一種面向異構BIOS環境的Rootkit通用性檢測方法，該方法利用逆向分析技術對多種BIOS環境的具體結構特征進行分析，結合實際可應用的異構BIOS環境的Rootkit樣本，分析和整理得到同一種BIOS環境下不同樣本的共同感染點和模塊，同時，結合可信計算技術，建立3條可信鏈和確定需要檢測的模塊，系統啟動過程中嵌入檢測模塊，通過對比未感染系統的數據和檢測模塊得到的校驗數據，實現對BIOS文件和Windows系統文件初始化、內核加載過程和內核初始化這3個階段的檢測，并對檢測出感染痕跡的模塊進行修復。該方法能夠有效檢測出計算法系統感染了Rootkit，并且在面向異構BIOS環境時具有通用性，高準確性，屬于惡意代碼檢測領域。

技術領域

本發明給出了一種面向異構BIOS環境的Rootkit通用性檢測方法，主要解決在未知BIOS類型環境中，如何判斷是否感染惡意病毒Rootkit并恢復被破壞的BIOS環境等問題，涉及逆向分析技術和可信計算技術，屬于惡意代碼檢測領域。

背景技術

Rootkit是一種特殊的惡意軟件，是攻擊者在入侵電腦系統之后，用于維持自身的超級用戶最高訪問權限、創建后門、隱藏對系統資源訪問和攻擊痕跡等的工具集。1994年2月首先使用了Rootkit這個名詞。Rootkit不同于普通的病毒，一般不會影響主機的運行速度。攻擊者通常找出目標主機上的漏洞，在獲得存在漏洞的系統的訪問權限之后，攻擊者便可手動安裝Rootkit。Rootkit具有隱藏功能，很難被使用者和其他軟件察覺。因此，Rootkit一般被用于竊取目標主機信息。一旦它被植入目標主機，就隱藏自身，伺機而動，等待重要數據的出現。

Rootkit最大的特點就是具有很強的隱蔽性，一旦系統被安裝了Rootkit，管理員將很難發現攻擊者的存在。即便在系統中發現了Rootkit，因為很難得知它在系統存在的時長和計算對系統造成的損失，所以能夠采取的補救措施也較為有限。由此可見，預防Rootkit入侵主機和及時檢測出Rootkit成為避免損失的最好方法。Rootkit也一直是研究的熱點問題，不少學者和黑客都在這一領域做出很大貢獻。

目前，關于Rootkit的研究大多只針對一種BIOS或一種應用環境進行。在計算機發展過程中，主流BIOS主要包括Legacy BIOS和UEFI。隨著用戶對系統性能要求的提高，加入了開機引導和應用預緩存等技術的UEFI得到廣泛應用。但是，很多政府部門、高校和企業的局域網中，仍有很多Legacy BIOS存在。因此，Rootkit等惡意代碼需要滿足在異構BIOS環境中應用的要求。

Legacy BIOS和UEFI是兩種完全不同的引導方式。Legacy BIOS是傳統BIOS，支持磁盤分區為MBR結構，在Legacy BIOS模式下安裝的系統只能在該種模式下進入系統；UEFI是新式的BIOS，該模式下安裝的系統只能用UEFI模式引導，只支持64位系統且磁盤分區必須為GPT結構。相較于MBR分區方案，GPT提供了更加靈活的磁盤分區機制，允許大于2TB的卷容量。Legacy BIOS按結構又分為Award BIOS和Phoenix BIOS，兩種BIOS的運行流程類似，但具體結構存在區別。AwardBIOS存在ISA接口，可以嵌入自定義的ISA模塊；Phoenix BIOS存在解壓模塊，會多次運行并對BIOS中的其他模塊進行解壓。因此，具有更廣通用性、更高準確性的Rootkit檢測方法仍然需要進一步研究。

逆向分析技術與將源碼變為可執行程序的順序相反，是將編譯鏈接好的程序反過來恢復成“代碼級別”。逆向分析通過工具軟件對程序進行反編譯操作，可以將應用的二進制程序反編譯成匯編代碼，甚至偽代碼。采用逆向手段，通過分析病毒的運行機制，可以提取Rootkit的感染特征。

可信計算是一種可以廣泛運用于計算機安全領域的算法。可信計算的中心思想是在計算機系統中建立可信根，提供信息保護和存儲功能；在計算機運行各執行階段中加入完整性度量檢測，建立可信鏈度量機制，把信任關系延伸到整個終端。可信計算基于可信根的安全性，對整個計算機系統各運行過程起到安全防護作用。

發明內容