欢迎来到天天文库
浏览记录
ID:11867161
大小:2.48 MB
页数:106页
时间:2018-07-14
《主板bios rootkit实现与检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、重庆大学硕士学位论文BIOSRootkit及其检测技术的研究彭毅重庆大学硕士学位论文目录106重庆大学硕士学位论文目录目录目录I1绪论41.1课题背景及问题陈述41.2国内外研究现状41.3本文研究工作简介41.4本文组织结构42恶意软件及Rootkit概要52.1引言52.2恶意软件及其分类52.2.1恶意软件概述52.2.1恶意软件分类52.3Rootkit及其分类82.3.1Rootkit概念82.3.2Rootkit简史92.3.3Rootkit与其他恶意软件的差别92.3.2Rootkit分类及各类特点简介102.4BIOSRootk
2、it112.4.1BIOS概述112.4.2BIOSRootkit概念122.4.3BIOSRootkit简史122.4.4BIOSRootkit特点及检测难点132.5BIOS相关硬件简述142.5.1BIOS芯片类型介绍142.5.2ISA/PCI总线介绍152.6小结163BIOSRootkit的原理及方法分析173.1引言173.2BIOS的静态及动态分析173.2.1BIOS的静态分析173.2.1BIOS的动态态分析243.3实地址模式下的中断向量表(IVT)263.3.1实地址模式、保护模式简介263.2.2实模式下的IVT(In
3、terruptVectorTable)273.4BIOSRootkit实例分析283.4.1IceLord概述283.4.2IceLord核心技术分析和验证293.4.3HackMBR44106重庆大学硕士学位论文目录3.5直接调用中断向量躲避IVTHook检测程序453.5.1问题提出453.5.2程序实现453.6其他BIOSRootkit实现思路553.6.1设置硬件断点553.6.2HackBOOTBLOCK663.7BIOSRootkit研究相关工具663.7.1AwardBIOS模块修改工具介绍663.7.2AwardBIOS刷新工
4、具介绍693.7.3反汇编器IDAPro703.7.4编译器NASM713.7.5虚拟机Bochs743.7.616进制磁盘编辑器WinHex743.8小结754BIOSRootkit的检测技术研究764.1引言764.2检测IVTHook764.2.1详细分析IVT774.2.2实现IVTHook检测784.3检测BIOS文件864.3.1从ShadowRAM中获取BIOSROM864.3.2从BIOS芯片中获取BIOSROM884.3.3分析几种方式获得的ROM数据894.3.4审计ROM数据914.4检测PCI设备924.4.1提取BIO
5、S文件中的PCI设备信息924.4.2操作系统中读取系统PCI设备信息934.4.3进行PCI信息识别944.5审计MBR954.5.1获取原始MBR954.5.2对MBR进行审计964.6防止BIOSRootkit加载的方法初探964.6.1硬件跳线防止刷新BIOS964.6.2阻止BIOS刷新964.6.3TPM(TrustedPlatformModule)进行BIOS验证974.7小结975实验结果及其结果分析985.1引言985.2仿真环境985.3IVTHook检测实验995.4实验结果综合分析1015.5小结101106重庆大学硕士
6、学位论文目录6结语1026.1本文工作总结1026.2未来研究展望102参考文献103106重庆大学硕士学位论文1绪论1.1课题背景及问题陈述随着全球信息化普及程度的提高,计算机安全问题也日趋严重。恶意软件成为威胁计算机安全的一大分支。Rootkit作为恶意软件的一个特定类型,是近年来国内外计算机安全领域热门的研究课题,特别是新兴的Rootkit分支BIOSRootkit,强调把传统的Rootkit技术和BIOS芯片相结合,其较强隐蔽性和较大破坏力,几乎可以躲过现有的任何计算机安全检测软件的检测,这使得计算机安全检测领域面临巨大挑战。因此,对B
7、IOSRootkit的检测研究工作已成为必要而紧迫的事情。对BIOSRootkit检测的研究可以采用目前成熟的检测思路和方法,考虑BIOSRootkit存在于BIOS芯片的特殊性来进行。因此是比较可行的。对BIOSRootkit进行检测,可以发现BIOSRootkit这一类破坏力极大的Rootkit类型恶意软件,为政府、企业及个人的信息安全保驾护航。1.2国内外研究现状由于BIOSRootkit编写难度大,较大依赖硬件特性,致使其实现技术一直鲜有公布。国内外对于BIOSRootkit的检测研究目前尚处于起步阶段。检测研究之所以进度缓慢,这主要是
8、因为BIOSRootkit的诸多特点所致,比如:BIOSRootkit能够第一时间获取系统主动权;能不在硬盘上留下痕迹;能够重复感染已有操作系统或新装
此文档下载收益归作者所有