【毕业学位论文】（Word原稿）BIOS Rootkit 及其检测技术的研究-软件工程

重庆大学硕士学 位论文 其检测技术的研究 彭 毅 重庆大学硕士学位论文 目 录 录 目 录 . 绪论 . 5 题背景及问题陈述 . 5 内外研究现状 . 5 文研究工作简介 . 5 文组 织结构 . 5 2 恶意软件及 . 6 . 6 意软件及其分类 . 6 恶意软件概述 . 6 恶意软件分类 . 6 . 9 . 9 . 10 . 10 . 11 . 12 . 12 . 13 . 13 . 14 . 15 . 15 . 16 结 . 17 3 . 18 . 18 . 18 . 18 . 25 地址模式下的中断向量表（ . 27 实地址模式、保护模式简介 . 27 实模式下的 . 28 . 29 . 29 . 30 . 45 重庆大学硕士学位论文 目 录 接调用中断向量躲避 . 46 题提出 . 46 序实现 . 46 他 . 56 置硬件断点 . 56 . 67 . 67 块修改工具介绍 . 67 新工具介绍 . 70 反汇编器 . 71 编译 器 . 72 虚拟机 . 75 16进制磁盘编辑器 . 75 结 . 76 4 检测技术研究 . 77 言 . 77 测 . 77 详细分析 . 78 实现 . 79 测 . 87 从 . 87 从 . 89 分析几种方式获得的 . 90 审计 . 92 测 . 93 提取 息 . 93 操作系统中读取系统 . 94 进行 . 95 计 . 96 获取原始 . 96 对 . 97 止 . 97 硬件跳线防止刷新 . 97 阻止 . 97 行 . 98 结 . 98 5 实验结果及其结果分析 . 99 言 . 99 真环境 . 99 . 100 验结果综合分析 . 102 重庆大学硕士学位论文 目 录 结 . 102 6 结语 . 103 文工作总结 . 103 来研究展望 . 103 参考文献 . 104 重庆大学硕士学位论文 5 1 绪论 题背景及问题陈述 随着全球信息化普及程度的提高，计算机安全问题也日趋严重。恶意软件成为威胁计算机安全的一大分支。 为恶意软件的一个特定类型， 是近年来国内外计算机安全领域热门的研究课题，特 别是新兴的 支 调把传统的 术和 片相结合， 其较强隐蔽性和较大破坏力，几乎可以躲过现有的任何计算机安全检测软件的检测，这使得计算机安全检测领域面临巨大挑战 。 因此，对 检测研究工作 已 成为 必要而 紧迫的 事情 。 对 测的研究可以采用目前成熟的检测思路和方法，考虑 在于 片的特殊性来进行。因此是比较可行的。 对 以发现 类破坏力极大的 政府、企业及个人的信息安全保驾护航。 内外研究现状 由于 写难度大，较大依赖硬件特性，致使其实现技术一直鲜有公布。 国内外 对 于 检测 研究目前尚 处于起步阶段。 检测 研究之所以进度缓慢，这主要是因为 诸多特点所致，比如： 够第一时间获取系统主动权 ；能 不在硬盘上留下痕迹 ； 能够重复感染已有操作系统或新装系统 ； 能够对抗几乎所有现有的 毒、审计等安全软件 ； 于检测 而且 难于清除 。 因此对于 测的研究工作基本上属于探索性的尝试研究。 文研究工作简介 本文主要进行了 实现技术剖析和 检测工作。在研发过程中，本文提出了通过检测 方法来检测 编写了程序加以验证。实验证明，该方法能够顺利检测出采用 术的 文组织结构 本文主要研究 其相关检测技术，因此 本文主要分为四大部分来重庆大学硕士学位论文 6 进行。 第二章主要就 相关概念进行阐述。 一个特定类型，而 是一种恶意软件类型。因此，这一章首先阐明什么是恶意软件，然后逐次讨论 其的相关关系。 第三章和第四章是本文的重点章节。 第三章从静态和动态两个方面来剖析分析相关技术实现。静态分析即对 件结构进行分析，动态分析则对 行流程进行阐述。本章还对 例 行分析，以深入研究 典型实现技术和方法。 第四章基于第三章研究的基础上，也从静态和动态两大方面讨论 中检测 动态检测，审计 件、审计 备信息和审计 静态检测。 第五章就第三章的 测技术，进行详细的验证实验。 2 恶意软件及 于 一个特定分支，而 恶意软件的一种。因此对恶意软件进行分析总结，有利于认识 究的本质。 意软件及其分类 恶意软件 概述 恶意软件是非用户期望运行的、怀有恶意目的或完成恶意功能的软件的统称。恶意代码 (义与恶意软件相近 ， 区别在于所描述的粒度不同。恶意代码用于描述完成特定恶意功能的代码片段 ， 而恶意软件则指完成恶意功能的完整的程序集合 52 53 54。 恶意软件分类 恶意软件的种类较多 ， 如 病毒 )， 蠕虫 )， 特洛伊木马 )， 漏洞利用程序 ) ， 后门 ) , 间谍软件 )， 垃圾信息发送软件 )， 垃圾广告软件 )等 。 在对恶意软件的名称引用上存在一些混用 、 指代不明的情况 ， 如将所有导致计算机工作不正常的恶意软件都称为病毒 ,将未授权隐藏在计算机内运行的恶意软件都称为 (特洛 伊 )木马等。本文对恶意软件进行系统的分类 ， 以明确 、 规范各类恶意软件的概念 ，区分其间的差异 52 53 54。 重庆大学硕士学位论文 7 根据不同恶意软件所完成的功能在完整的入侵过程中所处阶段的不同 ,我们将恶意软件分为三种类型。 1. 获取目标系统远程控制权类 漏洞利用程序 )。它是第一类恶意软件的基本形式。 用操作系统或应用程序 中存在的缺陷 (,可达到以非授权的方式远程控制目标系统或提升本地用户权限的目的。具体过程为 :构造特定的输入数据并提交给存在缺陷的操作系统程序或应用程序 ,使这些有缺陷的程序在所构造的输入数据下 ,正常的程序流程发生改变 ,从而导致未授权用户可以远程控制目标系统 ,或使本地用户获得更高的权限。 特洛伊木马 ) ,简称为 木马 )。它是伪装成合法程序以欺骗用户执行的一类恶意软件。使用 侵目标系统的具体过程为 : 先通过网络或各种存储介质传 播到用户处 ,因其具有伪装、欺骗性 ,常被经验不足或防范意识较差的用户执行后 ,释放出其携带的 门 )以实现对目标主机的远程控制 ,在必要时还可释放出其携带的 提升用户权限。 蠕虫 )。它具有自我繁殖能力 ,无需用户干预便可自动在网络环境中传播的一类恶意软件。 用目标系统的 弱口令 )或目标系统中存在的缺陷获得对目标系统的远程控制权 ,并搜集目标系统内的相关信息从而将 m 自身传染至与目标系统有网络联系的其他系统。 身的 存在有两种形式 ,即可执行文件的形式和内存中进程 /线程的形式。当以进程 /线程的形式存在时 ,传播过程中 目标系统内不涉及文件操作 ,具有更强的隐蔽性。与 似 ,包含 以便在成功入侵目标系统后完成特定的业务逻辑 ,如 分的功能是对白宫 务器进行 绝服务 )攻击。 概念与 近。若某 分包含一个 称该 者说可远程控制的 为 进一步 ,然具有自主繁殖、传播的能力 ,但其传播出去之后就不再受控 ,不能根据 ;而 此可见 ,危害性比大 ,制作精巧的 至可以根据发布者的意图对其 分进行升级以适应新的环境或完成新的功能。被 功入侵后的受控主机即为 儡主机 ),一组 称为 当前 的 主要安全威胁之一的 布式拒绝服重庆大学硕士学位论文 8 务 )攻击就是通过向 出针对特定目标的 击命令来完成的。 毒 )。它是依附于宿主文件 ,在宿主文件被执行的条件下跟随宿主文件四处传播并完成特定业务功能的一类恶意软件 。 结构与 ,除包含用于传播自身的 病毒头部 )外 ,还包含用于完成特定业务逻辑的 分。 容易混淆的两个概念。两者主要区别在于 : 传播无需宿主文件 ,可通过网络直接将 身传播到目标系统 ;而病毒传播需要宿主文件 ,病毒只能寄生在宿主文件中。 繁殖、传播无需人工干预 ,由 主、自动完成 ;病毒的传播需要人工干预。首先 ,病毒的传播依赖于宿主文件的位置改变 ,宿主文件到哪里 ,病毒才可能传播到哪里。其次 ,若宿主文件未被执行 ,则寄生其中的病毒便不会感染目标系统。 2. 维持远程控制权类 门 )。它是一类运行在目标系统中 ,用以提供对目标系统未经授权的远程控制服务的恶意软件。需要注意的 是 , 第一类恶意软件不同 , 作用是通过其运行以提供对目标系统未经授权的远程控制的服务 ;而第一类恶意软件需要利用各种手段来达到此目的 ,即须在目标系统上运行才能提供相应的服务 ,因此必须先使用第一类恶意软件以获得在目标系统上执行程序的权限。第一类恶意软件是挥作用的前提和基础 ,行后 ,后续对目标系统的远程控制均通过 供的服务来完成。 概念起源于 作系统 ,最初是指 统中一组用于获取并维持 限的工具集。发展至今日 ,被广为接受的 念是指用于帮助入侵者在获取目标主机管理员权限后 ,尽可能长久地维持这种管理员权限的工具 。在当前的 念中 ,获取管理员权限的过程不由 完成 ,即 使用基于已经获得了管理员权限的假设。由 概念可知 ,提供了一条非授权访问、控制目标系统的“通道” ,但并不涉及对这条通道的保护 ,因此这条通道很容易被目标系统上的管理员或网络安全设备察觉或检 测到。作用是要尽可能长久地维持对目标系统的远程控制，故其基本任务就是要隐藏所提供的通道 ,尽可能使得目标系统上的管理员或安全设备不能察觉、检测到该通道的存在。当前主流操作系统平台下的 内核级的 做到对操作系统中的进程、线程、网络连接、网络数据、 网络通信目的地的深度隐藏 ,以保护目标系统中运行重庆大学硕士学位论文 9 的恶意软件不被检测到。在实际应用中通常直接包含了 功能。因此 ,可将 解为带隐藏功能的 3. 完成特定业务逻辑类 间谍软件 ) 。它是典型的第三类恶意软件 ,用于从目标系统中收集各种情报、信息 ,如商业、军事情报，用户信用卡号、 个人隐私信息 /文档 ,各种网站 /邮箱用户名、 口令等信息。收集到这些信息后 , 保护下 , 身以及 产生的网络通信都被隐藏 ,使得 在目标系统中安全地存活下来。 圾信息发送软件 )。为了避免被追查 ,非期望的垃圾信息 ,如垃圾邮件 )的发 送者通常不会直接使用自己的主机发送垃圾信息。为了加大垃圾信息的发送范围 ,仅仅用一台主机发送垃圾信息是不够的。垃圾信息发送软件 ) 就是运行在大量被入侵主机中用于发送垃圾信息的恶意软件 , 目标系统中的运行途径与 似。 垃圾广告软件 ) 。它运行在被入侵主机中 ,用于以各种方式显示垃圾广告的恶意软件。 目标系统中的运行途径与 似。 他第三类恶意软件。其种类很多 ,根据具体应用需求不同而不同 ,如对目标系统进行攻击 /破 坏的恶意软件有多种不同的类型 ,但目前尚无统一规范的命名。 计算机安全领域的一个术语，来自 个单词的组合，其中 统中超级用户的名称，拥有系统的最高权限； 是工具套件的意思 57。目前 没有权威的中文翻译，因此在本论文中，为了信息的准确性，使用英文 基百科 (关于 定义如下 56：“ 攻击者在入侵系统后用来保持对系统的超级用户访问权限，创建后门和隐藏攻击痕迹等常采用的一种技术。 在于 各种操作系统上。” 重庆大学硕士学位论文 10 早 出现在 1994 年， 其 主要攻击 作系统，特别是 8。在 1994 年 2 月的一篇安全咨询报告中首先使用了 个名词。这篇安全咨询就是 目是 5。 那时的 要替换 系统工具，方便用户再次登陆系统。记录最早的 现在 1994 年 10 月 58。它主要替换 系统工具，可以隐藏网络连接和进程 57。 的内核级 早出现在 1997 年 59，从那以后，内核级 2002 年 1 月，安大略大学的巴朗莫坦发现了一个奇怪的现象，一个 驱动引起了系统崩溃（ 最后经过专家们的鉴定，称之为这是一种很罕见的 从此 始在 统 流行 61。 一个 已知的 台上的 站的创始人 1999 年发布的0，它可以隐藏注册表项和重定向可执行程序。 现在，几乎所有的操作系统（包括 ）都受到 攻击。 攻击方法也越来越高明，从刚开始的替换系统库和系统工具文 件，深入到攻击操作系统内核 57。本文的研究主要针对 统，但是很多成果也可以应用到其它的系统上。 一种特殊类型的 意软件）。 所以特殊是因为您不知道它们在做什么事情。 本上是无法检测到的，而且几乎不可能删除它们。虽然检测工具在不断增多，但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。 目的在于隐藏自己以 及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。 乎可以隐藏任何软件，包括文件服务器、键盘记录器、 多 至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件，而您无法看到这些文件。 身不会像病毒或蠕虫那样影响计算机的运行。攻击者可以找出目标系统上的现有漏洞。漏洞可能包括：开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。在获得存在漏洞的系统的访问权限之后，攻击者便可手动安装一个 种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能，例如入侵检测系统。 重庆大学硕士学位论文 11 从 装类型来分， 文献 62把 为 4 种类型： 简单伪装、直接伪装、相似伪装和环境伪装。 从 操作 系统结合程度来分，又可分为应用程序级 系统工具级 内核级 个 类型 57。 简单伪 装类不伪装为现有程序，而是伪装为系统中可能存在的程序，它不更改系统中任何文件，应用程序级 于这一类 ； 直接伪装类直接将自身伪装成正常程序，系统工具级 于这一类 ； 相似伪装类具有与已存在程序相似的名称，它是另一类应用程序级 环境伪装类不易被用户所察觉，内核级于这一类 57。 系统工具级 内核级 当前计算机网络中最主要的威胁。系统工具级 过修改或替换系统现有的 二进制程序和系统工具，不但能够使系统存在后门连接并且隐藏攻击者在系统中的存在 63，内核级 改系统底层核心来隐藏与 关的文件、进程等信息 57。 各类 念及 特点分别如下 57： 1. 应用程序级 指入侵到操作系统应用程序层的 常是指攻击者安装于目标系统的额外恶意程序， 提供黑客再次以超级用户权限访问系统的功能。应用程序级 通过多种途径安装于目标系统，攻击者可试图欺骗用户安装应用程序级 它不能提供给攻击者系统管理员权限，它只能使攻击者获得安装该应用程序级 用户权限，而不一定是超级用户权限。攻击者可先通过安装具有超级用户权限的后门程序，之后再安装一个应用程序级个后门程序通常在系统后台以超级用户的权限或系统权限运行 63 64，它不替换目标机器上现有的任何程序，而只是额外安装在目标机器上的程序。 2. 系统工具级 公认的传统 指入侵到操作系统工具层的通常替换或修改一些系统工具，比如 / 。这类 作系统中，如 它们通常用来从系统中提取信息，比如运行的进程，文件系统的内容，网络连接状态等。 换这些系统工具主要有两个目的：重新获得超级用户访问权限和隐藏攻击痕迹。 3. 内核级 计算机系统安全领域 近几年 出现的一种攻击方法。操作系统内核处在整个操作系统的最底层，被认为是目前多数操作系统中最基本的部分65，文件系统、进程调度、存储管理和系统调用等都是在操作系统内核中实现。内核级 指入侵到操作系统内核层的 传统的修改关键系统工具的 同的是，内核级 常会修改最底层的操作系统内核，比如中断处理函数，系统调用，文件系统等。由于操作系统内核在操作系统 的最底层，如果内核受到 击，应用层的程序从内核获得的信息将不可信。虽然内核重庆大学硕士学位论文 12 级 以不修改系统工具，但是系统工具都需要通过系统调用从内核获取信息，而内核提供的信息不可靠，因此系统工具 (比如 ls,ps, )的输出信息也变得不可靠，我们不能用系统工具来检测内核级 外，内核级 可能在内核中隐藏自己的文件和目录信息，使得文件完整性检测工具检测不到新增的文件。与其他类型 比，内核级 破