)程的Rootkit就能較早的取得對(duì)計(jì)算機(jī)的控制權(quán)，從而實(shí)現(xiàn)較強(qiáng)的隱藏和控制功能。基于Windows啟動(dòng)過(guò)程的Rootkit技術(shù)劃分為兩個(gè)分支，即：BIOS Rootkit技

2、術(shù)和Bootkit技術(shù)，這樣分類(lèi)主要的依據(jù)是：Rootkit存放的地方和肩動(dòng)的時(shí)機(jī)不一樣。
　　 只有很好地掌握了基于Windows肩動(dòng)過(guò)程的Rootkit所使用的關(guān)鍵技術(shù)和攻擊手段，達(dá)到知己知彼，才能找到相應(yīng)檢測(cè)技術(shù)的解決方案。因此本文從防御的角度對(duì)基于Windows啟動(dòng)過(guò)程的Rootkit技術(shù)進(jìn)行了研究與分析。
　　 本文主要研究工作如下：
　　 (1)對(duì)木馬模型框架的理論及其協(xié)同隱藏模型進(jìn)行較深入的研究和分

3、析，給出了BIOS Rootkit協(xié)同隱藏模型及模型的應(yīng)用，并提出一種基于協(xié)同特征的BIOS Rootkit檢測(cè)技術(shù)。針對(duì)現(xiàn)有的BIOS Rootkit檢測(cè)技術(shù)所存在的能查而不能正常恢復(fù)的不足之處，本算法采用了搜索特征碼、動(dòng)態(tài)恢復(fù)等技術(shù)，實(shí)驗(yàn)結(jié)果表明該檢測(cè)技術(shù)具有很高的可靠性，且能夠很好的恢復(fù)被BIOS Rootkit篡改的中斷服務(wù)。
　　 (2)在詳細(xì)的逆向分析主引導(dǎo)扇區(qū)結(jié)構(gòu)及引導(dǎo)代碼后，提出了一種基于MBR的Bootkit檢