针对插入攻击型Bootkit的分析及检测

通过分析Bootkit采用的关键技术,研究目前已有Bootkit样本的工作原理,给出插入攻击型Bootkit形式化描述,建立一个通用的插入攻击型Bootkit模型.针对该模型建立了Bootkit检测模型,并在检测模型基础上提出新的检测算法.新算法不仅能检测目前已有的样本,而且适用于所有符合插入攻击型Bootkit模型的未知Bootkit.最后对该检测算法进行了测试,实验结果表明,提出的算法可对Windows平台上的多款基于NT内核的Bootkit实现有效检测,同时能够确定Bootkit的类型.     

基于JTAG仿真的ARM Linux设备Bootkit检测技术研究*

ARM Linux嵌入式设备正遭受着日益严重的Bootkit威胁。针对传统检测技术对Bootkit检测的局限性,提出了一种基于JTAG的固件底层检测方法。该方法以基本块级跟踪和循环识别构成的系统跟踪优化算法为基础,利用跟踪系统的启动过程中记录到的信息,对Bootloader引导阶段和内核启动阶段进行监控,从而实现对ARM Linux嵌入式设备Bootkit的分阶段检测。实验结果表明,以跟踪优化算法为基础的Bootkit分段检测技术不仅极大提高了跟踪效率,亦有效检测出了Bootkit的存在,达到了预期效果。     

基于UEFI固件的恶意代码防范技术研究

统一可扩展固件接口(UEFI)缺乏相应的安全保障机制,易受恶意代码的攻击,而传统的计算机安全系统无法为固件启动过程和操作系统引导过程提供安全保护。针对上述问题,设计基于UEFI的恶意代码防范系统。该系统利用多模式匹配算法实现特征码检测引擎,用于在计算机启动过程中检测与清除恶意代码,并提供恶意启动项处理及系统内核文件备份等功能。实验结果证明,该系统能为固件及上层操作系统提供完善的安全保护,且代码尺寸小、检测速度快,恶意代码识别率高。     

Windows Bootkit实现及其检测系统设计

作为新型的劫持系统内核技术,Windows Bootkit具有较强的隐蔽性和免杀能力,引发了严峻的计算机安全问题。通过分析研究Windows Bootkit的实现方式,并结合可信计算检测原理,设计了一种基于可信计算技术的Windows Bootkit检测系统,应用结果表明,该系统能检测出各种形式的Windows Bootkit,可有效增强Windows操作系统下计算机的安全性。     

基于PBD技术的Anti-Bootkit优先启动

Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展形式,对系统启动和内核准入安全提出了最新挑战。在Bootkit入侵和Anti-Bootkit的检测的攻防对抗中,能做到优先启动往往是制胜的关键;而目前主流的Anti-Bootkit/Rootkit软件由于固守传统的启动方式,很容易被Bootkit利用固有优势绕过、劫控、篡改、移除而形同虚设。通过反汇编并跟踪调试Windows引导执行流程,反利用Bootkit入侵思想,提出了新的利用PBD(pre-bootable d     

一种基于网络行为分析的反弹式木马检测方法

该文首先对反弹式木马的通信过程进行了分析,建立了反弹式木马的网络行为模型,提出了数据包簇的概念,并给出了形式化描述接着从网络行为分析的角度,提出了通过3个网络行为特征去检测木马心跳行为,通过6个网络行为特征去检测反弹式木马的交互性操控行为,并给出了实现算法实验结果表明,该算法对反弹式木马具有较好的检测效果．     

基于磁盘隐藏PE文件搜索的Bootkit检测方法

Bootkit通过将加载时间点提前到引导阶段,能够对其操作系统下的恶意行为进行隐藏以绕过多数安全软件。为此,对Bootkit的动态行为隐藏机制进行形式化建模,扩展协同隐藏机制以揭示Bootkit高隐蔽性,并且利用大部分Bootkit在磁盘上隐藏恶意PE文件的特点,设计并实现一种PE文件匹配算法。实验结果表明,该算法在磁盘隐蔽扇区中匹配特定的模式串以寻找潜在的恶意PE文件,在针对Bootkit样本的检测中取得了较好效果。     

启动型恶意代码分析与检测综述

内核态恶意代码作为破坏操作系统内核,隐藏其他恶意代码的一种恶意程序,已经成为了操作系统安全的重要威胁。近年来出现的一种新的伴随操作系统启动加载的恶意程序通过对计算机启动过程进行劫持,在操作系统启动完成之前实现自身的加载和运行。其结合了普通内核级恶意代码特点和优先于操作系统启动并根植于系统硬件等优势,比普通内核级恶意代码具有更强的隐蔽性和破坏性。分析这种新型恶意代码。首先对其技术发展进行梳理,然后重点针对Windows下典型的启动型恶意代码,分析其在操作系统启动过程的不同阶段中环环相扣的实现技术原理。最后分析了目前检测技术现状,指出现有的检测方法过于依赖在线检测和完整性检测,从两方面提出了改进建议。     

Windows内核级防护系统

Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷。大多数杀毒软件主要依赖特征码识别技术、校验和技术、软件模拟技术检测病毒。本系统从手动杀毒角度出发,变被动防御为主动查杀,特别是Rootkit保护的内核级木马,通过检测相应的被挂钩函数,内核中被修改的地址,找到相应的进程,从而实现了木马进程的强杀、相应内核内容的恢复等功能,更有效的保护计算机操作系统的安全。     

UEFI驱动程序的研究与开发

UEFI是Intel推出的新一代BIOS技术。在分析UEFI基本结构和驱动程序模型的基础上,详细论述了基于USB协议栈的CC2531 ZigBee模块的设备驱动程序设计与开发过程,实现了在操作系统启动之前主机与USB设备间的信息交互,扩展了UEFI的功能。     

Android系统隐藏技术及检测方法

Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。     

统一可扩展固件接口攻击方法研究

通过分析统一可扩展固件接口(UEFI)的体系架构和执行流程,发现由于未对加载的可扩展固件接口(EFI)驱动和应用程序进行校验,导致其存在安全隐患,并相应提出3种UEFI的攻击方法,即感染OS Loader、篡改NVRAM变量和插入EFI runtime driver。分析结果表明,这3种方法都能实现操作系统内核劫持。     

自主式学习的木马检测预防系统的设计与实现

随着黑客攻击技术的不断进步,网络安全面临越来越严重的威胁。由于不能确保系统不被黑客攻击,也无法确定用户操作的文件或程序是否含有恶意的代码,因而,及时发现系统中存在的木马程序或者含有恶意代码的文件,是确保系统信息安全的重要途径。目前的许多木马检测软件仅能对已知的木马进行检测,对未知木马却无可奈何。文章在分析和综合当前木马检测技术的基础上,设计并实现了一个在Windows系统中行之有效的木马检测系统,不仅能有效检测已知的木马,还能对未知的木马进行有效的预防,通过对未知木马的特征进行自主式学习,并应用于检测,从而提高木马检测的功能。     

Windows系统Rootkit隐藏技术研究与实践

Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害性最大.深入研究Rootkit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义.通过研究Windows环境中Rootkit的隐藏技术,结合协同隐藏思想,提出了Rootkit的形式化模型,并在此基础上开发了一个Windows系统下的Rootkit原型.实验结果表明,该原型达到了较好的隐藏效果,可以避开目前大多数检测工具的检测.     

人工免疫在未知木马检测中的应用研究*

针对传统木马检测技术比较被动这一缺陷,提出一种基于人工免疫原理的木马检测方法。利用人工免疫具有自适应以及免疫学习能力的特点,将人工免疫原理应用到木马检测中。分析了数据来源特征,给出了计算抗体与抗原或抗体与抗体之间相似度以及抗体的适应度公式,建立了一个木马检测系统模型;实验测试了利用人工免疫的方式检测木马能有效提高木马检测的检测率,减少误报率。     

基于网络驱动技术的木马通信检测系统

为提高木马程序的网络通信检测率,在比较各种包截获技术优缺点的基础上,设计并实现一种基于NDIS Hook驱动的木马通信检测系统,给出主要模块和数据结构,提出基于网络通信行为分析技术的木马通信识别模型。测试结果表明,该模型能降低误报率和漏报率,可截获所有网络通信数据包,识别新的木马通信。     

基于系统调用挂钩的隐蔽木马程序检测方法

隐蔽木马程序的设计本质是劫持常规的执行路径流，当前大多数检测手段无法全面检测出隐蔽性日益增强的木马程序。该文结合操作系统程序执行流程的局部相关性与确定性，在分析用户进程空间与内核空间中系统函数调用标志信息的基础上，检测系统中是否存在木马程序设置的隐蔽性系统调用挂钩，设计并实现了相应的检测方法。与现有的检测方法相比，该方案弥补了检测未知木马的不足，检测结果更全面。