基于Windows启动过程的Rootkit检测技术研究

摘要

基于Windows肩动过程的Rootkit作为目前最前沿的Rootkit技术，把存放地由传统的操作系统磁盘文件扩展到了硬件BIOS芯片、硬盘主引导扇区等位置，同时将自身的启动提前到了Windows系统内核启动相同的级别，甚至还要更早的阶段。这样基于Windows启动过程的Rootkit就能较早的取得对计算机的控制权，从而实现较强的隐藏和控制功能。基于Windows启动过程的Rootkit技术划分为两个分支，即：BIOS Rootkit技术和Bootkit技术，这样分类主要的依据是：Rootkit存放的地方和肩动的时机不一样。
　　 只有很好地掌握了基于Windows肩动过程的Rootkit所使用的关键技术和攻击手段，达到知己知彼，才能找到相应检测技术的解决方案。因此本文从防御的角度对基于Windows启动过程的Rootkit技术进行了研究与分析。
　　 本文主要研究工作如下：
　　 (1)对木马模型框架的理论及其协同隐藏模型进行较深入的研究和分析，给出了BIOS Rootkit协同隐藏模型及模型的应用，并提出一种基于协同特征的BIOS Rootkit检测技术。针对现有的BIOS Rootkit检测技术所存在的能查而不能正常恢复的不足之处，本算法采用了搜索特征码、动态恢复等技术，实验结果表明该检测技术具有很高的可靠性，且能够很好的恢复被BIOS Rootkit篡改的中断服务。
　　 (2)在详细的逆向分析主引导扇区结构及引导代码后，提出了一种基于MBR的Bootkit检测技术，这种检测技术解决了嵌入型Bootkit无法检测的问题，在主引导扇区的恢复方面，本算法根据不同类型的Bootkit采用了不同的恢复技术，最后通过实验验证了基于MBR的Bootkit检测技术具有很强的检测能力和很好的修复效果。

目录

文摘

英文文摘

声明

第1章绪论

1.1研究背景与意义

1.2课题的研究现状

1.2.1国外研究现状

1.2.1国内研究现状

1.3本文的主要研究工作

第2章Windows操作系统的启动原理

2.1 Windows启动过程的预备阶段

2.2 NTLDR的引导过程

2.2.1 Startup.com的执行流程

2.2.2 Osloader.exe的执行流程

2.3 Windows内核的引导过程

2.3.1内核第1阶段的引导过程

2.3.2内核第2阶段的引导过程

2.4本章小结

第3章 Rootkit实例剖析及检测技术

3.1 Icelord的BIOS Rootkit实例剖析

3.1.1 ISA模块的原理介绍

3.1.2基于ISA模块的BIOS Rootkit刷写过程分析

3.1.3启动文件分析

3.2基于MBR的eEye BootRoot实例剖析

3.2.1实现原理分析

3.2.2技术的验证

3.3基于Windows启动过程的Rootkit检测技术

3.3.1 BIOS Rootkit检测技术

3.3.2 Bootkit检测技术

3.4本章小结

第4章 基于协同特征的BIOS Rootkit检测技术

4.1基于协同隐藏的BIOS Rootkit模型

4.1.1 Harold Thimbley木马模型的相关概念

4.1.2 BIOS Rootkit协同隐藏模型的建立

4.1.3 BIOS Rootkit协同隐藏模型的应用

4.2 BIOS中断的相关理论

4.2.1 BIOS中断向量表的结构

4.2.2 BIOS中断的执行原理

4.3检测算法的设计与实现

4.3.1检测算法的设计思想

4.3.2启动模块的分析

4.3.3检测算法所要解决的问题及解决方案的制定

4.3.4检测算法的实现

4.4实验

4.4.1实验环境

4.4.2实验过程

4.4.3实验结果

4.5木章小结

第5章基于MBR的Bootkit检测技术

5.1磁盘的相关技术

5.1.1磁盘的寻址方式

5.1.2磁盘中断服务

5.2主引导扇区的剖析

5.2.1主引导扇区的结构分析

5.2.2主引导扇区引导代码的逆向分析

5.3算法的设计及实现

5.3.1检测算法的设计思想

5.3.2检测算法的设计过程

5.3.3检测算法的实现

5.4实验

5.4.1实验环境

5.4.2实验过程

5.4.3实验结果

5.5本章小结

总结与展望

全文总结

研究展望

致谢

参考文献

攻读硕士学位期间发表的论文