基于行為監(jiān)測(cè)的Anti-RBootkit的研究與實(shí)現(xiàn)_第1頁(yè)
基于行為監(jiān)測(cè)的Anti-RBootkit的研究與實(shí)現(xiàn)_第2頁(yè)
基于行為監(jiān)測(cè)的Anti-RBootkit的研究與實(shí)現(xiàn)_第3頁(yè)
基于行為監(jiān)測(cè)的Anti-RBootkit的研究與實(shí)現(xiàn)_第4頁(yè)
基于行為監(jiān)測(cè)的Anti-RBootkit的研究與實(shí)現(xiàn)_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、1基于行為監(jiān)測(cè)的基于行為監(jiān)測(cè)的Anti-R/Bootkit的研究與實(shí)現(xiàn)的研究與實(shí)現(xiàn)報(bào)告人報(bào)告人: 李月鋒李月鋒導(dǎo)師:周學(xué)海導(dǎo)師:周學(xué)海專業(yè):計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)專業(yè):計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)2009-5-25嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室2/28主要內(nèi)容主要內(nèi)容v 概述與設(shè)計(jì)需求概述與設(shè)計(jì)需求 惡意程序惡意程序(代碼代碼)、Rootkit、Bootkit 惡意代碼掃描檢測(cè)技術(shù)的原理與不足惡意代碼掃描檢測(cè)技術(shù)的原理與不足 主動(dòng)防御的不足以及基于行為監(jiān)測(cè)的主動(dòng)防御的不足以及基于行為監(jiān)測(cè)的Anti-R/Bootkit的提出的提出v 行為特征剖析和基于行為特征的形式化描述語(yǔ)言行為特征剖析和基于行為特征的形式化描述語(yǔ)

2、言 行為特征剖析行為特征剖析 形式化描述語(yǔ)言形式化描述語(yǔ)言v 方案設(shè)計(jì)與評(píng)估方案設(shè)計(jì)與評(píng)估v 總結(jié)與展望總結(jié)與展望嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室3/28概述與設(shè)計(jì)需求概述與設(shè)計(jì)需求v惡意程序惡意程序/代碼代碼 惡意軟件惡意軟件(Maleware)是非用戶期望運(yùn)行的、懷有惡意是非用戶期望運(yùn)行的、懷有惡意目的或完成惡意功能的完整的程序集合。目的或完成惡意功能的完整的程序集合。惡意代碼惡意代碼(Malicious Code) 是指用于描述完成特定惡是指用于描述完成特定惡意功能的代碼片段。意功能的代碼片段。 vRootkit 作為當(dāng)前新型的惡意軟件的代表的作為當(dāng)前新型的惡意軟件的代表的Rootkit

3、,用于實(shí),用于實(shí)現(xiàn)自身及系統(tǒng)中特定資源和活動(dòng)的隱藏,破壞可信任現(xiàn)自身及系統(tǒng)中特定資源和活動(dòng)的隱藏,破壞可信任計(jì)算機(jī)的完整性計(jì)算機(jī)的完整性 。vBootkitBootkit通過(guò)感染可引導(dǎo)的外設(shè)固件和關(guān)鍵系統(tǒng)文件,通過(guò)感染可引導(dǎo)的外設(shè)固件和關(guān)鍵系統(tǒng)文件,駐留在整個(gè)系統(tǒng)的啟動(dòng)過(guò)程。駐留在整個(gè)系統(tǒng)的啟動(dòng)過(guò)程。 嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室4/28惡意代碼掃描檢測(cè)技術(shù)的原理與不足惡意代碼掃描檢測(cè)技術(shù)的原理與不足v 原理原理 后置式后置式 感染感染-檢測(cè)檢測(cè)-清除清除v 問(wèn)題問(wèn)題 掃描檢測(cè)類防護(hù)系統(tǒng)工作時(shí)往往已經(jīng)由于惡意軟件的成功感染掃描檢測(cè)類防護(hù)系統(tǒng)工作時(shí)往往已經(jīng)由于惡意軟件的成功感染失去了本身以及

4、系統(tǒng)程序的可信任的執(zhí)行環(huán)境失去了本身以及系統(tǒng)程序的可信任的執(zhí)行環(huán)境 失去了原本的處于失去了原本的處于Ring0高特權(quán)級(jí)別的掃描檢測(cè)優(yōu)勢(shì)高特權(quán)級(jí)別的掃描檢測(cè)優(yōu)勢(shì)v 缺點(diǎn)缺點(diǎn) 1.掃描檢測(cè)的有效性往往無(wú)法保證;而且即便發(fā)現(xiàn)了惡意軟件掃描檢測(cè)的有效性往往無(wú)法保證;而且即便發(fā)現(xiàn)了惡意軟件的存在,卻由于感染破壞的不可恢復(fù)性失去了掃描檢測(cè)的實(shí)際的存在,卻由于感染破壞的不可恢復(fù)性失去了掃描檢測(cè)的實(shí)際意義。意義。 2.給內(nèi)存、給內(nèi)存、CPU等公共的可利用系統(tǒng)資源造成了較高的掃描檢等公共的可利用系統(tǒng)資源造成了較高的掃描檢測(cè)開(kāi)銷。測(cè)開(kāi)銷。嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室5/28惡意代碼掃描檢測(cè)技術(shù)的原理與不足惡意

5、代碼掃描檢測(cè)技術(shù)的原理與不足v 掃描技術(shù)掃描技術(shù) 原理:特征碼匹配原理:特征碼匹配 不足:不足:l 維護(hù)龐大的特征碼搜索網(wǎng)維護(hù)龐大的特征碼搜索網(wǎng)l 無(wú)法掃描變形、加殼、多態(tài)等惡意代碼無(wú)法掃描變形、加殼、多態(tài)等惡意代碼v 檢測(cè)技術(shù)檢測(cè)技術(shù) 基于特征碼的內(nèi)核內(nèi)存掃描基于特征碼的內(nèi)核內(nèi)存掃描 啟發(fā)式掃描啟發(fā)式掃描l 原理:異常行為加權(quán)原理:異常行為加權(quán)l(xiāng) 不足:對(duì)系統(tǒng)性能影響較大不足:對(duì)系統(tǒng)性能影響較大 基于內(nèi)存完整性校驗(yàn)基于內(nèi)存完整性校驗(yàn)l 原理:對(duì)比系統(tǒng)磁盤文件來(lái)發(fā)現(xiàn)隱藏痕跡原理:對(duì)比系統(tǒng)磁盤文件來(lái)發(fā)現(xiàn)隱藏痕跡l 不足:依賴磁盤文件的可信任性不足:依賴磁盤文件的可信任性 基于交叉視圖的檢測(cè)基于交

6、叉視圖的檢測(cè)l 原理:不同檢測(cè)路徑交叉對(duì)比原理:不同檢測(cè)路徑交叉對(duì)比l 不足:依賴各個(gè)檢測(cè)路徑的可信任性不足:依賴各個(gè)檢測(cè)路徑的可信任性嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室6/28主動(dòng)防御的不足以及行為特征監(jiān)測(cè)的必要主動(dòng)防御的不足以及行為特征監(jiān)測(cè)的必要v主動(dòng)防御主動(dòng)防御優(yōu)點(diǎn)優(yōu)點(diǎn)l前置式前置式原理原理l鉤掛某些關(guān)鍵的系統(tǒng)調(diào)用的執(zhí)行路徑以及直接對(duì)內(nèi)核對(duì)象監(jiān)控。鉤掛某些關(guān)鍵的系統(tǒng)調(diào)用的執(zhí)行路徑以及直接對(duì)內(nèi)核對(duì)象監(jiān)控。l為每個(gè)可疑的、關(guān)鍵的系統(tǒng)調(diào)用和直接內(nèi)核對(duì)象操作根據(jù)其潛在為每個(gè)可疑的、關(guān)鍵的系統(tǒng)調(diào)用和直接內(nèi)核對(duì)象操作根據(jù)其潛在的安全威脅給出對(duì)應(yīng)的處理規(guī)則的安全威脅給出對(duì)應(yīng)的處理規(guī)則也就是安全威脅列表。

7、也就是安全威脅列表。不足不足l單一的特定系統(tǒng)調(diào)用或者內(nèi)核對(duì)象的訪問(wèn),往往由于缺乏其發(fā)生單一的特定系統(tǒng)調(diào)用或者內(nèi)核對(duì)象的訪問(wèn),往往由于缺乏其發(fā)生的上下文環(huán)境的分析以及彼此間內(nèi)在關(guān)聯(lián)關(guān)系的分析的上下文環(huán)境的分析以及彼此間內(nèi)在關(guān)聯(lián)關(guān)系的分析l需要頻繁借助用戶的經(jīng)驗(yàn)來(lái)幫助主動(dòng)防御系統(tǒng)做出最終的裁決,需要頻繁借助用戶的經(jīng)驗(yàn)來(lái)幫助主動(dòng)防御系統(tǒng)做出最終的裁決,因此帶來(lái)不必要的高用戶交互性。因此帶來(lái)不必要的高用戶交互性。v行為特征監(jiān)測(cè)行為特征監(jiān)測(cè)行為特征行為特征彌補(bǔ)主動(dòng)防御的不足彌補(bǔ)主動(dòng)防御的不足嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室7/28主要內(nèi)容主要內(nèi)容v 概述與設(shè)計(jì)需求概述與設(shè)計(jì)需求v 行為特征剖析和基于行為

8、特征的形式化描述語(yǔ)言行為特征剖析和基于行為特征的形式化描述語(yǔ)言 行為特征剖析行為特征剖析l 行為特征的約束和限制條件行為特征的約束和限制條件l 典型典型R/Bootkit行為特征分析行為特征分析 形式化描述語(yǔ)言形式化描述語(yǔ)言l 形式化描述語(yǔ)言定義形式化描述語(yǔ)言定義l 使用形式化描述語(yǔ)言描述行為特征使用形式化描述語(yǔ)言描述行為特征v 方案設(shè)計(jì)與評(píng)估方案設(shè)計(jì)與評(píng)估v 總結(jié)與展望總結(jié)與展望嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室8/28典型典型R/Bootkit行為特征分析行為特征分析v約束和限制條件:約束和限制條件:是是R/Bootkit植入、感染、發(fā)作生命周期中必需的植入、感染、發(fā)作生命周期中必需的不屬于

9、普通應(yīng)用程序的正常行為范疇不屬于普通應(yīng)用程序的正常行為范疇 嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室9/28Rootkit行為特征分析行為特征分析Klog植入、感染示意圖植入、感染示意圖1.非常規(guī)進(jìn)駐內(nèi)核2.注冊(cè)到鍵盤設(shè)備堆棧的頂層3.讀取頂層設(shè)備的特定域中的掃描碼4.寫入到特定的磁盤文件嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室10/28形式化描述語(yǔ)言定義形式化描述語(yǔ)言定義v語(yǔ)義語(yǔ)義計(jì)算機(jī)系統(tǒng)的行為從本質(zhì)上來(lái)說(shuō)定義了一系列空間、計(jì)算機(jī)系統(tǒng)的行為從本質(zhì)上來(lái)說(shuō)定義了一系列空間、時(shí)間資源狀態(tài)以及針對(duì)資源的操作行為。用二元式的時(shí)間資源狀態(tài)以及針對(duì)資源的操作行為。用二元式的形式描述系統(tǒng)運(yùn)行形式描述系統(tǒng)運(yùn)行 行為如下:行

10、為如下:B=(S,P) 其中其中S是時(shí)間是時(shí)間/空間資源狀態(tài)的集合,空間資源狀態(tài)的集合,P是資源狀態(tài)遷是資源狀態(tài)遷移操作的集合。移操作的集合。P=p|p=s1-s2,s1,s2是是S集合的元素集合的元素 而惡意代碼的行為而惡意代碼的行為M是是B的子集。的子集。程序行為可以從程序行為可以從(Body),(Action),(Space resources),(Time Related Clause)四個(gè)安全屬性加以刻畫四個(gè)安全屬性加以刻畫 。嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室11/28形式化描述語(yǔ)言定義形式化描述語(yǔ)言定義v 語(yǔ)法語(yǔ)法 - if() ; - - - and - or - | - per

11、 嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室12/28形式化描述語(yǔ)言定義形式化描述語(yǔ)言定義v 基本元素類型基本元素類型 數(shù)據(jù)類型數(shù)據(jù)類型l 主體主體l 空間資源空間資源l 時(shí)間狀語(yǔ)時(shí)間狀語(yǔ) 操作類型操作類型l Ref XX as 參數(shù)參數(shù)YYl 。 控制類型控制類型l Denyl Allow 關(guān)系類型關(guān)系類型l Andl or嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室13/28使用語(yǔ)言描述行為特征使用語(yǔ)言描述行為特征v 行為特征行為特征status = ZwOpenSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,&objectAttribu

12、tes);BaseAddress=MapViewOfFile(hSection, FILE_MAP_READ|FILE_MAP_WRITE, 0, mapAddr, (gdt.Limit+1);v 形式化描述語(yǔ)言形式化描述語(yǔ)言SetSysInfo=(*OpenSection Ref pTempHandle as 參數(shù)參數(shù)0 )and (*MapViewOfSection Ref (*pTempHandle) as 參數(shù)參數(shù)0 ) ;嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室14/28使用語(yǔ)言描述行為特征使用語(yǔ)言描述行為特征Token規(guī)則范式規(guī)則范式監(jiān)測(cè)類范式規(guī)則監(jiān)測(cè)類范式規(guī)則控制類類范式規(guī)則控制類類范式

13、規(guī)則子行為子行為A1子行為子行為A2子行為子行為C子行為子行為B主體主體操作操作空間空間時(shí)間時(shí)間OpenSectionRefAs參數(shù)參數(shù)0Handle主體主體操作操作空間空間時(shí)間時(shí)間MapViewRefHandleToken函數(shù)變量函數(shù)變量語(yǔ)法層次圖語(yǔ)法層次圖組合關(guān)系時(shí)序關(guān)系嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室15/28語(yǔ)言示例語(yǔ)言示例/數(shù)據(jù)類變量實(shí)例化Handle * TempHandle;路徑 csDriverPath;csDriverPath=” *.sys”;/操作類變量實(shí)例化檢測(cè)類范式規(guī)則 DetectSysAll,AbnormalEnter,Bootkit;控制類檢測(cè)類范式規(guī)則 Ctl

14、=Deney;動(dòng)作 LoadDrv,OpenPhysSec,SetDbgCtl,SetSysInfo;SSDT主體 ssLdrv=*LoadDriver;/DetectSysAll= LoadDrv | OpenPhysSec | SetDbgCtl | SetSysInfo|;SetSysInfo=(*OpenSection Ref TempHandle as 參數(shù)0 )and (*MapViewOfSection Ref (*TempHandle) as 參數(shù)0 ) ;if (DetectAll) Deny;嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室16/28主要內(nèi)容主要內(nèi)容v概述與設(shè)計(jì)需求概述與設(shè)

15、計(jì)需求v行為特征剖析和基于行為特征的形式化描述語(yǔ)行為特征剖析和基于行為特征的形式化描述語(yǔ)言言v方案設(shè)計(jì)與評(píng)估方案設(shè)計(jì)與評(píng)估v總結(jié)與展望總結(jié)與展望嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室17/28方案設(shè)計(jì)與評(píng)估方案設(shè)計(jì)與評(píng)估v整體框架整體框架基于行為監(jiān)測(cè)的基于行為監(jiān)測(cè)的Anti-R/Bootkit原型系統(tǒng)原型系統(tǒng):BDv關(guān)鍵模塊關(guān)鍵模塊行為語(yǔ)義分析行為語(yǔ)義分析v評(píng)估評(píng)估已知已知R/Bootkit非非R/Bootkit未知未知R/Bootkit嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室18/28整體框架整體框架優(yōu)先啟動(dòng)模塊行為截獲模塊Ring3Ring0行為語(yǔ)義解析已知、未知R/Bootkit規(guī)則編譯器規(guī)則腳本探針

16、布控行為匹配庫(kù)生成輸入生成查閱結(jié)果結(jié)果解析觸發(fā) 判斷探針部署庫(kù)部署嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室19/28行為語(yǔ)義解析行為語(yǔ)義解析嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室20/28評(píng)估評(píng)估v已知已知R/Bootkit漏報(bào)率漏報(bào)率虛報(bào)率虛報(bào)率v非非R/Bootkit虛報(bào)率虛報(bào)率v未知未知R/Bootkit漏報(bào)率漏報(bào)率虛報(bào)率虛報(bào)率嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室21/28已知已知R/Bootkit評(píng)估評(píng)估v漏報(bào)率低漏報(bào)率低(左邊綠色圖為左邊綠色圖為BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙劍狙劍%0%50%66%33%0嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室22/28

17、已知已知R/Bootkit評(píng)估評(píng)估v虛報(bào)率低虛報(bào)率低(左邊綠色圖為左邊綠色圖為BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙劍狙劍%0%22%17%45%36嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室23/28非非R/Bootkit評(píng)估評(píng)估v虛報(bào)率較低虛報(bào)率較低(左邊綠色圖為左邊綠色圖為BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙劍狙劍%33%0%68%0%80嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室24/28未知未知R/Bootkit評(píng)估評(píng)估v漏報(bào)率低漏報(bào)率低(左邊綠色圖為左邊綠色圖為BD)%0%0%33%33%66%66%100%

18、100BDAvast360卡巴卡巴狙劍狙劍%0%80%80%60%0嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室25/28未知未知R/Bootkit評(píng)估評(píng)估v虛報(bào)率低虛報(bào)率低(左邊綠色圖為左邊綠色圖為BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙劍狙劍%0%0%0%0%33嵌入式系統(tǒng)實(shí)驗(yàn)室嵌入式系統(tǒng)實(shí)驗(yàn)室26/28總結(jié)與展望總結(jié)與展望v 總結(jié)總結(jié) 總結(jié)出總結(jié)出Bootkti/Rootkit惡意進(jìn)駐內(nèi)核行為特征惡意進(jìn)駐內(nèi)核行為特征 提出了形式化描述語(yǔ)言規(guī)范提出了形式化描述語(yǔ)言規(guī)范 設(shè)計(jì)與實(shí)現(xiàn)了基于惡意進(jìn)駐內(nèi)核行為特征的設(shè)計(jì)與實(shí)現(xiàn)了基于惡意進(jìn)駐內(nèi)核行為特征的Anti-R/Bootkit原型系統(tǒng)原型系統(tǒng) v

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論