10.3969/j.issn.1000-3428.2015.06.021
基于磁盘隐藏PE文件搜索的Bootkit检测方法
Bootkit通过将加载时间点提前到引导阶段,能够对其操作系统下的恶意行为进行隐藏以绕过多数安全软件。为此,对Bootkit的动态行为隐藏机制进行形式化建模,扩展协同隐藏机制以揭示Bootkit高隐蔽性,并且利用大部分Bootkit在磁盘上隐藏恶意PE文件的特点,设计并实现一种PE文件匹配算法。实验结果表明,该算法在磁盘隐蔽扇区中匹配特定的模式串以寻找潜在的恶意PE文件,在针对Bootkit样本的检测中取得了较好效果。
恶意行为、协同隐藏、形式化描述、PE文件、静态检测
TP309(计算技术、计算机技术)
国家自然科学基金资助项目“云计算环境下软件可靠性和安全性理论、技术与实证研究”61332010。
2015-07-02(万方平台首次上网日期,不代表论文的发表时间)
共5页
116-120