Windows下Bootkit檢測及防御技術研究.pdf

1、Bootkit可以說是現(xiàn)階段最頑固的惡意代碼,它是Rootkit技術的一種,雖然功能上并不異于Rootkit,但是Bootkit把自身的棲息地由傳統(tǒng)的操作系統(tǒng)文件擴展到了硬件BIOS、MBR等位置,同時將自身的啟動提前到了與Windows系統(tǒng)內(nèi)核啟動相同的級別,甚至還要更早的階段,這樣Bootkit就能較早的取得對計算機的控制權,從而實現(xiàn)更強的隱藏和控制功能,可以說Bootkit是高級的Rootkit。
　　 現(xiàn)階段Bootki

2、t技術還不是很成熟,正處于研發(fā)階段,尚未造成嚴重的危害,但是現(xiàn)有的Bootkit樣本已經(jīng)展現(xiàn)出其強大的危害性。Windows操作系統(tǒng)廣泛應用于我們的生活中,其未開源的特性,導致用戶無法重新編譯系統(tǒng)文件以增強安全性,加之系統(tǒng)漏洞百出,這勢必使得其變成了Bootkit攻擊的重要目標。因此研究Windows Bootkit檢測及防御技術具有重大意義。
　　 本文以現(xiàn)有Windows Bootkit樣本作為切入點,分析了其實現(xiàn)技術和原理

3、,結(jié)合傳統(tǒng)Windows Rootkit檢測技術,本文從實時監(jiān)控、多樣性檢測和自身保護三方面考慮設計并實現(xiàn)了一種檢測防御Windows Bootkit的方法。該方法通過分析虛擬機內(nèi)存捕捉當前線程,從而能夠快速的監(jiān)視虛擬機內(nèi)程序運行,并利用改進的最近鄰聚類算法檢測內(nèi)存是否存在Bootkit。若存在,對內(nèi)存填充零以清除Bootkit。并且通過實驗驗證了本文中方法的高效性和可靠性。
　　 本文中檢測方法采用聚類分析法解決了普通檢測技術

4、單一性的問題,能適應Windows Bootkit的多變復雜性,能比較全面的檢測出各種現(xiàn)有的Windows Bootkit,具有通用性的一面;檢測程序運行于宿主機對虛擬機內(nèi)存進行分析,捕捉當前線程進而獲得虛擬機內(nèi)部程序運行的所有情況,達到實時監(jiān)控的目的;因為檢測程序和Bootkit運行在不同系統(tǒng)中,這樣使得Bootkit無法對檢測程序進行破壞攻擊,并且避免了檢測程序調(diào)用被Bootkit修改的系統(tǒng)函數(shù)造成檢測結(jié)果錯誤的情況,很好的實現(xiàn)了自