多介質(zhì)啟動(dòng)型內(nèi)核劫持技術(shù)的研究與實(shí)現(xiàn).pdf

1、惡意代碼的植入和隱藏技術(shù)一直是信息安全界關(guān)注的重點(diǎn)。隨著攻擊技術(shù)的不斷提高，惡意代碼植入和隱藏層面從最初的系統(tǒng)應(yīng)用層上升到內(nèi)核層。近年來，攻擊者在計(jì)算機(jī)啟動(dòng)流程的初始階段就能實(shí)現(xiàn)惡意代碼的植入。對于計(jì)算機(jī)系統(tǒng)安全而言，及時(shí)準(zhǔn)確的檢測到惡意代碼的存在是其核心工作之一。而現(xiàn)有的安全檢測方法主要作用于系統(tǒng)啟動(dòng)之后，不能有效檢測在系統(tǒng)初始啟動(dòng)階段實(shí)施的惡意代碼植入過程。對于這類攻擊方法的檢測，需要建立在對該技術(shù)本身深入研究的基礎(chǔ)之上，為此本文對

2、近年來具有代表性的啟動(dòng)型代碼植入和隱藏原型進(jìn)行了深入的研究，并在此基礎(chǔ)上設(shè)計(jì)實(shí)現(xiàn)了基于多種引導(dǎo)介質(zhì)協(xié)同工作的代碼植入和隱藏原型。在對多種啟動(dòng)型惡意代碼植入方式對比分析后，提出了計(jì)算機(jī)系統(tǒng)應(yīng)對此類攻擊的防御策略。本文主要從以下幾個(gè)方面來開展研究工作：
　　1、對系統(tǒng)的啟動(dòng)機(jī)制進(jìn)行研究，包括系統(tǒng)加電時(shí)BIOS的工作流程和操作系統(tǒng)各啟動(dòng)模塊的工作流程。在此基礎(chǔ)上，對現(xiàn)有基于單引導(dǎo)介質(zhì)的啟動(dòng)型內(nèi)核劫持原型進(jìn)行深入的研究，總結(jié)出了這些原型的

3、技術(shù)特點(diǎn)和面對現(xiàn)有主流安全防御軟件時(shí)所存在的兩個(gè)主要不足：不能有效對抗安全軟件的動(dòng)態(tài)主動(dòng)防御和靜態(tài)磁盤掃描分析。
　　2、針對單引導(dǎo)介質(zhì)下原型所存在的問題，設(shè)計(jì)實(shí)現(xiàn)了基于多種引導(dǎo)介質(zhì)協(xié)同工作的啟動(dòng)型內(nèi)核劫持原型。通過實(shí)現(xiàn)光盤的可引導(dǎo)化架構(gòu)，將執(zhí)行模塊布局在光盤的引導(dǎo)扇區(qū)。系統(tǒng)啟動(dòng)時(shí)，對光盤引導(dǎo)流程進(jìn)行劫持，轉(zhuǎn)移BIOS中斷調(diào)用的入口地址，布置操作系統(tǒng)啟動(dòng)流程劫持環(huán)境。然后釋放操作系統(tǒng)啟動(dòng)劫持模塊，最后調(diào)用原始MBR將控制權(quán)轉(zhuǎn)移給系

4、統(tǒng)磁盤，開始操作系統(tǒng)的啟動(dòng)流程。在對操作系統(tǒng)啟動(dòng)流程進(jìn)行劫持的過程中，通過鏈?zhǔn)浇俪值姆绞綄Ω鱾€(gè)啟動(dòng)模塊進(jìn)行劫持，傳遞系統(tǒng)控制權(quán)直到加載自定義的內(nèi)核驅(qū)動(dòng)模塊。本原型的動(dòng)態(tài)釋放位于系統(tǒng)啟動(dòng)之前，可以有效對抗安全軟件動(dòng)態(tài)主動(dòng)防御，并且原型執(zhí)行過程不會(huì)修改系統(tǒng)磁盤原有結(jié)構(gòu)，因此也能有效對抗安全軟件靜態(tài)掃描分析。
　　3、在對多種啟動(dòng)型內(nèi)核劫持原型深入分析的基礎(chǔ)上，研究計(jì)算機(jī)系統(tǒng)遭受此類攻擊的問題根源，總結(jié)現(xiàn)有計(jì)算機(jī)系統(tǒng)在啟動(dòng)架構(gòu)上的不足，