学位论文 > 优秀研究生学位论文题录展示

Bootkit技术分析及其防御方法的研究

作 者: 曲安东
导 师: 姚羽
学 校: 东北大学
专 业: 计算机技术
关键词: Bootkit Windows启动 Windows内核 拦截MBR写入 I/O端口
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 1次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着计算机和互联网的迅猛发展,计算机和互联网的安全问题日益凸显,各种攻击事件、木马、病毒层出不穷。时至今日,木马、病毒的作用不在是黑客对自我技术的炫耀,开始向窃取信息、诈骗等有计划、有组织的网络犯罪方向转变。相应的,一些更加具有隐蔽性和顽固性的木马、病毒开始大规模传播,造成了极大的危害。而基于Bootkit技术的木马、病毒由于其在Windows内核加载前就可以获得执行,能够先于各种安全防御机制运行,具有非常好的隐蔽性,并且很难彻底清除。目前,造成了较大危害的Bootkit病毒分别为在国内流行的鬼影系列,以及国外流行的TDSS系列,它们都是通过修改MBR (Master Boot Record,主引导记录)达到其先于Windows内核运行的目的。针对该种基于MBR的Bootkit的特点,最有效的防御手段就是在其修改MBR时将其拦截。本文首先介绍了Windows内核的相关知识以及详细的引导启动过程。之后,为了探究Bootkit技术,详细解读分析了Stoned Bootkit的感染及运行过程,为之后对Bootkit防御方法的研究打下了基础。针对目前流行的Bootkit病毒都选择感染MBR的特点,本文首先实现了SSDT (System Services Descriptor Table,系统服务描述表)Hook NtWriteFile函数过滤写入文件请求和Hook IRP (I/O request packets, I/O请求包)分发函数IoCallDriver过滤IRP两种防御方式,分别完成了在用户模式进入内核模式以及在内核驱动程序层对修改MBR的拦截。之后,本文分析了未来Bootkit的发展趋势,根据其使用底层I/O端口的特性,提出了一种拦截通过I/O端口读写硬盘的思想,并实现了对通过读写I/O端口修改MBR的拦截。最后,本文给出了相应的测试结果,证明了本文中的防御方法对Bootkit病毒是有效性。

全文目录


摘要  5-6
Abstract  6-10
第1章 绪论  10-14
  1.1 研究背景及意义  10-11
  1.2 国内外研究现状  11
  1.3 本文的主要内容及章节安排  11-14
第2章 WINDOWS启动相关原理  14-24
  2.1 WINDOWS内核基本原理  14-18
    2.1.1 用户空间Ring3和内核空间Ring0  14-15
    2.1.2 Windows内核基本体系结构  15-17
    2.1.3 驱动程序加载  17-18
  2.2 WINDOWS系统的引导与启动过程  18-23
    2.2.1 BIOS  19
    2.2.2 MBR及DBR  19-21
    2.2.3 NTLDR  21-22
    2.2.4 Windows内核  22-23
  2.3 本章小结  23-24
第3章 BOOTKIT技术分析  24-40
  3.1 基于BIOS的BOOTKIT  24-26
  3.2 STONED BOOTKIT  26-38
    3.2.1 Ring3下感染MBR  27-30
    3.2.2 启动过程分析  30-32
    3.2.3 Bootkit嵌入内核过程分析  32-37
    3.2.4 加载驱动程序和用户空间代码  37-38
  3.3 本章小结  38-40
第4章 当前BOOTKIT攻防策略的研究  40-52
  4.1 SSDT HOOk NTWRITEFILE  40-43
    4.1.1 分析NtWriteFile调用流程  40-42
    4.1.2 SSDT Hook实现  42-43
  4.2 SCSI PASS THROUGH DIRECT绕过SSDT HOOK  43-45
  4.3 HOOK IOCALLDRIVER过滤IRP  45-50
    4.3.1 分析IRP处理流程  45-47
    4.3.2 Hook IoCallDriver  47-50
  4.4 本章小结  50-52
第5章 未来BOOTKIT攻防策略的研究  52-64
  5.1 未来BOOTKIT病毒技术特点分析  52-56
    5.1.1 直接端口I/O读写硬盘  52-53
    5.1.2 绕过操作系统和安全软件限制讨论  53-55
    5.1.3 Bootkit病毒发展总结  55-56
  5.2 拦截通过I/O端口修改MBR  56-61
    5.2.1 Intel调试寄存器  56-58
    5.2.2 拦截读写I/O端口请求  58-61
  5.3 本章小结  61-64
第6章 测试  64-68
  6.1 测试及开发平台  64
  6.2 测试STONED BOOTKIT运行  64-65
  6.3 测试基于BOOTKIT病毒的防御方法  65-68
第7章 结论和展望  68-70
  7.1 本文工作总结  68
  7.2 进一步工作展望  68-70
参考文献  70-74
致谢  74-76
攻读硕士期间发表的论文及参加的项目  76

相似论文

  1. Windows内核态密码服务接口设计与实现,TP309.7
  2. 因特网IP级拓扑测量空间研究,TP393.08
  3. 基于P2P技术的网络虚拟地理环境原型系统设计与实现,TP393.09
  4. 三相异步发电机不对称运行的研究,TM343
  5. 文件网络存储系统的设计与实现,TP333
  6. NAT网关port triggering功能设计与实现,TP393.08
  7. 移动网络综合告警管理系统的设计与实现,TN929.5
  8. 基于部分元等效电路的电磁建模方法研究,TN402
  9. 基于磁阻式四端口机电能量变换器控制系统的研究,TM352
  10. 双机械端口永磁电机的设计与分析,TM351
  11. 双机械端口电机控制系统的设计与研究,TM301.2
  12. 基于二端口网络的输电杆塔雷击瞬态特性建模研究,TM862
  13. 电力调度系统录音服务器的设计与实现,TM734
  14. 终端控制保护技术研究与系统设计,TP393.08
  15. 基于多下一跳路由的交换结构研究,TN915.02
  16. 10kV变压器二端口宽频导纳参数的数值计算,TM744
  17. 陡波前过电压替代波形的研究,TM864
  18. 感应式四端口机电能量变换器控制系统的研究,TM46
  19. 基于受控哈密顿系统的永磁同步电机无源控制,TM341
  20. 开关磁阻四端口机电换能器及在风力发电中的应用研究,TM352
  21. USB电池充电规范之测试方法的研究,TM910.6

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com