作者投稿和查稿 主编审稿 专家审稿 编委审稿 远程编辑

计算机工程

• 安全技术 • 上一篇    下一篇

基于磁盘隐藏PE 文件搜索的Bootkit 检测方法

金 戈,薛 质,齐开悦   

  1. (上海交通大学信息安全研究所,上海200240)
  • 收稿日期:2014-07-01 出版日期:2015-06-15 发布日期:2015-06-15
  • 作者简介:金 戈(1990 - ),男,硕士,主研方向:信息安全;薛 质,教授;齐开悦,讲师。
  • 基金资助:

    国家自然科学基金资助项目“云计算环境下软件可靠性和安全性理论、技术与实证研究”(61332010)。

Bootkit Detection Method Based on Disk Hidden PE File Searching

JIN Ge,XUE Zhi,QI Kaiyue   

  1. (Institute of Information Security,Shanghai Jiaotong University,Shanghai 200240,China)
  • Received:2014-07-01 Online:2015-06-15 Published:2015-06-15

摘要:

Bootkit 通过将加载时间点提前到引导阶段,能够对其操作系统下的恶意行为进行隐藏以绕过多数安全软件。为此,对Bootkit 的动态行为隐藏机制进行形式化建模,扩展协同隐藏机制以揭示Bootkit 高隐蔽性,并且利用大部分Bootkit 在磁盘上隐藏恶意PE 文件的特点,设计并实现一种PE 文件匹配算法。实验结果表明,该算法在磁盘隐蔽扇区中匹配特定的模式串以寻找潜在的恶意PE 文件,在针对Bootkit 样本的检测中取得了较好效果。

关键词: 恶意行为, 协同隐藏, 形式化描述, PE 文件, 静态检测

Abstract:

Bootkit originates from Rootkit and can bypass most security software through loading the malicious code during windows booting period. This paper uses formal description to depict the procedure of malicious operation hiding and develops the cooperative concealment. Because most Bootkit hide malicious PE files in disks, a PE matching algorithm is designed and implemented. This algorithm will search some byte sequences with specific pattern to find potential hidden PE files and experiments show that this algorithm can gain a high detecting accuracy towards some Bootkit samples.

Key words: malicious behavior, cooperative concealment, formal description, PE file, static detection

中图分类号: