检索结果-南通市图书馆

在线全文

学校读者我要写书评

暂无评论

bootkit技术分析及其防御方法的研究

Bootkit技术分析及其防御方法的研究

作者：曲安东东北大学

学位级别：硕士

随着计算机和互联网的迅猛发展,计算机和互联网的安全问题日益凸显,各种攻击事件、木马、病毒层出不穷。时至今日,木马、病毒的作用不在是黑客对自我技术的炫耀,开始向窃取信息、诈骗等有计划、有组织的网络犯罪方向转变。相应的,一些... 详细信息

随着计算机和互联网的迅猛发展,计算机和互联网的安全问题日益凸显,各种攻击事件、木马、病毒层出不穷。时至今日,木马、病毒的作用不在是黑客对自我技术的炫耀,开始向窃取信息、诈骗等有计划、有组织的网络犯罪方向转变。相应的,一些更加具有隐蔽性和顽固性的木马、病毒开始大规模传播,造成了极大的危害。而基于bootkit技术的木马、病毒由于其在Windows内核加载前就可以获得执行,能够先于各种安全防御机制运行,具有非常好的隐蔽性,并且很难彻底清除。目前,造成了较大危害的bootkit病毒分别为在国内流行的鬼影系列,以及国外流行的TDSS系列,它们都是通过修改MBR (Master Boot Record,主引导记录)达到其先于Windows内核运行的目的。针对该种基于MBR的bootkit的特点,最有效的防御手段就是在其修改MBR时将其拦截。本文首先介绍了Windows内核的相关知识以及详细的引导启动过程。之后,为了探究bootkit技术,详细解读分析了Stoned bootkit的感染及运行过程,为之后对bootkit防御方法的研究打下了基础。针对目前流行的bootkit病毒都选择感染MBR的特点,本文首先实现了SSDT (System Services Descriptor Table,系统服务描述表)Hook NtWriteFile函数过滤写入文件请求和Hook IRP (I/O request packets, I/O请求包)分发函数IoCallDriver过滤IRP两种防御方式,分别完成了在用户模式进入内核模式以及在内核驱动程序层对修改MBR的拦截。之后,本文分析了未来bootkit的发展趋势,根据其使用底层I/O端口的特性,提出了一种拦截通过I/O端口读写硬盘的思想,并实现了对通过读写I/O端口修改MBR的拦截。最后,本文给出了相应的测试结果,证明了本文中的防御方法对bootkit病毒是有效性。

关键词： bootkit Windows启动 Windows内核拦截MBR写入 I/O端口

基于MBR的Windows bootkit隐藏技术

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

计算机应用 2009年第B6期29卷 83-85页

作者：胡和君范明钰王光卫电子科技大学计算机科学与工程学院成都610054

对Windows系统环境下的bootkit隐藏技术进行了研究,提出了bootkit协同隐藏的形式化模型。结合协同隐藏思想,实现了一个bootkit原型。该原型基于MBR并通过多级hook完成了对Windows系统内核启动的劫持。实验结果表明,该原型体现了协同隐... 详细信息

对Windows系统环境下的bootkit隐藏技术进行了研究,提出了bootkit协同隐藏的形式化模型。结合协同隐藏思想,实现了一个bootkit原型。该原型基于MBR并通过多级hook完成了对Windows系统内核启动的劫持。实验结果表明,该原型体现了协同隐藏的思想,能够有效地隐藏运行。

关键词： bootkit 协同隐藏 hook 主引导记录

在线全文

学校读者我要写书评

暂无评论

UEFI bootkit模型与分析

计算机科学 2012年第10期39卷 308-312页

作者：唐文彬陈熹陈嘉勇祝跃飞解放军信息工程大学信息工程学院郑州450002 中国科学院信息安全国家重点实验室北京100049

分析了UEFI bootkit的工作原理和关键技术;在Harold木马模型的基础上,给出了UEFI bootkit的形式化描述;分析了UEFI bootkit和木马在隐蔽技术方面的差异,建立了UEFI bootkit协同隐藏的形式化模型;给出了模型的一个应用实例,理论证明了在... 详细信息

分析了UEFI bootkit的工作原理和关键技术;在Harold木马模型的基础上,给出了UEFI bootkit的形式化描述;分析了UEFI bootkit和木马在隐蔽技术方面的差异,建立了UEFI bootkit协同隐藏的形式化模型;给出了模型的一个应用实例,理论证明了在操作系统内核启动前检测bootkit比在操作系统启动完成后检测具有更好的效果;开发了一套在操作系统内核加载前就开始检测的UEFI bootkit检测系统;使用检测系统进行了实际的测试,结果表明,UEFI bootkit检测系统具有较好的检测效果,有效地验证了模型的准确性。

关键词： UEFI 形式化 bootkit 隐蔽技术可信计算检测系统

基于行为监测的Anti-R/bootkit的研究与实现

在线全文

学校读者我要写书评

暂无评论

基于行为监测的Anti-R/Bootkit的研究与实现

作者：李月锋中国科学技术大学

学位级别：硕士

Rootkit是一种新型的恶意程序程序或程序集,设计的目的是用来秘密的控制被攻占的计算机的行为。通过隐蔽后门程序或其他类似的工具程序,使得这些工具程序能在指定计算机上长期非法存在;同时当用户查询计算机的当前状况时,通过隐藏相关... 详细信息

Rootkit是一种新型的恶意程序程序或程序集,设计的目的是用来秘密的控制被攻占的计算机的行为。通过隐蔽后门程序或其他类似的工具程序,使得这些工具程序能在指定计算机上长期非法存在;同时当用户查询计算机的当前状况时,通过隐藏相关信息的方法来欺骗用户,使用户相信此计算机未受到侵害。bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展形式,对系统启动和内核准入安全提出了最新挑战。由于Rootkit/bootkit(R/bootkit)属于信息安全攻防的新型技术亮点和潜在的危险变种,当前业界和学术界竞相公布出各自富有特色研究项目。本文的主要工作和特色如下:1. B/Rootkit行为剖析以及行为特征的形式化描述深入探索当前主流B/Rootkit的危害原理以及技术要点实现,以及主流Anti-R/bootkit在行为判断上过多依赖用户选择的现状,指出了恶意进驻内核这个行为特征提取是Bootkti/Rootkit防范与检测的技术瓶颈,为此我们定义出形式化描述语言规范,以描述出该恶意行为特征。2.基于恶意进驻内核行为特征的Anti-R/bootkit原型系统设计与实现在此基础上,利用该形式化描述语言规范和行为策略,我们设计并实现了一个基于恶意进驻内核行为特征的Anti-R/bootkit原型系统。在和同类商业化的Anti-R/bootkit系统的比较中,显示出较优的自主识别能力以及较好的未知R/bootkit预防能力。本文最后提出了R/bootkit和Anti-R/bootkit对抗中新的发展趋势,并介绍了下一步的工作方向。

关键词： Rootkit bootkit 行为特征布控优先启动进驻内核形式化描述 Behavior Detection(BD)

Windows下bootkit检测及防御技术研究

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

Windows下Bootkit检测及防御技术研究

作者：高勇电子科技大学

学位级别：硕士

bootkit可以说是现阶段最顽固的恶意代码,它是Rootkit技术的一种,虽然功能上并不异于Rootkit,但是bootkit把自身的栖息地由传统的操作系统文件扩展到了硬件BIOS、MBR等位置,同时将自身的启动提前到了与Windows系统内核启动相同的级别,... 详细信息

bootkit可以说是现阶段最顽固的恶意代码,它是Rootkit技术的一种,虽然功能上并不异于Rootkit,但是bootkit把自身的栖息地由传统的操作系统文件扩展到了硬件BIOS、MBR等位置,同时将自身的启动提前到了与Windows系统内核启动相同的级别,甚至还要更早的阶段,这样bootkit就能较早的取得对计算机的控制权,从而实现更强的隐藏和控制功能,可以说bootkit是高级的Rootkit。现阶段bootkit技术还不是很成熟,正处于研发阶段,尚未造成严重的危害,但是现有的bootkit样本已经展现出其强大的危害性。Windows操作系统广泛应用于我们的生活中,其未开源的特性,导致用户无法重新编译系统文件以增强安全性,加之系统漏洞百出,这势必使得其变成了bootkit攻击的重要目标。因此研究Windows bootkit检测及防御技术具有重大意义。本文以现有Windows bootkit样本作为切入点,分析了其实现技术和原理,结合传统Windows Rootkit检测技术,本文从实时监控、多样性检测和自身保护三方面考虑设计并实现了一种检测防御Windows bootkit的方法。该方法通过分析虚拟机内存捕捉当前线程,从而能够快速的监视虚拟机内程序运行,并利用改进的最近邻聚类算法检测内存是否存在bootkit。若存在,对内存填充零以清除bootkit。并且通过实验验证了本文中方法的高效性和可靠性。本文中检测方法采用聚类分析法解决了普通检测技术单一性的问题,能适应Windows bootkit的多变复杂性,能比较全面的检测出各种现有的Windows bootkit,具有通用性的一面;检测程序运行于宿主机对虚拟机内存进行分析,捕捉当前线程进而获得虚拟机内部程序运行的所有情况,达到实时监控的目的;因为检测程序和bootkit运行在不同系统中,这样使得bootkit无法对检测程序进行破坏攻击,并且避免了检测程序调用被bootkit修改的系统函数造成检测结果错误的情况,很好的实现了自我保护的机制。

关键词： bootkit Windows内核检测虚拟机内存最近邻聚类

Windows bootkit技术研究与应用

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

Windows Bootkit技术研究与应用

作者：胡和君电子科技大学

学位级别：硕士

Windows bootkit作为目前最前沿的Windows Rootkit技术,把寄宿地由传统的操作系统磁盘文件扩展到了硬件BIOS芯片、硬盘MBR等位置,同时将自身的启动提前到了与Windows系统内核启动相同的级别,甚至还要更早的阶段。这样bootkit就能较早的... 详细信息

Windows bootkit作为目前最前沿的Windows Rootkit技术,把寄宿地由传统的操作系统磁盘文件扩展到了硬件BIOS芯片、硬盘MBR等位置,同时将自身的启动提前到了与Windows系统内核启动相同的级别,甚至还要更早的阶段。这样bootkit就能较早的取得对计算机的控制权,从而实现较强的隐藏和控制功能。虽然该技术目前还处于概念性验证阶段,没有实际的成熟的恶意程序产品,但是如果现在不研究检测、清除的方法,将会给网络留下安全隐患。而只有先掌握好bootkit所使用的关键技术和攻击手段,达到知己知彼,才能找到相应的解决方案。因此本文从攻击者的角度对Windows bootkit技术进行研究与分析。本文对当前的Windows bootkit实例的核心技术进行了分析和总结。从复杂的Windows bootkit技术原理中,抽象出了基于Windows bootkit的协同隐藏模型,并给出了其形式化的描述。在此基础上设计和实现了一个基于MBR的Windows bootkit原型。该原型相对于传统的基于MBR的bootkit,在hook特征码的选取上更具有通用性,同时通过hook MBR的读写操作,提高反检测能力。在隐藏实现中,除了使用Rootkit的DKOM、hook ssdt、驱动过滤等常规技术外,使用了一种新的文件隐藏技术——对象劫持,用以绕过当前所有的检测工具。在bootkit的功能模块中,实现了一个用于远程控制的shell功能。通过三个实验验证了Windows bootkit协同隐藏的有效性的同时,也发现了该bootkit原型的许多不足,为该领域的进一步研究提供了可供参考的资料。最后,提出了一种结合漏洞攻击的bootkit利用方案,研究了一种穿透主动防御软件的磁盘操作技术,提出了一种通过感染PE文件绕过Vista的UAC安全机制的方法。同时也提出了一些Windows bootkit的预防手段和检测方法。

关键词： bootkit 协同隐藏 hook MBR Windows内核

基于行为特征的Windows bootkit检测模型的研究及其系统实现

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于行为特征的Windows Bootkit检测模型的研究及其系统实现

作者：赵永福电子科技大学

学位级别：硕士

bootkit是Rootkit技术的一种,Windows操作系统的广泛使用,为bootkit的发展和传播提供了可靠的平台。目前,bootkit通过把驻留位置延伸到硬件MBR、BIOS等位置,并通过一系列的Hook等操作,更早获得了自身的启动以及取得对计算机的控制权。... 详细信息

bootkit是Rootkit技术的一种,Windows操作系统的广泛使用,为bootkit的发展和传播提供了可靠的平台。目前,bootkit通过把驻留位置延伸到硬件MBR、BIOS等位置,并通过一系列的Hook等操作,更早获得了自身的启动以及取得对计算机的控制权。在实现隐藏和控制功能上,bootkit更加强大,因此其危害也更大。只有紧密关注bootkit技术的新发展和变化,把握bootkit的特性,才能从容面对其新的应用。基于Windows的bootkit的快速发展,在技术上得益于开源组织和个人的不断尝试和改进。更重要的是,作为特殊的木马,bootkit在理论上,可以借助于前人提出的模型。强有力的理论指导,使得bootkit的更新换代不断加快。因此,要高效而有效地检测bootkit,一方面要深入研究bootkit的各种行为特性,另一方面也要着手研究具有通用意义的检测模型。本文基于分析bootkit的主要行为特征,深入总结了最新bootkit的隐藏特性。通过介绍传统的检测方法及其不足,指出改进检测方法以及建立检测模型的必要性。并以bootkit的隐藏特征为出发点,参考前人建立的木马模型,阐述了建立模型的可行性和模型的意义。通过对bootkit隐藏行为特征的分析和抽象,研究了bootkit内部组件之间的隐藏关系。并以检测的角度,针对协同隐藏的特点,确立了模型的三要素,即检测源,检测路径,检测对象并建立了以层级检测为核心的检测模型。并将该模型称为检测模型。为了更好地验证提出的检测模型,本文基于检测模型分析和建立了检测系统的框架。并框架中各个模块的设计和作用进行了详细地说明。鉴于传统的单一的检测方法的缺陷,在实现各个模块的过程中,为更加准确而高效的检测bootkit,本文提出了新的解决方法或解决思路。主要为提出在保护模式下扫描实模式下系统遗留的系统内存空间以检测bootkit启动行为,并结合驱动以及进程检测等方法实现了对bootkit的层级检测。本文最后使用基于检测模型实现的检测系统对目前主流的bootkit进行检测,并利用调试技术对检测结果进行了验证,验证了其有效性和通用性。最后,又将其检测效果与其他检测工具进行了对比分析,证明了其优越性。

关键词： bootkit 检测模型检测模型行为特征

基于bootkit原理恶意代码控制技术研究

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

柳州职业技术学院学报 2011年第5期11卷 28-34页

作者：张德平柳州职业技术学院信息工程系广西柳州545006

首先分析了BIOS的启动过程,给出了BIOS启动过程中的控制权传递方法,分析了BIOS启动过程中POST阶段与BootBlock阶段分别完成的工作。然后提出了基于Bochs的BIOS代码安全性检测方法,对BIOS加载后的内存空间分布情况进行了分析,对可能造成... 详细信息

首先分析了BIOS的启动过程,给出了BIOS启动过程中的控制权传递方法,分析了BIOS启动过程中POST阶段与BootBlock阶段分别完成的工作。然后提出了基于Bochs的BIOS代码安全性检测方法,对BIOS加载后的内存空间分布情况进行了分析,对可能造成安全隐患的环节进行代码跟踪,并给出了正常情况下的代码及功能。

关键词： bootkit 恶意代码 BIOS Bochs

基于磁盘数据分析的bootkit静态检测研究与实现

在线全文

学校读者我要写书评

暂无评论

计算机应用与软件 2015年第6期32卷 52-56页

作者：金戈薛质王轶骏上海交通大学信息安全工程学院上海200240

bootkit这种新型恶意代码通过感染磁盘的主引导记录(MBR)或卷引导记录(VBR)来获取执行权,从而将加载时间大大提前以使常规基于动态行为分析的安全软件都不能对其进行有效检测[1]。针对bootkit检测这一难题提出一种新型静态检测方法,设... 详细信息

bootkit这种新型恶意代码通过感染磁盘的主引导记录(MBR)或卷引导记录(VBR)来获取执行权,从而将加载时间大大提前以使常规基于动态行为分析的安全软件都不能对其进行有效检测[1]。针对bootkit检测这一难题提出一种新型静态检测方法,设计实现相关的MBR匹配算法,并针对国内外知名的bootkit恶意代码样本进行实验。实验结果显示此方法可以有效检测出当今主流的bootkit恶意代码,进而证明了静态检测思路的可行性。

关键词： bootkit 主引导记录卷引导记录 MBR 匹配检测算法