硬盤作為最主要且最常見的存儲設(shè)備,保存著計算機系統(tǒng)中絕大部分文件,是木馬攻擊和感染的主要目標。硬盤木馬指的是通過感染硬盤來隱藏自身,駐留在計算機中,并執(zhí)行惡意功能的木馬,這種木馬具有極高的隱蔽性和危害性。本論文將木馬對于硬盤的感染位置和方式的不同,將硬盤木馬分為Bootkit木馬和硬盤固件木馬。Bootkit木馬是當前主流木馬的一種,Bootkit技術(shù)和其檢測技術(shù)不斷地對抗升級,促使Bootkit木馬迅速發(fā)展。硬盤固件木馬難度大,且位于用戶無法訪問的區(qū)域內(nèi),所以對于固件木馬的研究較少,但硬盤固件木馬是殺毒軟件的一個盲區(qū),也是木馬發(fā)展的一個方向。本文針對硬盤木馬難以檢測的問題,分析了硬盤木馬的實現(xiàn)方式,建立了硬盤木馬檢測模型。在硬盤木馬檢測模型中,本論文將硬盤木馬檢測分為對Bootkit木馬的檢測和對硬盤固件的檢測,其中Bootkit木馬檢測能夠檢測出硬盤引導(dǎo)區(qū)的感染情況以及系統(tǒng)的感染情況,硬盤固件檢測能夠檢測出硬盤固件是否被篡改和硬盤是否掛載有小型系統(tǒng)。并且在硬盤木馬檢測模型中,本文提出了基于行為的Bootkit木馬檢測,基于可信引導(dǎo)的硬盤固件檢測以及基于SMART的硬盤掛載系統(tǒng)檢測的... 

【文章來源】：電子科技大學四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：76 頁

【學位級別】：碩士

【部分圖文】：

硬盤固件位置[3]

電子科技大學碩士學位論文12圖2-70x000A模塊結(jié)構(gòu)圖頭部包括0x00到0x17這24個字節(jié)的數(shù)據(jù)：（1）0x00到0x03共4個字節(jié)表示模塊標記，一般是“524F594C”；（2）0x04到0x05共2個字節(jié)表示啟動級別；（3）0x06到0x07共2個字節(jié)表示有效數(shù)據(jù)地址，指當前模塊中有效的字節(jié)位置，這里是0x001E，表示從第30字節(jié)開始是有效數(shù)據(jù)。（4）0x08到0x09共2個字節(jié)表示模塊名，這里是0x000A，表示當前模塊是0x000A模塊。（5）0x0A到0x0B共2個字節(jié)表示模塊大小，用扇區(qū)數(shù)表示，這里是0x0001，表示當前模塊占一個扇區(qū)。（6）0x0C到0x0F共4個字節(jié)是模塊校驗碼。（7）0x10到0x17共8個字節(jié)表示模塊版本信息，這里是“3030583130303032”，是ASCLL碼表示的版本為“00x10002”。頭部信息是所有模塊通用的部分，之后是模塊主體，每個模塊各不相同。硬盤的BootROM結(jié)構(gòu)和位于特殊服務(wù)磁道上的固件區(qū)類似，都分為一個目錄模塊和其他模塊。硬盤ROM中的模塊很少，只有6個模塊，其中0x000B模塊為ROM中的目錄模塊。ROM中的模塊結(jié)構(gòu)也和主固件中的模塊結(jié)構(gòu)相同，都是由模塊頭部和模塊主體組成。硬盤的Flash結(jié)構(gòu)和ROM以及主固件的結(jié)構(gòu)不同，F(xiàn)lash雖然也可以分為目錄和其他模塊，但Flash的模塊沒有模塊頭部，直接是模塊主體，且目錄格式和ROM目錄以及主固件目錄不同。Flash包含一個目錄，0x5A模塊，以及其他從0x01開始編號的模塊。目錄在Flash最前面，直接由目錄項構(gòu)成，每32個字節(jié)表示一個目錄項，對應(yīng)一個Flash中的模塊。0x5A模塊是Flash中的第一個模塊，是硬盤的引導(dǎo)加載程序，負責加載Flash的其他模塊。Flash的其他模塊從0x01開始編號，用于構(gòu)成硬盤內(nèi)核，且都被LZ-H算法壓縮加密。2.1.2.3硬盤引導(dǎo)過程在計算機啟動過程中，當BIOS開機自檢后會識別已連接到計算機中的?

第三章硬盤木馬檢測系統(tǒng)設(shè)計與實現(xiàn)333.3.5固件區(qū)提取模塊固件區(qū)提取模塊為后面基于可信引導(dǎo)的硬盤固件檢測模塊和SMART提取分析模塊服務(wù)，提取硬盤固件中的Flash、用于引導(dǎo)的固件模塊和SMART模塊，為后面檢測模塊做準備。不提取全部固件內(nèi)容，是因為：（1）對于固件區(qū)的訪問速度較慢，只提取固件區(qū)的固定一些模塊，可以很大程度上增加檢測的效率。（2）固件區(qū)中有很多和標準固件模塊不同的模塊，如在硬盤運行過程中會改變的缺陷表、SMART模塊，和出廠時的測試日志，自檢日志等。如果直接將整個硬盤固件和標準固件進行對比，來檢測硬盤固件木馬是不準確的。3.3.5.1目錄模塊對于固件區(qū)的訪問，要確定訪問對應(yīng)的固件模塊，需要知道該模塊在硬盤固件中的確切位置和大校硬盤固件中有專門記錄模塊信息的模塊，即目錄模塊，而硬盤固件中有兩個部分含有目錄模塊，分別是ROM和盤片上的固件區(qū)，相對應(yīng)的固件目錄模塊也有兩個，ROM的0x000B和盤片上固件區(qū)的0x0001[20,52]。ROM的0x000B如圖3-8所示：圖3-80x000B模塊結(jié)構(gòu)圖從上文硬盤固件模塊介紹可知，模塊頭部中表示有效地址為0x1E00，從而可以得出，該模塊從0x1E位開始為有效數(shù)據(jù)，即30字節(jié)處開始為有效數(shù)據(jù)。該模塊30字節(jié)處數(shù)據(jù)為0x06，表示ROM中目錄模塊0x000B中的目錄項為6項。圖

【參考文獻】：
期刊論文
[1]基于UEFI的固件級硬盤安全保護機制[J]. 孫亮,陳小春.  武漢大學學報(理學版). 2019(02)
[2]一種通過硬盤串口獲取固件工廠指令的方法[J]. 趙露,康艷榮,劉思棋,龍源,郭麗莉.  西安郵電大學學報. 2018(04)
[3]基于硬盤固件的竊密技術(shù)分析及對策研究[J]. 張帆.  保密科學技術(shù). 2017(05)
[4]手工DLL注入的檢測方法研究與實現(xiàn)[J]. 陳莊,王津梁,張醍.  信息安全研究. 2017(03)
[5]“方程式組織”網(wǎng)絡(luò)武器泄露事件及啟示[J]. 新明.  信息安全與通信保密. 2017(01)
[6]基于Windows服務(wù)的惡意行為特征檢測技術(shù)[J]. 侯鑫美,董開坤.  智能計算機與應(yīng)用. 2016(05)
[7]硬盤固件的研究與仿真設(shè)計[J]. 徐祥斌,張京生.  信息安全與技術(shù). 2015(10)
[8]基于磁盤數(shù)據(jù)分析的Bootkit靜態(tài)檢測研究與實現(xiàn)[J]. 金戈,薛質(zhì),王軼駿.  計算機應(yīng)用與軟件. 2015(06)
[9]遠程線程DLL注入的實現(xiàn)與逆向分析偵查[J]. 趙北庚,孫楠.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2015(05)
[10]硬盤固件病毒的工作原理及防治方法[J]. 張京生,韓勁松.  北京信息科技大學學報(自然科學版). 2013(01)

碩士論文
[1]基于行為特征的Windows Bootkit檢測模型的研究及其系統(tǒng)實現(xiàn)[D]. 趙永福.電子科技大學 2016
[2]基于SATA接口固態(tài)硬盤的存儲系統(tǒng)的研究與實現(xiàn)[D]. 王童.西安電子科技大學 2014
[3]Bootkit技術(shù)分析及其防御方法的研究[D]. 曲安東.東北大學 2013



本文編號：3372105