基于MBR的Windows+bootkit隐藏技术.pdfVIP

第29卷 计算机应用 Vol_29 2009年 6月 JournalofComputerApplications June2009 文章编号：1001—9081(2009)S1—0083—03 基于 MBR的Windowsbootkit隐藏技术 胡和君 ，范明钰 ，王光卫 (电子科技大学计算机科学与工程学院，成都 610054) (hubejun1984@yahoo．corn．cn) 摘 要 ：对 Windows系统环境下的bootkit隐藏技术进行 了研究，提 出了bootkit协 同隐藏 的形式化模型。结合协 同隐藏思想，实现 了一个bootkit原型。该原型基于MBR并通过 多级 hook完成了对 Windows系统内核启动的劫持。 实验结果表明，该原型体现了协同隐藏的思想，能够有效地隐藏运行。 关键词：bootkit；协同隐藏；hook；主引导记录 中图分类号：TP316．7 文献标志码：A Concealmenttechnology ofW indowsbootkitbasedonM BR HUHe-jun，FANMing—yu，WANGGuang—wei (SchoolofComputerScienceandEngineering，UniversityofElectronicSceinceand TechnologyofChina，ChengduSichuan610054，China) Abstract：Toresearchtheconcealmenttechnologyofboot~tonW indowssystem，thispaperproposedaformalmodelof thecooperativeconcealmentofbootkit，andputforwardaprototypebasedontheview ofcooperativeconcealment．TheMaster BootRecord(MBR)basedprototypethroughmulti-levelhooktechnoloyg tocompletethehijackingoftheWindowskerne1． Th eexperimentresultsshowthatthisideaofthecooperativeconcealmentwerereflectedanditcanvalidrLln． Keywords：bootkit；cooperativeconcealment；hook；MasterBootRecord (MBR) 系统 (PowerOnSelfTest，POST)检测系统的总内存 以及其他 0 引言 硬件设备的现状，其次由BIOS完成基本硬件配置，然后通过 motkit定义为能够持久地或可靠地、无法检测地存在于 MBR读入和加载分区的引导扇区，接着通过 BOOTSECTOR 计算机系统上的一组程序和代码 J。rootkit的无法检测的隐 读入根 目录并加载 NTLDR。NTLDR读入 BOOT．INI，提示引 藏特性成为瞩 目的焦点 ，发展非常迅速。但是伴随着 Anti— 导菜单 ，之后加载 Ntoskrn1．exe、Bootvid．dll、Ha1．dll和 “引导． rootkit深入到系统内核，传统的rootkit在系统控制和隐藏 自 启动”的设备驱动程序。然后调用 Ntdetect．corn执行硬件检 身上逐步丧失明显优势。如果进攻者和防御者都运行在最高 测 ，对于不使用 BIOS的SCSI和 ATA系统使