面向异构BIOS环境的Rootkit通用性检测方法

摘要

在传统木马模型框架的基础上,对Rootkit协同隐藏形式化模型进行分析和改进,实现了一个面向异构BIOS环境的Rootkit形式化检测模型。该模型根据协同隐藏思想,将整个检测流程分为三个模块。对多种异构BIOS环境下的Rootkit样本进行研究,并结合可信计算思想,提出基于可信计算的检测方法。该方法和Rootkit形式化检测模型相结合,根据多个异构BIOS环境的Rootkit样本分析结果建立三条可信链,对不同模块提出不同检测思想,如:基于可信计算的完整性检测方法、检测中断向量表入口地址等。实验结果表明,该检测方法对异构BIOS环境下不同系统环境的Rootkit可进行有效检测。