学位论文 > 优秀研究生学位论文题录展示
Bootkit技术分析及其防御方法的研究
作 者: 曲安东
导 师: 姚羽
学 校: 东北大学
专 业: 计算机技术
关键词: Bootkit Windows启动 Windows内核 拦截MBR写入 I/O端口
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 1次
引 用: 0次
阅 读: 论文下载
内容摘要
随着计算机和互联网的迅猛发展,计算机和互联网的安全问题日益凸显,各种攻击事件、木马、病毒层出不穷。时至今日,木马、病毒的作用不在是黑客对自我技术的炫耀,开始向窃取信息、诈骗等有计划、有组织的网络犯罪方向转变。相应的,一些更加具有隐蔽性和顽固性的木马、病毒开始大规模传播,造成了极大的危害。而基于Bootkit技术的木马、病毒由于其在Windows内核加载前就可以获得执行,能够先于各种安全防御机制运行,具有非常好的隐蔽性,并且很难彻底清除。目前,造成了较大危害的Bootkit病毒分别为在国内流行的鬼影系列,以及国外流行的TDSS系列,它们都是通过修改MBR (Master Boot Record,主引导记录)达到其先于Windows内核运行的目的。针对该种基于MBR的Bootkit的特点,最有效的防御手段就是在其修改MBR时将其拦截。本文首先介绍了Windows内核的相关知识以及详细的引导启动过程。之后,为了探究Bootkit技术,详细解读分析了Stoned Bootkit的感染及运行过程,为之后对Bootkit防御方法的研究打下了基础。针对目前流行的Bootkit病毒都选择感染MBR的特点,本文首先实现了SSDT (System Services Descriptor Table,系统服务描述表)Hook NtWriteFile函数过滤写入文件请求和Hook IRP (I/O request packets, I/O请求包)分发函数IoCallDriver过滤IRP两种防御方式,分别完成了在用户模式进入内核模式以及在内核驱动程序层对修改MBR的拦截。之后,本文分析了未来Bootkit的发展趋势,根据其使用底层I/O端口的特性,提出了一种拦截通过I/O端口读写硬盘的思想,并实现了对通过读写I/O端口修改MBR的拦截。最后,本文给出了相应的测试结果,证明了本文中的防御方法对Bootkit病毒是有效性。
|
全文目录
摘要 5-6 Abstract 6-10 第1章 绪论 10-14 1.1 研究背景及意义 10-11 1.2 国内外研究现状 11 1.3 本文的主要内容及章节安排 11-14 第2章 WINDOWS启动相关原理 14-24 2.1 WINDOWS内核基本原理 14-18 2.1.1 用户空间Ring3和内核空间Ring0 14-15 2.1.2 Windows内核基本体系结构 15-17 2.1.3 驱动程序加载 17-18 2.2 WINDOWS系统的引导与启动过程 18-23 2.2.1 BIOS 19 2.2.2 MBR及DBR 19-21 2.2.3 NTLDR 21-22 2.2.4 Windows内核 22-23 2.3 本章小结 23-24 第3章 BOOTKIT技术分析 24-40 3.1 基于BIOS的BOOTKIT 24-26 3.2 STONED BOOTKIT 26-38 3.2.1 Ring3下感染MBR 27-30 3.2.2 启动过程分析 30-32 3.2.3 Bootkit嵌入内核过程分析 32-37 3.2.4 加载驱动程序和用户空间代码 37-38 3.3 本章小结 38-40 第4章 当前BOOTKIT攻防策略的研究 40-52 4.1 SSDT HOOk NTWRITEFILE 40-43 4.1.1 分析NtWriteFile调用流程 40-42 4.1.2 SSDT Hook实现 42-43 4.2 SCSI PASS THROUGH DIRECT绕过SSDT HOOK 43-45 4.3 HOOK IOCALLDRIVER过滤IRP 45-50 4.3.1 分析IRP处理流程 45-47 4.3.2 Hook IoCallDriver 47-50 4.4 本章小结 50-52 第5章 未来BOOTKIT攻防策略的研究 52-64 5.1 未来BOOTKIT病毒技术特点分析 52-56 5.1.1 直接端口I/O读写硬盘 52-53 5.1.2 绕过操作系统和安全软件限制讨论 53-55 5.1.3 Bootkit病毒发展总结 55-56 5.2 拦截通过I/O端口修改MBR 56-61 5.2.1 Intel调试寄存器 56-58 5.2.2 拦截读写I/O端口请求 58-61 5.3 本章小结 61-64 第6章 测试 64-68 6.1 测试及开发平台 64 6.2 测试STONED BOOTKIT运行 64-65 6.3 测试基于BOOTKIT病毒的防御方法 65-68 第7章 结论和展望 68-70 7.1 本文工作总结 68 7.2 进一步工作展望 68-70 参考文献 70-74 致谢 74-76 攻读硕士期间发表的论文及参加的项目 76
|
相似论文
- Windows内核态密码服务接口设计与实现,TP309.7
- 因特网IP级拓扑测量空间研究,TP393.08
- 基于P2P技术的网络虚拟地理环境原型系统设计与实现,TP393.09
- 三相异步发电机不对称运行的研究,TM343
- 文件网络存储系统的设计与实现,TP333
- NAT网关port triggering功能设计与实现,TP393.08
- 移动网络综合告警管理系统的设计与实现,TN929.5
- 基于部分元等效电路的电磁建模方法研究,TN402
- 基于磁阻式四端口机电能量变换器控制系统的研究,TM352
- 双机械端口永磁电机的设计与分析,TM351
- 双机械端口电机控制系统的设计与研究,TM301.2
- 基于二端口网络的输电杆塔雷击瞬态特性建模研究,TM862
- 电力调度系统录音服务器的设计与实现,TM734
- 终端控制保护技术研究与系统设计,TP393.08
- 基于多下一跳路由的交换结构研究,TN915.02
- 10kV变压器二端口宽频导纳参数的数值计算,TM744
- 陡波前过电压替代波形的研究,TM864
- 感应式四端口机电能量变换器控制系统的研究,TM46
- 基于受控哈密顿系统的永磁同步电机无源控制,TM341
- 开关磁阻四端口机电换能器及在风力发电中的应用研究,TM352
- USB电池充电规范之测试方法的研究,TM910.6
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|