專利名稱:基于行為特征的BIOS固件Rootkit檢測方法
技術領域:
本發明涉及一種基于程序行為特征的針對計算機BIOS固件Rootkit的檢測方法, 屬于計算機安全技術領域,適用于對BIOS固件中植入Rootkit的檢測。
背景技術:
圍繞著爭奪系統控制權的較量已經透過應用程序和操作系統內核的防線,深入到 計算機的底層器件,很多底層硬件設備成為雙方較量的新戰場。BIOS (Basic In and Out System)固件在計算機中主要執行POST (Power On Self Test),主要負責硬件檢測和初始 化硬件,在自檢和自舉階段對外設識別,將Options ROMs中的代碼拷貝到內存中執行。BIOS 直接控制硬件的工作,對各種軟硬件資源的訪問基本不受限制。BIOS中的代碼在操作系統 裝載啟動之前運行,在BIOS中植入的惡意代碼能夠繞過幾乎所有的基于操作系統實現的 安全機制,因此,具有隱蔽性好,查殺難度大,抗清除等特點,是實現“永久控制”思想的一種 有效嘗試。BIOS已經成為惡意代碼編制者的新目標,BIOS Rootkit是這些惡意代碼中危害 程度較大的一種。通常,一種惡意代碼出現以后隨之而來的是一系列的變種。這些變種與原始版本 的惡意代碼相比,具有功能相似的特點,但因其使用了混淆技術,可以有效逃避特征碼匹配 檢測,這給傳統的檢測方法帶來挑戰。BIOS Rootkit也不例外。當前應用的BIOS Rootkit 檢測方法主要有代碼驗證、完整性與特征碼結合檢測、動態監控等方法。代碼驗證是通過一 個執行模塊在固件代碼執行之前對其進行驗證,經過驗證保證了控制流安全,運行空間安 全和堆棧的安全。執行驗證的模塊對BIOS固件代碼所使用的編譯器有嚴格的限制,同時 要求程序具有良好的控制流結構和規范,這些嚴格的要求限制了該方法的適用范圍和檢測 能力。完整性與特征碼相結合的方法通過對BIOS鏡像文件進行校驗,如果校驗和與該種型 號的BIOS鏡像文件出廠時的校驗和不匹配,則認為不安全的。但是校驗和的不匹配并不能 確定具體的原因,通過安全隱患特征庫進行特征比對,如果匹配成功,那么就確定了具體的 安全漏洞。這種方法的局限在于廠商通常會對BIOS的一些缺陷和安全漏洞進行修補,缺陷 特征庫的構建需要追蹤不同的廠商和不同型號的BIOS鏡像文件,通過專業人員的分析構 建。動態監控的方法可以認為是代碼驗證方法的一種變形,通過在BIOS中插入適當的模塊 來監控BIOS執行過程中的關鍵位置,如果關鍵位置不符合預設條件,那么判定該BIOS不安 全。動態監控方法的限制在于需要對整個計算機系統的結構進行修改,包括CPU和主板。綜上所述,BIOS Rootkit具有隱蔽性強、檢測難度大、危害程度高等特點。目前針 對BIOS Rootkit的檢測方法存在不足動態的方法需要修改原有的目標代碼,對檢測能力 的擴展性較差;用缺陷特征庫的方法需要追蹤不同型號和版本的變化,對于BIOS固件代碼 分析的更新可能存在沖突,通用性不能滿足需求。中國發明專利ZL 200610081081. 8 (授權公告號CN100451987C)公開了一種對計 算機BIOS固件進行安全風險檢測的系統和方法,通過對BIOS采樣和解析BIOS影像文件; 然后掃描BIOS的各種隱患;度量BIOS代碼的完整性;輸出檢測結果,據此對BIOS進行安
4全修補。能夠有效地減少、降低、消除計算機BIOS存在的安全漏洞和安全隱患,防止計算機 BIOS中代碼被惡意修改,或被植入木馬程序,從硬件層和固件層共同增強計算機信息系統 安全,防備針對計算機BIOS而發生的各種攻擊等安全事故,為高安全計算環境和網絡環境 的信息安全、信息保密提供可靠的終端安全防范和全面的保護。其存在的不足是代碼經過 混淆變換很容易將變換前二進制級別的特征抹除,具有通用行為的木馬經過變形后其二進 制的特征完全不同,如果要精確的檢測新的木馬變種就需要根據變種不斷的在特征庫中添 加新特征。同時還需要專業人員來追蹤BIOS廠商發布的漏洞補丁和新增功能模塊,對特征 庫進行維護,工作量非常大,而且很難跟上惡意代碼的迅速增長。
發明內容
本發明針對現有技術不足,提出一種基于行為特征的BIOS固件Rootkit檢測方 法,該方法基于對BIOS鏡像文件進行逆向分析,采用了語義模板的形式對可疑行為進行定 義,通過三個層次篩選的方法定位可疑行為,再利用模式匹配的方法對行為的可疑度進行 確定。本發明主要用于應對利用BIOS實現的攻擊和可能出現的BIOS Rootkit0本發明所采用的技術方案
一種基于行為特征的BIOS固件Rootkit檢測方法,包括步驟a,對待分析的二進制 BIOS鏡像文件進行解析,通過識別解析出的BIOS模塊的特征字,從數據庫中讀取出指導代 碼逆向的信息和該模塊邏輯功能的形式化的描述信息;
步驟b,對解析出的二進制文件,按靜態控制流的方式對代碼進行逆向,將代碼片段中 的指令語義等價的映射到中間表示,構建程序的控制流圖CFG ;
步驟c,先對中間表示進行簡化,然后根據行為特征庫DB2中存儲的可疑BIOS Rootkit 行為進行行為特征提取,根據行為特征庫中的行為模板提取候選行為集合,采用逐步篩選 的方法提取行為特征;
步驟d,進行惡意行為可疑度判斷,輸出檢測結果,根據BIOS Rootkit模式庫DB3對所 提取的可疑BIOS Rootkit行為進行組合,不同的組合模式中對行為的可疑度進行加權,按 照匹配程度進行Rootkit檢測結果的生成。所述的基于行為特征的BIOS固件Rootkit檢測方法,根據行為特征數據庫DB2中 定義的可疑行為進行行為特征提取,行為特征數據庫DB2中的可疑行為采用語義模板的形 式進行定義,將相同邏輯功能的行為定義為一個模板,根據語句之間的相關性對語句之間 賦予不同的關聯關系。所述的基于行為特征的BIOS固件Rootkit檢測方法,語義模板采用類似c語言的 表達式描述內存和寄存器的操作結果,表達式中的參數分別為寄存器、內存地址和立即數, 行為的生成范式如下
BH — S (S)
S · S S & S S + S
S —εIα其中BH表示行為,《表示構成行為的語句;ε表示空;關系符號解釋如下·表示順序 關系,&表示與關系,+表示或關系,()表示優先級;以上關聯關系描述行為的語句之間
的控制流相關性,關聯關系之間滿足一定的優先級關系,即()>,>&>+。所述的基于行為特征的BIOS固件Rootkit檢測方法,在中間表示上,用抽象語法 樹的形式定義語句,語句的類型分為跳轉、調用、賦值指令三種類型,行為特征提取方法是 以在行為模板與中間表示之間建立綁定關系再進行篩選的方式進行提取,提取過程通過三 個篩選步驟來實現首先,對輸入的中間表示序列按照模板中語句類型、語句數目、語句之 間的聯系這三個條件進行劃分,建立模板語句與中間表示語句之間的綁定關系,將不符合 條件的語句排除實現初步篩選;其次,對劃分后的每一個中間表示語句序列集合進行變量 引用關系判斷,將不符合模板中對應語句中變量引用關系的集合刪除,實現第二遍篩選;最 后,對剩余的中間表示集合中的變量的取值范圍與模板中對應變量進行匹配,將不滿足關 系的集合刪除,從而得到所滿足行為模板所定義的行為。所述的基于行為特征的BIOS固件Rootkit檢測方法,根據BIOS鏡像文件特征字 從數據庫DBl中讀取鏡像文件所屬的BIOS型號和鏡像文件的版本號,利用數據庫DBl中 對該版本號的BIOS鏡像文件結構特征的描述來指導對文件格式的解析,針對其鏡像文件 所使用的壓縮算法和結構特征對提取出的壓縮模塊進行解壓,獲取鏡像文件完整的結構視 圖,實現初步的代碼和數據分離。所述的基于行為特征的BIOS固件Rootkit檢測方法,對提取出的可疑行為進行分 析,BIOS固件具有一定的特殊性,不同的代碼模塊具有不同的邏輯功能,同一種行為在不同 的代碼模塊中具有的可疑程度不同,結合鏡像文件的結構視圖和Rootkit模式進行可疑度 判定,將提取的行為與步驟a中讀取的功能描述信息進行比較,如果在某個模塊中提取的 行為恰好是該模塊正常情況下具有的邏輯功能,那么將該行為的可疑度設置為一個較低的 值,否則設置為一個較高的值,
所述的基于行為特征的BIOS固件Rootkit檢測方法,在步驟d中,依據數據庫DB3中存 儲的BIOS Rootkit模式對可疑行為進行匹配,將可疑行為按照Rootkit模式進行組合,通 過對組合后的Rootkit可疑程度的比較,匹配程度較高的模式作為識別檢測到的Rootkit 模式,在不同的模式中行為之間的聯系不同,因此行為所具有的權值也不同,DB3中組成該 Rootkit模式的各個行為權值進行加權,最后按照匹配程度最高的BIOS Rootkit模式作為 檢測到的BIOS Rootkit輸出,將每個行為的可疑度與行為的權值相乘求和作為Rootkit的 可疑程度提交給用戶。本發明的積極效果
1、本發明基于行為特征的BIOS固件Rootkit檢測方法,能夠有效的檢測出在BIOS中 植入的Rootkit,從固件層面保護計算機系統的安全,防范計算機系統安全攻擊事故的發 生。本發明針對BIOS固件中已知和未知的Rootkit進行檢測,能夠有效降低基于固件的惡 意代碼檢測的復雜性,避開已有檢測方法的一些固有的缺陷,具有一定的抵抗代碼混淆的 能力,從而提高檢測的適應性和準確性。
2、本發明基于行為特征的BIOS固件Rootkit檢測方法,為分析和檢測基于固件的 惡意代碼提供新的輔助工具和技術手段,能幫助計算機安全專家提高工作效率,進一步提 升計算機固件安全防護類軟件的防護能力。3、本發明基于行為特征的BIOS固件Rootkit檢測方法,基于對BIOS進行逆向反 編譯,通過語義的方法提取BIOS Rootkit可疑行為,對可疑行為進行綜合裁決,給出被植入 Rootkit的可疑程度,避開了傳統固件安全檢測方法的弱點和缺陷,具有較好的通用性和可 擴展性。
圖1為本發明基于行為特征的BIOS固件Rootlit檢測方法系統實現框架圖; 圖2為中斷向量重定向行為樹結構示例圖。
具體實施例方式實施例一參見圖1,本發明基于行為特征的BIOS固件Rootkit檢測方法具體實 施過程如下
1、文件格式解析
文件格式解析首先從BIOS鏡像文件中提取出所屬的固件型號以及鏡像文件的版本號 字段,然后根據這些信息從數據庫DBl中讀取對應的鏡像文件的結構信息、模塊特征和具 體壓縮算法,根據這些信息進行鏡像文件拆分。對于壓縮模塊進行解壓縮,提取整個鏡像 文件的結構視圖。對于關鍵的模塊,通過對BIOS規范和結構特點分析,事先建立指導逆向 解析的信息和形式化的功能描述信息存儲與DBl中。通過特征字段識別出關鍵模塊,從數 據庫DBl中讀取出指導逆向的信息來輔助對二進制模塊的逆向,功能描述信息用來輔助檢 測。2、二進制文件逆向
對于從鏡像文件中分離出來的代碼片段,按照靜態控制流的方式進行逆向,將代碼中 的指令映射到中間表示RTL,并提取出代碼片段的控制流圖。通過識別模式切換指令和特征 字來進行模式識別和切換。在BIOS代碼中一些特殊的地址含義,這些特殊的地址通常是一 些BIOS Rootkit經常操作的對象,在逆向過程中對指針的引用情況進行標記,供行為提取 模塊使用。3、行為提取
為了降低行為提取的復雜度,首先對中間表示進行規范化處理。對于代碼片段的中間 表示進行表達式的復制傳播,通過傳播表達式中變量使用的位置都替換成變量被定義時的 表達式。經過傳播之后,簡單操作的信息得到積累,刪除無用的表達式后,中間表示的規模 變小,其蘊含的信息變得豐富。根據行為特征庫中定義的行為模板,對中間表示進行篩選提 取行為。在行為提取時,首先關注帶有標記的指針引用語句,以加快行為提取速度。4、可疑度判定
在可疑度判定之前,對行為的可疑度進行調整。以降低誤報率。用實際提取出的行為 所能實現的功能與從數據庫中讀取出來的對應模塊的功能描述信息進行比較,如果行為具 有的功能超過了數據庫中該模塊定義的功能范圍,那么對行為的可疑度不變,否則降低其可疑程度。按照Rootkit模式庫中定義的BIOS Rootkit模式,對提取的行為進行組合。相 同的行為在不同的BIOS Rootkit模式中,完成的功能不同,因此對行為的可疑度的加權亦 不同。對組合的行為進行模式匹配,按照匹配程度選擇匹配程度較高的模式作為最終檢測 到的BIOS Rootkit,將行為可疑度加權后的總和作為BIOS Rootkit的可疑度以及可能造成 的危害輸出給用戶。實施例二 參見圖1、圖2。本實施例基于行為特征的BIOS固件Rootkit檢測方 法,采用以下步驟對BIOS鏡像文件進行Rootkit進行檢測
a. 對待分析的BIOS 二進制鏡像文件進行解析,根據BIOS鏡像文件特征字 從數據庫DBl中讀取鏡像文件所屬的BIOS型號和鏡像文件的版本號,針對其鏡像文件 所使用的壓縮算法和結構特征對提取出的壓縮模塊進行解壓。獲取鏡像文件完整的結構視 圖,實現初步的代碼和數據分離。b.對提取出來的二進制代碼模塊進行逆向,將代碼片段中的指令語義等價 的映射到中間表示,構建出程序的控制流圖CFG,標記出指針的引用情況。c. 根據數據庫DB2中定義的可疑行為,進行行為提取。數據庫DB2中的可
疑行為采用語義模板的形式進行定義,在提取行為之前需要對中間表示進行規范化處理。d.對提取出的可疑行為進行分析,將可疑行為按照Rootkit模式進行組合,
通過對組合后的Rootkit可疑程度的比較,判斷BIOS是否被植入Rootkit工作。BIOS 固件具有一定的特殊性,不同的代碼模塊具有不同的邏輯功能,同一種行為在不同的代碼 模塊中具有的可疑程度不同,結合鏡像文件的結構視圖和Rootkit模式進行可疑度判定, 生成判定結果。在步驟a中,雖然不同型號的BIOS固件其鏡像文件結構存在差異,但是都遵循一 定的規范,具有模塊化結構的特點。綜合不同型號的BIOS鏡像文件結構特點,建立一個通 用的抽象結構框架。在DBl中存儲各種型號的BIOS固件的鏡像文件結構特征,代碼入口點 位置、模塊長度、壓縮算法和特征字段等。首先,進行鏡像文件對應BIOS固件型號和版本號 的確定,然后根據對應的文件結構特征進行鏡像文件的模塊拆分,最后根據某些模塊的特 征碼進行功能識別。在步驟b中,按靜態控制流的方式對代碼進行逆向,采用RTURegister Transfer List)作為指令語義描述語言,將指令映射到中間表示結構,并提取出控制流圖CFG。在步驟c中,先對中間表示進行簡化,然后根據行為特征庫DB2中存儲的可疑BIOS Rootkit行為進行行為提取。可疑BIOS Rootkit行為被定義為實現BIOS Rootkit所必須的一些操作。這些操 作具有一定的邏輯功能,用語義模板對其進行描述。語義模板采用類似C語言的表達式來表示,表達式中的參數分別為寄存器、內存 地址和立即數。行為的生成范式如下
BH — S (S)
S · S S & S其中BH表示行為,OE表示構成行為的語句;ε表示空;關系符號解釋如下·表示順序 關系,兩端的子項順序不能互換位置,滿足左結合規則;滿足傳遞性質;&表示與關系,兩
端的子項可以整體互換位置,滿足左結合規則;滿足交換和傳遞性質;+表示或關系,兩端
的子項中選取其中一項,滿足左結合規則;滿足交換和傳遞性質;()表示優先級。以上關
聯關系描述行為的語句之間的控制流相關性,關聯關系之間滿足一定的優先級關系,即()
>->&>+。Ot表示構成行為的語句;ε表示空;在中間表示上,用抽象語法樹的形式定義語
句,語句的類型分為跳轉、調用、賦值指令三種類型。跳轉類型只有一個操作數,表示目標地 址,用一元表達式描述;調用類型將函數調用和中斷以及I/O等統一起來,一般的函數調用 語句的操作數是目標地址,中斷和I/O用抽象的函數來進行解析;賦值類型使用二元表達 式表示,表達式左部表示目的地址,右部表示源地址。在程序中指令的操作數不同,其操作 的對象也不同,對應于行為中的語句對表達式中變量的取值范圍加以約束,來具體刻畫行 為,在同一個行為中,不同語句中相同的變量滿足相同的約束條件。一個行為可以用一個樹結構來表示,如圖2所示,表示向量號為(T0X2e之間的中 斷向量重定向行為。行為提取方法是采用在行為模板和中間表示中建立連接的形式進行行為特征提 取,按照不同的約束條件進行篩選,一個行為提取的三個篩選步驟可以用如下的三個函數
來表不。對于一個中間表示序列PIRia1, a2, ···, } STypesMatch :BH XPIR — TBL
TBL = {\aiy ..., a」}, {ak, ..., ar}, ..., {ax, ..., ay}} SParaMatch: BH XTBL — TBH TBH = {{ak, ...,ar},...,{ax, ...,ay}} SBoundMatch: BH XTBH — {{ax,…,ay},Φ}
其中,函數STypesMatch接收一個行為模板和一段中間表示,按照模板中語句的類型、 語句的數目以及語句之間的關系對中間表示進行劃分,在行為的語句和中間表示之間建立 語句綁定。行為的語句之間的關聯關系使得它們之間的順序變得靈活,在一段中間表示上 滿足行為類型的劃分方法有多種,每一種劃分提取出來的中間表示都有可能是行為模板的 實例,一起構成了候選行為實例集合TBL。函數SParaMatch接收行為模板和候選行為實例集合TBL,建立語句表達式的變量 之間的綁定關系,根據行為模板語句表達式中變量的引用關系進行進一步篩選。將不滿足 模板中語句表達式的變量引用關系的行為實例刪除,得到精簡的行為候選集合ΤΒΗ。
9
函數SBoimdMatch接收行為模板和精簡行為候選集合TBH,對變量進行約束條件 匹配。對不滿足約束條件的候選行為刪除,如果精簡行為候選集合為空,那么認為沒有識別 出行為,如果非空則認為識別出行為模板定義的行為。由于指令直接映射的中間表示結構簡單,這導致中間表示的規模較大,不利于行 為提取。在行為提取前期,對中間表示進行規范化處理,縮減中間表示的規模。包括表達 式的復制傳播,對一些無用的表達式進行清除。在步驟d中,依據數據庫DB3中存儲的BIOS Rootkit模式對可疑行為進行匹配,匹 配程度進行可疑性判決。在BIOS中,每一個模塊都有一定的邏輯功能,當某一模塊被植入 Rootkit,那么Rootkit必然會使用以下兩種方式之一來實現惡意功能=Rootkit利用該模 塊中已有的操作來實現,或者在該模塊中添加額外的功能來實現。有一部分Rootkit的行 為的邏輯功能與正常BIOS某些模塊的功能相同,通常完全利用BIOS模塊本身提供的功能, 在模塊中添加其它功能的情況較少。對所提取的行為所在的模塊進行功能比對,如果在某 個模塊中提取的行為恰好是該模塊正常情況下具有的邏輯功能,那么將該行為的可疑度設 置為0,否則根據庫中定義的值進行設置。最后按照匹配程度最高的BIOS Rootkit模式作 為檢測到的BIOS Rootkit輸出,將行為的可疑度進行加權求和即為可疑程度顯示給用戶。
10
權利要求
一種基于行為特征的BIOS固件Rootkit檢測方法,其特征是包括以下步驟步驟a,對待分析的二進制BIOS鏡像文件進行解析,識別BIOS模塊的特征字,根據特征字讀取數據庫中存儲的兩類信息,一類是模塊結構信息,用于輔助逆向分析,另一類是對該模塊的邏輯功能的形式化描述信息,用于輔助檢測;步驟b,對解析出的二進制文件,按靜態控制流的方式對代碼進行逆向分析,并進行代碼間隙掃描,通過對代碼片段中的指令進行語義等價的映射方式,將代碼片段映射到中間表示結構,構建程序的控制流圖CFG;步驟c,先對中間表示進行簡化,然后根據行為特征庫DB2中存儲的可疑BIOS Rootkit行為進行行為特征提取,根據行為特征庫中的行為模板提取候選行為集合,采用逐步篩選的方法實現可疑行為定位和行為特征提取;步驟d,進行惡意行為可疑度判斷,輸出檢測結果,根據BIOS Rootkit模式庫DB3對所提取的可疑BIOS Rootkit行為進行行為關聯性分析,將提取的行為進行組合與模式庫中的BIOS Rootkit模式進行匹配,匹配程度最高的模式作為檢測出的BIOS Rootkit實例,并按照各個行為在該模式中的比重賦予不同的權值,最后計算出可疑程度。
2.根據權利要求1所述的基于行為特征的BIOS固件Rootkit檢測方法,其特征在于 根據行為特征數據庫DB2中定義的可疑行為進行行為特征提取,行為特征數據庫DB2中的 可疑行為采用語義模板的形式進行定義,將相同邏輯功能的行為定義為一個模板,根據語 句之間的相關性對語句之間賦予不同的關聯關系。
3.根據權利要求2所述的基于行為特征的BIOS固件Rootkit檢測方法,其特征在于 語義模板采用表達式描述內存和寄存器的操作結果,表達式中的變量分別為寄存器、內存 地址和立即數,行為的生成范式如下
4.根據權利要求3所述的基于行為特征的BIOS固件Rootkit檢測方法,其特征在于 在中間表示上,語句的類型分為跳轉、調用、賦值指令三種類型,用抽象語法樹的形式定義 語句,按照模板中語句類型、語句數量、語句之間的關聯關系對輸入的中間表示序列進行劃 分,并建立中間表示語句和模板語句之間的綁定關系,通過這種綁定關系定位所識別的行 為在代碼中的位置。
5.根據權利要求1、2、3或4所述的基于行為特征的BIOS固件Rootkit檢測方法,其 特征在于采用在行為模板和中間表示中建立綁定關系并多次篩選的形式進行行為特征提 取,根據行為模板的定義在中間表示上提取出語句的數目、類型匹配的中間表示作為候選行為;對候選行為進行變量引用關系匹配和變量約束條件匹配,篩選出最終滿足行為模板 的行為。
6.根據權利要求5所述的基于行為特征的BIOS固件Rootkit檢測方法,其特征在于 根據BIOS鏡像文件特征字從數據庫DBl中讀取鏡像文件所屬的BIOS型號和鏡像文件的版 本號,利用數據庫DBl中對該版本號的BIOS鏡像文件結構信息來指導對鏡像文件中各個模 塊的解析和逆向,提取其中的壓縮模塊進行解壓,獲取鏡像文件完整的結構視圖,實現初步 的代碼和數據分離。
7.根據權利要求6所述的基于行為特征的BIOS固件Rootkit檢測方法,其特征在于 對提取出的可疑行為進行分析,對所提取的行為與步驟a中提取的功能描述信息進行比 對,如果在某個模塊中提取的行為恰好是該模塊正常情況下具有的邏輯功能,那么將該行 為的可疑度設置為一個較低的值,否則設置一個較高的值,根據BIOS固件不同的代碼模塊 具有不同的邏輯功能,同一種行為在不同的代碼模塊中具有的可疑程度不同,對行為進行 關聯性分析,結合鏡像文件的結構視圖對Rootkit模式進行可疑度裁決,以降低誤報率。
8.根據權利要求7所述的基于行為特征的BIOS固件Rootkit檢測方法,其特征在于 在步驟d中,依據數據庫DB3中存儲的BIOS Rootkit模式對可疑行為的組合進行匹配,將 可疑行為按照Rootkit模式進行組合,通過對組合后的Rootkit可疑程度的比較,匹配程度 較高的模式作為識別檢測到的Rootkit模式,在不同的模式中行為之間的聯系不同,行為 所具有的權值也不同,DB3中組成該Rootkit模式的各個行為權值進行加權最后按照匹配 程度較高的BIOS Rootkit模式作為檢測到的BIOS Rootkit輸出,將行為的可疑度進行加 權求和即為可疑程度顯示給用戶。
全文摘要
本發明涉及一種基于程序行為特征的針對計算機BIOS固件Rootkit的檢測方法,屬于計算機安全技術領域,主要用于應對利用BIOS實現的攻擊和可能出現的BIOSRootkit。所述基于行為特征的BIOSRootkit檢測方法,包括步驟a,對待分析的二進制BIOS鏡像文件進行解析,步驟b,對解析出的二進制文件,按靜態控制流的方式對代碼進行逆向,將代碼片段中的指令語義等價的映射到中間表示,構建程序的控制流圖CFG;步驟c,先對中間表示進行簡化,然后根據行為特征庫DB2中存儲的可疑BIOSRootkit行為進行行為特征提取,根據行為特征庫中的行為模板提取候選行為集合,采用逐步篩選的方法提取行為特征;步驟d,進行惡意行為可疑度判斷,輸出檢測結果。
文檔編號G06F21/00GK101976319SQ201010553088
公開日2011年2月16日 申請日期2010年11月22日 優先權日2010年11月22日
發明者張平, 李清寶, 郭致昌 申請人:張平