-
题名主引导记录型Rootkit建模及其静态检测方法
被引量:1
- 1
-
-
作者
金戈
薛质
齐开悦
-
机构
上海交通大学信息安全研究所
-
出处
《计算机工程》
CAS
CSCD
北大核心
2015年第7期184-189,共6页
-
基金
国家自然科学基金资助项目"云计算环境下软件可靠性和安全性理论
技术与实证研究"(61332010)
-
文摘
主引导记录(MBR)型Rootkit是一种新型Rootkit,其隐蔽性强难以检测。针对该问题,分析MBR型Rootkit的关键技术及总体工作流程,扩展木马协同隐藏模型,给出多级协同隐藏的概念并将其应用于M BR型Rootkit隐藏机制的形式化描述中。针对M BR型Rootkit的静态特征提出一种静态检测方法,通过对隐蔽扇区空间数据进行模式匹配寻找该类恶意代码的磁盘驻留数据,通过分析计算机MBR数据格式,设计并实现模式匹配算法。实验结果表明,该方法在针对系列样本的检测中取得了良好效果,并且可以从磁盘驻留数据中获得原始MBR备份数据以恢复系统。
-
关键词
主引导记录
形式化描述
协同隐藏
静态特征
静态检测
模式匹配
-
Keywords
Main Boot Record (MBR)
formal description
cooperative concealment
static feature
static detection
pattern matching
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于磁盘隐藏PE文件搜索的Bootkit检测方法
被引量:1
- 2
-
-
作者
金戈
薛质
齐开悦
-
机构
上海交通大学信息安全研究所
-
出处
《计算机工程》
CAS
CSCD
北大核心
2015年第6期116-120,共5页
-
基金
国家自然科学基金资助项目"云计算环境下软件可靠性和安全性理论
技术与实证研究"(61332010)
-
文摘
Bootkit通过将加载时间点提前到引导阶段,能够对其操作系统下的恶意行为进行隐藏以绕过多数安全软件。为此,对Bootkit的动态行为隐藏机制进行形式化建模,扩展协同隐藏机制以揭示Bootkit高隐蔽性,并且利用大部分Bootkit在磁盘上隐藏恶意PE文件的特点,设计并实现一种PE文件匹配算法。实验结果表明,该算法在磁盘隐蔽扇区中匹配特定的模式串以寻找潜在的恶意PE文件,在针对Bootkit样本的检测中取得了较好效果。
-
关键词
恶意行为
协同隐藏
形式化描述
PE文件
静态检测
-
Keywords
malicious behavior
cooperative concealment
formal description
PE file
static detection
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
