1、重庆大学硕士学 位论文 BIOS Rootkit 及其检测技术的研究 彭 毅 重庆大学硕士学位论文 目 录 II 目 录 目 录 . II 1 绪论 . 5 1.1 课题背景及问题陈述 . 5 1.2 国内外研究现状 . 5 1.3 本文研究工作简介 . 5 1.4 本文组 织结构 . 5 2 恶意软件及 Rootkit概要 . 6 2.1引言 . 6 2.2 恶意软件及其分类 . 6 2.2.1 恶意软件概述 . 6 2.2.1 恶意软件分类 . 6 2.3 Rootkit及其分类 . 9 2.3.1 Rootkit概念 . 9 2.3.2 Rootkit简史 .10 2.3.3 Rootk
2、it与其他恶意软件的差别 .10 2.3.2 Rootkit分类及各类特点简介 . 11 2.4 BIOS Rootkit .12 2.4.1 BIOS 概述 .12 2.4.2 BIOS Rootkit概念 .13 2.4.3 BIOS Rootkit简史 .13 2.4.4 BIOS Rootkit特点及检测难点 .14 2.5 BIOS 相关硬件简述 .15 2.5.1 BIOS 芯片类型介绍 .15 2.5.2 ISA/PCI总线介绍 .16 2.6 小结 .17 3 BIOS Rootkit的原理及方法分析 .18 3.1引言 .18 3.2 BIOS的静态及动态分析 .18 3.2
3、.1 BIOS 的静态分析 .18 3.2.1 BIOS 的动态态分析 .25 3.3 实地址模式下的中断向量表( IVT) .27 3.3.1 实地址模式、保护模式简介 .27 3.2.2 实模式下的 IVT( Interrupt Vector Table) .28 3.4 BIOS Rootkit实例分析 .29 3.4.1 IceLord概述 .29 3.4.2 IceLord核心技术分析和验证 .30 3.4.3 Hack MBR .45 重庆大学硕士学位论文 目 录 III 3.5 直接调用中断向量躲避 IVT Hook检测程序 .46 3.5.1 问题提出 .46 3.5.2 程序
4、实现 .46 3.6 其他 BIOS Rootkit实现思路 .56 3.6.1 设置硬件断点 .56 3.6.2 Hack BOOTBLOCK.67 3.7 BIOS Rootkit研究相关工具 .67 3.7.1 Award BIOS 模块修改工具介绍 .67 3.7.2 Award BIOS 刷新工具介绍 .70 3.7.3 反汇编器 IDA Pro .71 3.7.4 编译 器 NASM .72 3.7.5 虚拟机 Bochs.75 3.7.6 16进制磁盘编辑器 WinHex .75 3.8 小结 .76 4 BIOS Rootkit 的检测技术研究 .77 4.1 引言 .77 4
5、.2 检测 IVT Hook .77 4.2.1 详细分析 IVT .78 4.2.2 实现 IVT Hook检测 .79 4.3 检测 BIOS文件 .87 4.3.1 从 Shadow RAM中获取 BIOS ROM .87 4.3.2 从 BIOS芯片中获取 BIOS ROM .89 4.3.3 分析几种方式获得的 ROM数据 .90 4.3.4 审计 ROM数据 .92 4.4 检测 PCI设备 .93 4.4.1 提取 BIOS文件中的 PCI设备 信息 .93 4.4.2 操作系统中读取系统 PCI设备信息 .94 4.4.3 进行 PCI信息识别 .95 4.5 审计 MBR.9
6、6 4.5.1 获取原始 MBR.96 4.5.2 对 MBR进行审计 .97 4.6 防止 BIOS Rootkit加载的方法初探 .97 4.6.1 硬件跳线防止刷新 BIOS .97 4.6.2 阻止 BIOS刷新 .97 4.6.3 TPM( Trusted Platform Module)进行 BIOS验证 .98 4.7 小结 .98 5 实验结果及其结果分析 .99 5.1 引言 .99 5.2 仿真环境 .99 5.3 IVT Hook检测实验 . 100 5.4 实验结果综合分析 . 102 重庆大学硕士学位论文 目 录 IV 5.5 小结 . 102 6 结语 . 103
7、6.1 本文工作总结 . 103 6.2 未来研究展望 . 103 参考文献 . 104 重庆大学硕士学位论文 5 1 绪论 1.1 课题背景及问题陈述 随着全球信息化普及程度的提高,计算机安全问题也日趋严重。恶意软件成为威胁计算机安全的一大分支。 Rootkit 作为恶意软件的一个特定类型, 是近年来国内外计算机安全领域热门的研究课题,特 别是新兴的 Rootkit 分支 BIOS Rootkit,强调把传统的 Rootkit 技术和 BIOS 芯片相结合, 其较强隐蔽性和较大破坏力,几乎可以躲过现有的任何计算机安全检测软件的检测,这使得计算机安全检测领域面临巨大挑战 。 因此,对 BIOS
8、 Rootkit 的检测研究工作 已 成为 必要而 紧迫的 事情 。 对 BIOS Rootkit 检测的研究可以采用目前成熟的检测思路和方法,考虑 BIOS Rootkit 存在于 BIOS 芯片的特殊性来进行。因此是比较可行的。 对 BIOS Rootkit进行检测,可以发现 BIOS Rootkit这 一类破坏力极大的 Rootkit类型恶意软件,为政府、企业及个人的信息安全保驾护航。 1.2 国内外研究现状 由于 BIOS Rootkit 编写难度大,较大依赖硬件特性,致使其实现技术一直鲜有公布。 国内外 对 于 BIOS Rootkit 的检测 研究目前尚 处于起步阶段。 检测 研究
9、之所以进度缓慢,这主要是因为 BIOS Rootkit 的诸多特点所致,比如: BIOS Rootkit 能够第一时间获取系统主动权 ;能 不在硬盘上留下痕迹 ; 能够重复感染已有操作系统或新装系统 ; 能够对抗几乎所有现有的 HIPS、杀毒、审计等安全软件 ; BIOS Rootkit 难于检测 而且 难于清除 。 因此对于 BIOS Rootkit 检测的研究工作基本上属于探索性的尝试研究。 1.3 本文研究工作简介 本文主要进行了 BIOS Rootkit 的实现技术剖析和 BIOS Rootkit 的检测工作。在研发过程中,本文提出了通过检测 IVT Hook 的方法来检测 BIOS
10、Rootkit,并编写了程序加以验证。实验证明,该方法能够顺利检测出采用 IVT Hook 技术的 BIOS Rootkit。 1.4 本文组织结构 本文主要研究 BIOS Rootkit 及其相关检测技术,因此 本文主要分为四大部分来重庆大学硕士学位论文 6 进行。 第二章主要就 BIOS Rootkit 的相关概念进行阐述。 BIOS Rootkit 是 Rootkit 的一个特定类型,而 Rootkit 又是一种恶意软件类型。因此,这一章首先阐明什么是恶意软件,然后逐次讨论 Rootkit、 BIOS Rootkit 与其的相关关系。 第三章和第四章是本文的重点章节。 第三章从静态和动态
11、两个方面来剖析分析BIOS Rootkit 的相关技术实现。静态分析即对 BIOS 文件结构进行分析,动态分析则对 BIOS 运行流程进行阐述。本章还对 BIOS Rootkit 实例 IceLord 进行分析,以深入研究 BIOS Rootkit 的典型实现技术和方法。 第四章基于第三章研究的基础上,也从静态和动态两大方面讨论 BIOS Rootkit的检测技术。其中检测 IVT Hook 为动态检测,审计 BIOS 文件、审计 PCI 设备信息和审计 MBR 为静态检测。 第五章就第三章的 IVT Hook 检测技术,进行详细的验证实验。 2 恶意软件及 Rootkit概要 2.1引言 B
12、IOS Rootkit 属于 Rootkit 的一个特定分支,而 Rootkit 是恶意软件的一种。因此对恶意软件进行分析总结,有利于认识 BIOS Rootkit 研究的本质。 2.2 恶意软件及其分类 2.2.1 恶意软件 概述 恶意软件是非用户期望运行的、怀有恶意目的或完成恶意功能的软件的统称。恶意代码 (Malicious Code)含义与恶意软件相近 , 区别在于所描述的粒度不同。恶意代码用于描述完成特定恶意功能的代码片段 , 而恶意软件则指完成恶意功能的完整的程序集合 52 53 54。 2.2.1 恶意软件分类 恶意软件的种类较多 , 如 Virus (病毒 ), Worm (蠕
13、虫 ), Bot, Trojan Horse (特洛伊木马 ), Exploit (漏洞利用程序 ) , Backdoor (后门 ) , Rootkit, Spyware (间谍软件 ), Spamware (垃圾信息发送软件 ), Adware (垃圾广告软件 )等 。 在对恶意软件的名称引用上存在一些混用 、 指代不明的情况 , 如将所有导致计算机工作不正常的恶意软件都称为病毒 ,将未授权隐藏在计算机内运行的恶意软件都称为 (特洛 伊 )木马等。本文对恶意软件进行系统的分类 , 以明确 、 规范各类恶意软件的概念 ,区分其间的差异 52 53 54。 重庆大学硕士学位论文 7 根据不同恶
14、意软件所完成的功能在完整的入侵过程中所处阶段的不同 ,我们将恶意软件分为三种类型。 1. 获取目标系统远程控制权类 1.1 Exploit (漏洞利用程序 )。它是第一类恶意软件的基本形式。 Exploit 利用操作系统或应用程序 中存在的缺陷 (Bug) ,可达到以非授权的方式远程控制目标系统或提升本地用户权限的目的。具体过程为 :构造特定的输入数据并提交给存在缺陷的操作系统程序或应用程序 ,使这些有缺陷的程序在所构造的输入数据下 ,正常的程序流程发生改变 ,从而导致未授权用户可以远程控制目标系统 ,或使本地用户获得更高的权限。 1.2 Trojan Horse (特洛伊木马 ) ,简称为
15、Trojan (木马 )。它是伪装成合法程序以欺骗用户执行的一类恶意软件。使用 Trojan 入侵目标系统的具体过程为 : Trojan 首先通过网络或各种存储介质传 播到用户处 ,因其具有伪装、欺骗性 ,常被经验不足或防范意识较差的用户执行后 ,释放出其携带的 Backdoor(后门 )以实现对目标主机的远程控制 ,在必要时还可释放出其携带的 Exploit 以提升用户权限。 1.3 Worm (蠕虫 )。它具有自我繁殖能力 ,无需用户干预便可自动在网络环境中传播的一类恶意软件。 Worm利用目标系统的 Weak Password (弱口令 )或目标系统中存在的缺陷获得对目标系统的远程控制权
16、 ,并搜集目标系统内的相关信息从而将 Wor m自身传染至与目标系统有网络联系的其他系统。 Worm自身的 存在有两种形式 ,即可执行文件的形式和内存中进程 /线程的形式。当以进程 /线程的形式存在时 ,传播过程中 Worm 在目标系统内不涉及文件操作 ,具有更强的隐蔽性。与 Trojan类似 ,Worm也包含 Payload部分 ,以便在成功入侵目标系统后完成特定的业务逻辑 ,如 CodeRed Worm,其 Payload 部分的功能是对白宫 Web 服务器进行 DoS (Denial of Service,拒绝服务 )攻击。 1.4 Bot。 Bot 的概念与 Worm 相近。若某 Wo
17、rm 的 Payload 部分包含一个 Backdoor,则称该 Worm为 Bot,或者说可远程控制的 Worm 即为 Bot。 Bot比 Worm更进一步 ,Worm虽然具有自主繁殖、传播的能力 ,但其传播出去之后就不再受控 ,不能根据 Worm发布者的意图调整行为方式 ;而 Bot在传播出去之后依然可以对其进行控制和调整。由此可见 ,Bot 的危害性比Worm更大 ,制作精巧的 Bot 甚至可以根据发布者的意图对其 Payload 部分进行升级以适应新的环境或完成新的功能。被 Bot 成功入侵后的受控主机即为 Zombie(傀儡主机 ),一组 Zombie 则称为 Botnet 。当前
18、Internet 上的 主要安全威胁之一的 DDoS(Distributed Denial of Service,分布式拒绝服重庆大学硕士学位论文 8 务 )攻击就是通过向 Botnet发出针对特定目标的 DoS 攻击命令来完成的。 1.5 Virus(病毒 )。它是依附于宿主文件 ,在宿主文件被执行的条件下跟随宿主文件四处传播并完成特定业务功能的一类恶意软件 。 Virus 的结构与 Worm相似 ,除包含用于传播自身的 Virus Header (病毒头部 )外 ,还包含用于完成特定业务逻辑的 Payload 部分。 Virus 和 Worm是容易混淆的两个概念。两者主要区别在于 : Wo
19、rm 的传播无需宿主文件 ,可通过网络直接将 Worm 自身传播到目标系统 ;而病毒传播需要宿主文件 ,病毒只能寄生在宿主文件中。 Worm的繁殖、传播无需人工干预 ,由 Worm 自主、自动完成 ;病毒的传播需要人工干预。首先 ,病毒的传播依赖于宿主文件的位置改变 ,宿主文件到哪里 ,病毒才可能传播到哪里。其次 ,若宿主文件未被执行 ,则寄生其中的病毒便不会感染目标系统。 2. 维持远程控制权类 2.1 Backdoor(后门 )。它是一类运行在目标系统中 ,用以提供对目标系统未经授权的远程控制服务的恶意软件。需要注意的 是 , Backdoor 与第一类恶意软件不同 , Backdoor
20、的作用是通过其运行以提供对目标系统未经授权的远程控制的服务 ;而第一类恶意软件需要利用各种手段来达到此目的 ,即Backdoor 必须在目标系统上运行才能提供相应的服务 ,因此必须先使用第一类恶意软件以获得在目标系统上执行程序的权限。第一类恶意软件是Backdoor 发挥作用的前提和基础 ,Backdoor 运行后 ,后续对目标系统的远程控制均通过 Backdoor 提供的服务来完成。 2.2 Rootkit。其概念起源于 UNIX/Linux 操作系统 ,最初是指 UNIX/Linux系统中一组用于获取并维持 Root 权限的工具集。发展至今日 ,被广为接受的 Rootkit 概念是指用于帮
21、助入侵者在获取目标主机管理员权限后 ,尽可能长久地维持这种管理员权限的工具 。在当前的 Rootkit 概念中 ,获取管理员权限的过程不由 Rootkit 来完成 ,即 Rootkit 的使用基于已经获得了管理员权限的假设。由 Backdoor 的概念可知 ,Backdoor 仅提供了一条非授权访问、控制目标系统的“通道” ,但并不涉及对这条通道的保护 ,因此这条通道很容易被目标系统上的管理员或网络安全设备察觉或检 测到。Rootkit 的作用是要尽可能长久地维持对目标系统的远程控制,故其基本任务就是要隐藏所提供的通道 ,尽可能使得目标系统上的管理员或安全设备不能察觉、检测到该通道的存在。当前
22、主流操作系统平台下的 Rootkit已经比较成熟 ,内核级的 Rootkit 能做到对操作系统中的进程、线程、网络连接、网络数据、 网络通信目的地的深度隐藏 ,以保护目标系统中运行重庆大学硕士学位论文 9 的恶意软件不被检测到。在实际应用中通常直接包含了 Backdoor 的功能。因此 ,可将 Rootkit 理解为带隐藏功能的 Backdoor。 3. 完成特定业务逻辑类 3.1 Spyware (间谍软件 ) 。它是典型的第三类恶意软件 ,用于从目标系统中收集各种情报、信息 ,如商业、军事情报,用户信用卡号、 个人隐私信息 /文档 ,各种网站 /邮箱用户名、 口令等信息。收集到这些信息后
23、, Spyware通过网络将其发送给入侵者。在 Rootkit 的保护下 , Spyware 本身以及 Spyware所产生的网络通信都被隐藏 ,使得 Spyware可在目标系统中安全地存活下来。 3.2 Spamware(垃圾信息发送软件 )。为了避免被追查 ,Spam (非期望的垃圾信息 ,如垃圾邮件 )的发 送者通常不会直接使用自己的主机发送垃圾信息。为了加大垃圾信息的发送范围 ,仅仅用一台主机发送垃圾信息是不够的。Spamware (垃圾信息发送软件 ) 就是运行在大量被入侵主机中用于发送垃圾信息的恶意软件 , Spamware 在目标系统中的运行途径与 Spyware 类似。 3.3
24、 Adware (垃圾广告软件 ) 。它运行在被入侵主机中 ,用于以各种方式显示垃圾广告的恶意软件。 Adware 在目标系统中的运行途径与 Spyware 类似。 3.4 其他第三类恶意软件。其种类很多 ,根据具体应用需求不同而不同 ,如对目标系统进行攻击 /破 坏的恶意软件有多种不同的类型 ,但目前尚无统一规范的命名。 2.3 Rootkit及其分类 2.3.1 Rootkit概念 Rootkit 是计算机安全领域的一个术语,来自 root 和 kit 两个单词的组合,其中root 是 Unix 系统中超级用户的名称,拥有系统的最高权限; kit 则是工具套件的意思 57。目前 Rooki
25、t 还没有权威的中文翻译,因此在本论文中,为了信息的准确性,使用英文 Rootkit。维基百科 (wikipedia)中关于 Rootkit 的 定义如下 56:“ Rootk 是攻击者在入侵系统后用来保持对系统的超级用户访问权限,创建后门和隐藏攻击痕迹等常采用的一种技术。 Rootkit 存在于 Linux、 Solaris 和 Windows 等各种操作系统上。” 重庆大学硕士学位论文 10 2.3.2 Rootkit简史 Rootkit 最早 出现在 1994 年, 其 主要攻击 Unix操作系统,特别是 SunOS 4.x58。在 1994 年 2 月的一篇安全咨询报告中首先使用了 rootkit 这个名词。这篇安全咨询就是 CERT-CC 的 CA-
