基于磁盘隐藏PE文件搜索的Bootkit检测方法被引量：1

Bootkit Detection Method Based on Disk Hidden PE File Searching

下载PDF

导出

摘要 Bootkit通过将加载时间点提前到引导阶段,能够对其操作系统下的恶意行为进行隐藏以绕过多数安全软件。为此,对Bootkit的动态行为隐藏机制进行形式化建模,扩展协同隐藏机制以揭示Bootkit高隐蔽性,并且利用大部分Bootkit在磁盘上隐藏恶意PE文件的特点,设计并实现一种PE文件匹配算法。实验结果表明,该算法在磁盘隐蔽扇区中匹配特定的模式串以寻找潜在的恶意PE文件,在针对Bootkit样本的检测中取得了较好效果。 Bootkit originates from Rootkit and can bypass most security software through loading the malicious code during windows booting period. This paper uses formal description to depict the procedure of malicious operation hiding and develops the cooperative concealment. Because most Bootkit hide malicious PE files in disks, a PE matching algorithm is designed and implemented. This algorithm will search some byte sequences with specific pattern to find potential hidden PE files and experiments show that this algorithm can gain a high detecting accuracy towards some Bootkit samples.

作者金戈薛质齐开悦

机构地区上海交通大学信息安全研究所

出处《计算机工程》 CAS CSCD 北大核心 2015年第6期116-120,共5页 Computer Engineering

基金国家自然科学基金资助项目"云计算环境下软件可靠性和安全性理论技术与实证研究"(61332010)

关键词恶意行为协同隐藏形式化描述 PE文件静态检测 malicious behavior cooperative concealment formal description PE file static detection

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献10

1Greg H,James B.Rootkits:Subverting the Windows Kernel[M].Upper Saddle River,USA:Addison-Wesley Professional,2006.
2Li X,Wen Y,Huang M H,et al.An Overview of Bootkit Attacking Approaches[C]//Proceedings of the7th International Conference on Mobile Ad-hoc and Sensor Networks.Washington D.C.,USA:IEEE Press,2011:428-431.
3张新宇,卿斯汉,马恒太,张楠,孙淑华,蒋建春.特洛伊木马隐藏技术研究[J].通信学报,2004,25(7):153-159. 被引量：43
4Lord I.BIOS Rootkit:Welcome Home,My Lord![EB/OL].(2007-05-11).http://www.xfocus.net/articles/200705/918.html.
5Matrovsov A,Rodionov E,Harlyey D,et al.Bootkit:Exploiting the VBR[EB/OL].(2011-08-23).http://blog.eset.com/2011/08/23/hasta-la-vista-bootkit-exploiting-the-vbr.
6Russinovich M E,Solomon D A,Ionescu A.Windows internals[M].[S.1.]:O'Reilly Media,Inc.,2012.
7Kumar N,Kumar V.VBoot Kit2.0-Attacking Windows7via Boot Sectors[C]//Proceedings of HITB’09.Dubai,The United Arab Emirates:[s.n.],2009:216-222.
8Matrosov A,Rodionov E.Defeating x64:Modern Trends of Kernel-Mode Rootkits[EB/OL].(2011-10-21).http://go.eset.com/us/resources/white-papers/Ekoparty2011_preso.pdf.
9Thimbleby H,Anderson S,Cairns P.A Framework for Modelling Trojans and Computer Virus Infection[J].The Computer Journal,1998,41(7):444-458.
10Stoned Bootkit[EB/OL].(2010-10-07).http://www.stoned-vienna.com/.

二级参考文献9

1ADLEMAN L M. An abstract theory of computer viruses[A]. 8th Annual International Cryptology Conference[C]. Santa Barbara, California, USA, 1988.
2COHEN F. Computer viruses: theory and experiments[J]. Computers and Security, 1987, 6(1): 22-35.
3COHEN F. On the implications of computer viruses and methods of defense[J]. Computers and Security, 1988, 7(2):167-184.
4COHEN F. A Cryptographic checksum for integrity protection[J]. Computers and Security, 1987, 6(6): 505-510.
5COHEN F. Models of practical defenses against computer viruses[J]. Computers and Security, 1989, 8(2): 149-160.
6THIMBLEBY H, ANDERSON S, CAIRNS P. A framework for modelling trojans and computer virus infection[J]. The Computer Journal, 1998, 41(7): 444-458.
7THOMPSON K. Reflections on trusting trust[J]. Communication of the ACM, 1984, 27(8): 761-763.
8EGGERS K W, MALLETT P W. Characterizing network covert storage channels[A]. Aerospace Computer Security Applications Conference[C]. Orlando, FL, USA, 1988.
9AHSAN K, KUNDUR D. Practical data hiding in TCP/IP[A]. Proc Workshop on Multimedia Security at ACM Multimedia[C]. French Riviera, 2002.

共引文献42

1彭迎春,谭汉松.基于DLL的特洛伊木马隐藏技术研究[J].信息技术,2005,29(12):41-43. 被引量：6
2康治平,向宏.特洛伊木马隐藏技术研究及实践[J].计算机工程与应用,2006,42(9):103-105. 被引量：27
3贺红艳,陶李.新型特洛伊木马技术的研究[J].网络安全技术与应用,2006(11):29-31. 被引量：1
4徐耀令,梁国,刘军,肖军模.自组合木马设计建模[J].计算机安全,2007(2):67-70. 被引量：1
5史伟奇,张波云,刘运.基于木马的计算机监控和取证系统研究[J].计算机工程与设计,2007,28(10):2300-2302. 被引量：1
6汤永新.嵌入式dll木马的发现、清除和防护[J].中小学电教（综合）,2007(6):77-79.
7陈峰,罗养霞,陈晓江,龚晓庆,房鼎益.网络攻击技术研究进展[J].西北大学学报（自然科学版）,2007,37(2):208-212. 被引量：15
8康治平,向宏,胡海波.Windows系统Rootkit隐藏技术研究与实践[J].计算机工程与设计,2007,28(14):3337-3340. 被引量：8
9林小进,钱江.特洛伊木马隐藏技术研究[J].微计算机信息,2007,23(33):59-60. 被引量：5
10汪敏,肖斌.基于FPGA的硬件蠕虫检测系统的设计与实现[J].电子科技,2008,21(2):7-9.

同被引文献6

1侯捷.深入浅出MFC[M].北京:华中理工大学出版社,1996.
2郭涛涛.另类的反调试[J].黑客防线,2011,2(3):3-5.
3Elias Bachaalany.Detect if your program is running inside a Virtual Machine [EB/OL].(2005-04)http://www.codeproject.com/.
4Eldad Eilam,Elliot Chikofsky.Reversing Secrets of Reverse Engineering [M].Electronic industry Press,2007.
5朱耀麟,张勇,孟超.爆炸环境激光通信信道研究[J].西安工程大学学报,2013,27(1):55-59. 被引量：2
6赵雨辰,万国宾.多针状氧化锌晶须的等效电磁建模及仿真[J].西安工业大学学报,2014,34(6):498-503. 被引量：2

引证文献1

1李龙,许梦磊,张可佳.软件安全Shell的实现[J].电子设计工程,2016,24(7):52-54.

1冷星峰.磁盘隐藏攻防战[J].电脑爱好者,2001(20):65-66.
2康治平,向宏,胡海波.Windows系统Rootkit隐藏技术研究与实践[J].计算机工程与设计,2007,28(14):3337-3340. 被引量：8
3胡和君,范明钰,王光卫.基于MBR的Windows bootkit隐藏技术[J].计算机应用,2009,29(B06):83-85. 被引量：4
4金戈,薛质,齐开悦.主引导记录型Rootkit建模及其静态检测方法[J].计算机工程,2015,41(7):184-189. 被引量：1
5张新宇,卿斯汉,马恒太,张楠,孙淑华,蒋建春.特洛伊木马隐藏技术研究[J].通信学报,2004,25(7):153-159. 被引量：43
6王涛.信息网络的安全机制[J].通信工程,2001(2):22-26.
7周保东.间谍软件的隐藏机制[J].中国高新技术企业,2007(11):91-91.
8杨永战,杨涵.磁盘隐藏技巧[J].电脑学习,2009(1):79-80. 被引量：1
9康治平,向宏.特洛伊木马隐藏技术研究及实践[J].计算机工程与应用,2006,42(9):103-105. 被引量：27
10邓立丰,王宏霞.基于协同特征的BIOS Rootkit检测技术[J].计算机工程,2010,36(15):134-136. 被引量：3

计算机工程

2015年第6期

浏览历史

内容加载中请稍等...

基于磁盘隐藏PE文件搜索的Bootkit检测方法被引量：1

参考文献10

二级参考文献9

共引文献42

同被引文献6

引证文献1

相关作者

相关机构

相关主题

浏览历史

基于磁盘隐藏PE文件搜索的Bootkit检测方法 被引量：1

参考文献10

二级参考文献9

共引文献42

同被引文献6

引证文献1

相关作者

相关机构

相关主题

浏览历史

基于磁盘隐藏PE文件搜索的Bootkit检测方法被引量：1