Windows下Bootkit檢測(cè)及防御技術(shù)研究.pdf

1、Bootkit可以說是現(xiàn)階段最頑固的惡意代碼,它是Rootkit技術(shù)的一種,雖然功能上并不異于Rootkit,但是Bootkit把自身的棲息地由傳統(tǒng)的操作系統(tǒng)文件擴(kuò)展到了硬件BIOS、MBR等位置,同時(shí)將自身的啟動(dòng)提前到了與Windows系統(tǒng)內(nèi)核啟動(dòng)相同的級(jí)別,甚至還要更早的階段,這樣Bootkit就能較早的取得對(duì)計(jì)算機(jī)的控制權(quán),從而實(shí)現(xiàn)更強(qiáng)的隱藏和控制功能,可以說Bootkit是高級(jí)的Rootkit。
　　 現(xiàn)階段Bootki

2、t技術(shù)還不是很成熟,正處于研發(fā)階段,尚未造成嚴(yán)重的危害,但是現(xiàn)有的Bootkit樣本已經(jīng)展現(xiàn)出其強(qiáng)大的危害性。Windows操作系統(tǒng)廣泛應(yīng)用于我們的生活中,其未開源的特性,導(dǎo)致用戶無法重新編譯系統(tǒng)文件以增強(qiáng)安全性,加之系統(tǒng)漏洞百出,這勢(shì)必使得其變成了Bootkit攻擊的重要目標(biāo)。因此研究Windows Bootkit檢測(cè)及防御技術(shù)具有重大意義。
　　 本文以現(xiàn)有Windows Bootkit樣本作為切入點(diǎn),分析了其實(shí)現(xiàn)技術(shù)和原理

3、,結(jié)合傳統(tǒng)Windows Rootkit檢測(cè)技術(shù),本文從實(shí)時(shí)監(jiān)控、多樣性檢測(cè)和自身保護(hù)三方面考慮設(shè)計(jì)并實(shí)現(xiàn)了一種檢測(cè)防御Windows Bootkit的方法。該方法通過分析虛擬機(jī)內(nèi)存捕捉當(dāng)前線程,從而能夠快速的監(jiān)視虛擬機(jī)內(nèi)程序運(yùn)行,并利用改進(jìn)的最近鄰聚類算法檢測(cè)內(nèi)存是否存在Bootkit。若存在,對(duì)內(nèi)存填充零以清除Bootkit。并且通過實(shí)驗(yàn)驗(yàn)證了本文中方法的高效性和可靠性。
　　 本文中檢測(cè)方法采用聚類分析法解決了普通檢測(cè)技術(shù)

4、單一性的問題,能適應(yīng)Windows Bootkit的多變復(fù)雜性,能比較全面的檢測(cè)出各種現(xiàn)有的Windows Bootkit,具有通用性的一面;檢測(cè)程序運(yùn)行于宿主機(jī)對(duì)虛擬機(jī)內(nèi)存進(jìn)行分析,捕捉當(dāng)前線程進(jìn)而獲得虛擬機(jī)內(nèi)部程序運(yùn)行的所有情況,達(dá)到實(shí)時(shí)監(jiān)控的目的;因?yàn)闄z測(cè)程序和Bootkit運(yùn)行在不同系統(tǒng)中,這樣使得Bootkit無法對(duì)檢測(cè)程序進(jìn)行破壞攻擊,并且避免了檢測(cè)程序調(diào)用被Bootkit修改的系統(tǒng)函數(shù)造成檢測(cè)結(jié)果錯(cuò)誤的情況,很好的實(shí)現(xiàn)了自