硬盘木马检测技术的研究
发布时间:2021-08-30 04:52
硬盘作为最主要且最常见的存储设备,保存着计算机系统中绝大部分文件,是木马攻击和感染的主要目标。硬盘木马指的是通过感染硬盘来隐藏自身,驻留在计算机中,并执行恶意功能的木马,这种木马具有极高的隐蔽性和危害性。本论文将木马对于硬盘的感染位置和方式的不同,将硬盘木马分为Bootkit木马和硬盘固件木马。Bootkit木马是当前主流木马的一种,Bootkit技术和其检测技术不断地对抗升级,促使Bootkit木马迅速发展。硬盘固件木马难度大,且位于用户无法访问的区域内,所以对于固件木马的研究较少,但硬盘固件木马是杀毒软件的一个盲区,也是木马发展的一个方向。本文针对硬盘木马难以检测的问题,分析了硬盘木马的实现方式,建立了硬盘木马检测模型。在硬盘木马检测模型中,本论文将硬盘木马检测分为对Bootkit木马的检测和对硬盘固件的检测,其中Bootkit木马检测能够检测出硬盘引导区的感染情况以及系统的感染情况,硬盘固件检测能够检测出硬盘固件是否被篡改和硬盘是否挂载有小型系统。并且在硬盘木马检测模型中,本文提出了基于行为的Bootkit木马检测,基于可信引导的硬盘固件检测以及基于SMART的硬盘挂载系统检测的...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
硬盘固件位置[3]
电子科技大学硕士学位论文12图2-70x000A模块结构图头部包括0x00到0x17这24个字节的数据:(1)0x00到0x03共4个字节表示模块标记,一般是“524F594C”;(2)0x04到0x05共2个字节表示启动级别;(3)0x06到0x07共2个字节表示有效数据地址,指当前模块中有效的字节位置,这里是0x001E,表示从第30字节开始是有效数据。(4)0x08到0x09共2个字节表示模块名,这里是0x000A,表示当前模块是0x000A模块。(5)0x0A到0x0B共2个字节表示模块大小,用扇区数表示,这里是0x0001,表示当前模块占一个扇区。(6)0x0C到0x0F共4个字节是模块校验码。(7)0x10到0x17共8个字节表示模块版本信息,这里是“3030583130303032”,是ASCLL码表示的版本为“00x10002”。头部信息是所有模块通用的部分,之后是模块主体,每个模块各不相同。硬盘的BootROM结构和位于特殊服务磁道上的固件区类似,都分为一个目录模块和其他模块。硬盘ROM中的模块很少,只有6个模块,其中0x000B模块为ROM中的目录模块。ROM中的模块结构也和主固件中的模块结构相同,都是由模块头部和模块主体组成。硬盘的Flash结构和ROM以及主固件的结构不同,Flash虽然也可以分为目录和其他模块,但Flash的模块没有模块头部,直接是模块主体,且目录格式和ROM目录以及主固件目录不同。Flash包含一个目录,0x5A模块,以及其他从0x01开始编号的模块。目录在Flash最前面,直接由目录项构成,每32个字节表示一个目录项,对应一个Flash中的模块。0x5A模块是Flash中的第一个模块,是硬盘的引导加载程序,负责加载Flash的其他模块。Flash的其他模块从0x01开始编号,用于构成硬盘内核,且都被LZ-H算法压缩加密。2.1.2.3硬盘引导过程在计算机启动过程中,当BIOS开机自检后会识别已连接到计算机中的?
第三章硬盘木马检测系统设计与实现333.3.5固件区提取模块固件区提取模块为后面基于可信引导的硬盘固件检测模块和SMART提取分析模块服务,提取硬盘固件中的Flash、用于引导的固件模块和SMART模块,为后面检测模块做准备。不提取全部固件内容,是因为:(1)对于固件区的访问速度较慢,只提取固件区的固定一些模块,可以很大程度上增加检测的效率。(2)固件区中有很多和标准固件模块不同的模块,如在硬盘运行过程中会改变的缺陷表、SMART模块,和出厂时的测试日志,自检日志等。如果直接将整个硬盘固件和标准固件进行对比,来检测硬盘固件木马是不准确的。3.3.5.1目录模块对于固件区的访问,要确定访问对应的固件模块,需要知道该模块在硬盘固件中的确切位置和大校硬盘固件中有专门记录模块信息的模块,即目录模块,而硬盘固件中有两个部分含有目录模块,分别是ROM和盘片上的固件区,相对应的固件目录模块也有两个,ROM的0x000B和盘片上固件区的0x0001[20,52]。ROM的0x000B如图3-8所示:图3-80x000B模块结构图从上文硬盘固件模块介绍可知,模块头部中表示有效地址为0x1E00,从而可以得出,该模块从0x1E位开始为有效数据,即30字节处开始为有效数据。该模块30字节处数据为0x06,表示ROM中目录模块0x000B中的目录项为6项。图
【参考文献】:
期刊论文
[1]基于UEFI的固件级硬盘安全保护机制[J]. 孙亮,陈小春. 武汉大学学报(理学版). 2019(02)
[2]一种通过硬盘串口获取固件工厂指令的方法[J]. 赵露,康艳荣,刘思棋,龙源,郭丽莉. 西安邮电大学学报. 2018(04)
[3]基于硬盘固件的窃密技术分析及对策研究[J]. 张帆. 保密科学技术. 2017(05)
[4]手工DLL注入的检测方法研究与实现[J]. 陈庄,王津梁,张醍. 信息安全研究. 2017(03)
[5]“方程式组织”网络武器泄露事件及启示[J]. 新明. 信息安全与通信保密. 2017(01)
[6]基于Windows服务的恶意行为特征检测技术[J]. 侯鑫美,董开坤. 智能计算机与应用. 2016(05)
[7]硬盘固件的研究与仿真设计[J]. 徐祥斌,张京生. 信息安全与技术. 2015(10)
[8]基于磁盘数据分析的Bootkit静态检测研究与实现[J]. 金戈,薛质,王轶骏. 计算机应用与软件. 2015(06)
[9]远程线程DLL注入的实现与逆向分析侦查[J]. 赵北庚,孙楠. 网络安全技术与应用. 2015(05)
[10]硬盘固件病毒的工作原理及防治方法[J]. 张京生,韩劲松. 北京信息科技大学学报(自然科学版). 2013(01)
硕士论文
[1]基于行为特征的Windows Bootkit检测模型的研究及其系统实现[D]. 赵永福.电子科技大学 2016
[2]基于SATA接口固态硬盘的存储系统的研究与实现[D]. 王童.西安电子科技大学 2014
[3]Bootkit技术分析及其防御方法的研究[D]. 曲安东.东北大学 2013
本文编号:3372105
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
硬盘固件位置[3]
电子科技大学硕士学位论文12图2-70x000A模块结构图头部包括0x00到0x17这24个字节的数据:(1)0x00到0x03共4个字节表示模块标记,一般是“524F594C”;(2)0x04到0x05共2个字节表示启动级别;(3)0x06到0x07共2个字节表示有效数据地址,指当前模块中有效的字节位置,这里是0x001E,表示从第30字节开始是有效数据。(4)0x08到0x09共2个字节表示模块名,这里是0x000A,表示当前模块是0x000A模块。(5)0x0A到0x0B共2个字节表示模块大小,用扇区数表示,这里是0x0001,表示当前模块占一个扇区。(6)0x0C到0x0F共4个字节是模块校验码。(7)0x10到0x17共8个字节表示模块版本信息,这里是“3030583130303032”,是ASCLL码表示的版本为“00x10002”。头部信息是所有模块通用的部分,之后是模块主体,每个模块各不相同。硬盘的BootROM结构和位于特殊服务磁道上的固件区类似,都分为一个目录模块和其他模块。硬盘ROM中的模块很少,只有6个模块,其中0x000B模块为ROM中的目录模块。ROM中的模块结构也和主固件中的模块结构相同,都是由模块头部和模块主体组成。硬盘的Flash结构和ROM以及主固件的结构不同,Flash虽然也可以分为目录和其他模块,但Flash的模块没有模块头部,直接是模块主体,且目录格式和ROM目录以及主固件目录不同。Flash包含一个目录,0x5A模块,以及其他从0x01开始编号的模块。目录在Flash最前面,直接由目录项构成,每32个字节表示一个目录项,对应一个Flash中的模块。0x5A模块是Flash中的第一个模块,是硬盘的引导加载程序,负责加载Flash的其他模块。Flash的其他模块从0x01开始编号,用于构成硬盘内核,且都被LZ-H算法压缩加密。2.1.2.3硬盘引导过程在计算机启动过程中,当BIOS开机自检后会识别已连接到计算机中的?
第三章硬盘木马检测系统设计与实现333.3.5固件区提取模块固件区提取模块为后面基于可信引导的硬盘固件检测模块和SMART提取分析模块服务,提取硬盘固件中的Flash、用于引导的固件模块和SMART模块,为后面检测模块做准备。不提取全部固件内容,是因为:(1)对于固件区的访问速度较慢,只提取固件区的固定一些模块,可以很大程度上增加检测的效率。(2)固件区中有很多和标准固件模块不同的模块,如在硬盘运行过程中会改变的缺陷表、SMART模块,和出厂时的测试日志,自检日志等。如果直接将整个硬盘固件和标准固件进行对比,来检测硬盘固件木马是不准确的。3.3.5.1目录模块对于固件区的访问,要确定访问对应的固件模块,需要知道该模块在硬盘固件中的确切位置和大校硬盘固件中有专门记录模块信息的模块,即目录模块,而硬盘固件中有两个部分含有目录模块,分别是ROM和盘片上的固件区,相对应的固件目录模块也有两个,ROM的0x000B和盘片上固件区的0x0001[20,52]。ROM的0x000B如图3-8所示:图3-80x000B模块结构图从上文硬盘固件模块介绍可知,模块头部中表示有效地址为0x1E00,从而可以得出,该模块从0x1E位开始为有效数据,即30字节处开始为有效数据。该模块30字节处数据为0x06,表示ROM中目录模块0x000B中的目录项为6项。图
【参考文献】:
期刊论文
[1]基于UEFI的固件级硬盘安全保护机制[J]. 孙亮,陈小春. 武汉大学学报(理学版). 2019(02)
[2]一种通过硬盘串口获取固件工厂指令的方法[J]. 赵露,康艳荣,刘思棋,龙源,郭丽莉. 西安邮电大学学报. 2018(04)
[3]基于硬盘固件的窃密技术分析及对策研究[J]. 张帆. 保密科学技术. 2017(05)
[4]手工DLL注入的检测方法研究与实现[J]. 陈庄,王津梁,张醍. 信息安全研究. 2017(03)
[5]“方程式组织”网络武器泄露事件及启示[J]. 新明. 信息安全与通信保密. 2017(01)
[6]基于Windows服务的恶意行为特征检测技术[J]. 侯鑫美,董开坤. 智能计算机与应用. 2016(05)
[7]硬盘固件的研究与仿真设计[J]. 徐祥斌,张京生. 信息安全与技术. 2015(10)
[8]基于磁盘数据分析的Bootkit静态检测研究与实现[J]. 金戈,薛质,王轶骏. 计算机应用与软件. 2015(06)
[9]远程线程DLL注入的实现与逆向分析侦查[J]. 赵北庚,孙楠. 网络安全技术与应用. 2015(05)
[10]硬盘固件病毒的工作原理及防治方法[J]. 张京生,韩劲松. 北京信息科技大学学报(自然科学版). 2013(01)
硕士论文
[1]基于行为特征的Windows Bootkit检测模型的研究及其系统实现[D]. 赵永福.电子科技大学 2016
[2]基于SATA接口固态硬盘的存储系统的研究与实现[D]. 王童.西安电子科技大学 2014
[3]Bootkit技术分析及其防御方法的研究[D]. 曲安东.东北大学 2013
本文编号:3372105
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/3372105.html
