BIOS Rootkit及其检测技术的研究

摘要

Rootkit作为恶意软件的一个特定类型，是近年来国内外计算机安全领域热门的研究课题。新兴的BIOS Rootkit作为Rootkit的一个分支，强调把传统的Rootkit技术和BIOS芯片技术相结合。其较强的隐蔽性和较大的破坏力，几乎可以躲过现有的任何计算机安全检测软件的检测，这对计算机安全领域提出了巨大挑战。因此对BIOS Rootkit检测技术进行研究，具有较强的实用性。
　　BIOS Rootkit是Rootkit技术的前沿研究课题。目前国内外对BIOS Rootkit实现的相关技术研究较少，相关理论和研究资料都较为缺乏。而BIOS Rootkit的检测，目前国内外没有见到有公开发表的研究成果。因此，本文对其检测技术进行研究和探讨，将是一种崭新的尝试。本文中的实验资料将为这一领域研究提供第一手的实验验证资料。
　　本文在剖析BIOS Rootkit实现技术的基础上，对BIOS Rootkit检测进行了深入探讨。在研究过程中，把现代检测Rootkit的一些思想灵活运用到对BIOS Rootkit的相关检测中。并提出通过检测IVT Hook的方法来判断BIOS Rootkit的存在性。最终通过编写程序进行实验验证，完满解决了BIOS Rootkit难于检测、难于发现的问题，达到了实验的预期目标。

目录

封面

中文摘要

英文摘要

目录

1 绪 论

1.1 课题背景及问题陈述

1.2 国内外研究现状

1.3 本文研究工作简介

1.4 本文组织结构

2 恶意软件及Rootkit概要

2.1 恶意软件及其分类

2.2 Rootkit及其分类

2.5 小结

3 BIOS Rootkit的原理及方法分析

3.1 BIOS的静态及动态分析

3.2 实地址模式下的中断向量表（IVT）

3.3 BIOS Rootkit实例分析

3.4 BIOS Rootkit研究相关工具

3.5 小结

4 BIOS Rootkit 的检测技术研究

4.1 检测IVT Hook

4.2 检测BIOS文件

4.3 检测PCI设备

4.4 审计MBR

4.5 防止BIOS Rootkit加载的方法初探

4.6 小结

5 实验及其结果分析

5.1 仿真环境

5.2 IVT Hook检测实验

5.3 实验结果综合分析

5.4 小结

6 结 语

6.1 本文工作总结

6.2 未来研究展望

致谢

参考文献

附录