基于UEFI固件的安全性研究及惡意代碼檢測.pdf

1、計算機(jī)固件在操作系統(tǒng)啟動之前運(yùn)行，負(fù)責(zé)初始化硬件并預(yù)備操作系統(tǒng)啟動環(huán)境。UEFI是新的固件標(biāo)準(zhǔn)，它定義了操作系統(tǒng)與固件平臺間新的接口規(guī)范。隨著計算機(jī)攻擊技術(shù)的發(fā)展，出現(xiàn)了針對計算機(jī)固件的惡意代碼攻擊。固件惡意代碼隱藏于計算機(jī)系統(tǒng)的底層，在操作系統(tǒng)啟動前運(yùn)行，具有隱蔽性強(qiáng)、啟動時間早、破壞性大的特點(diǎn)。隨著UEFI的廣泛應(yīng)用，亟需對UEFI固件安全技術(shù)進(jìn)行研究。
　　目前，與UEFI固件惡意代碼檢測相關(guān)的研究并不多，本文借鑒傳統(tǒng)的惡意

2、代碼檢測方法，并研究其不足。傳統(tǒng)的惡意代碼檢測方法只能在計算機(jī)操作系統(tǒng)啟動之后進(jìn)行檢測，不能檢測和清除固件中的惡意代碼。現(xiàn)有UEFI固件的安全機(jī)制主要基于數(shù)字認(rèn)證技術(shù)，通過禁止運(yùn)行未授權(quán)代碼的方法為固件提供防護(hù)，這些安全機(jī)制缺乏靈活性，限制了UEFI的應(yīng)用和擴(kuò)展。
　　為了解決上述檢測方法的不足，本文基于UEFI固件技術(shù)并借鑒傳統(tǒng)的惡意代碼檢測技術(shù)，解決了固件文件惡意代碼特征提取、啟動項(xiàng)信息特征提取、檢測過程的模式匹配、固件驅(qū)動加

3、載的問題，設(shè)計一種新的惡意代碼檢測系統(tǒng)以保障UEFI固件的安全。主要研究內(nèi)容有：
　　1）基于對傳惡意代碼檢測的研究，結(jié)合UEFI固件環(huán)境的客觀條件，設(shè)計一種符合UEFI固件需求的檢測方法。
　　2）基于固件技術(shù)，設(shè)計提取固件文件惡意代碼特征和啟動項(xiàng)信息特征的方法；提出啟動項(xiàng)向量的概念，并制定啟動項(xiàng)安全判別規(guī)則，作為啟動項(xiàng)安全檢測的依據(jù)。
　　3）分析在UEFI固件中實(shí)現(xiàn)模式匹配算法存在的問題，對其做出改進(jìn)：將有限狀態(tài)