基于行為特征的Windows Bootkit檢測模型的研究及其系統(tǒng)實現(xiàn).pdf

1、Bootkit是Rootkit技術(shù)的一種，Windows操作系統(tǒng)的廣泛使用，為Bootkit的發(fā)展和傳播提供了可靠的平臺。目前，Bootkit通過把駐留位置延伸到硬件MBR、BIOS等位置，并通過一系列的Hook等操作，更早獲得了自身的啟動以及取得對計算機的控制權(quán)。在實現(xiàn)隱藏和控制功能上，Bootkit更加強大，因此其危害也更大。只有緊密關(guān)注Bootkit技術(shù)的新發(fā)展和變化，把握Bootkit的特性，才能從容面對其新的應(yīng)用。
　　

2、基于Windows的Bootkit的快速發(fā)展，在技術(shù)上得益于開源組織和個人的不斷嘗試和改進。更重要的是，作為特殊的木馬，Bootkit在理論上，可以借助于前人提出的模型。強有力的理論指導(dǎo)，使得Bootkit的更新?lián)Q代不斷加快。因此，要高效而有效地檢測Bootkit，一方面要深入研究Bootkit的各種行為特性，另一方面也要著手研究具有通用意義的檢測模型。
　　本文基于分析Bootkit的主要行為特征，深入總結(jié)了最新Bootkit的

3、隱藏特性。通過介紹傳統(tǒng)的檢測方法及其不足，指出改進檢測方法以及建立檢測模型的必要性。并以Bootkit的隱藏特征為出發(fā)點，參考前人建立的木馬模型，闡述了建立模型的可行性和模型的意義。
　　通過對Bootkit隱藏行為特征的分析和抽象，研究了Bootkit內(nèi)部組件之間的隱藏關(guān)系。并以檢測的角度，針對協(xié)同隱藏的特點，確立了模型的三要素，即檢測源，檢測路徑，檢測對象并建立了以層級檢測為核心的檢測模型。并將該模型稱為檢測模型。
　　

4、為了更好地驗證提出的檢測模型，本文基于檢測模型分析和建立了檢測系統(tǒng)的框架。并框架中各個模塊的設(shè)計和作用進行了詳細地說明。鑒于傳統(tǒng)的單一的檢測方法的缺陷，在實現(xiàn)各個模塊的過程中，為更加準確而高效的檢測Bootkit，本文提出了新的解決方法或解決思路。主要為提出在保護模式下掃描實模式下系統(tǒng)遺留的系統(tǒng)內(nèi)存空間以檢測Bootkit啟動行為，并結(jié)合驅(qū)動以及進程檢測等方法實現(xiàn)了對Bootkit的層級檢測。
　　本文最后使用基于檢測模型實現(xiàn)的檢