10.3969/j.issn.1000-3428.2015.07.035
主引导记录型Rootkit建模及其静态检测方法
主引导记录(MBR)型Rootkit是一种新型Rootkit,其隐蔽性强难以检测.针对该问题,分析MBR型Rootkit的关键技术及总体工作流程,扩展木马协同隐藏模型,给出多级协同隐藏的概念并将其应用于MBR型Rootkit隐藏机制的形式化描述中.针对MBR型Rootkit的静态特征提出一种静态检测方法,通过对隐蔽扇区空间数据进行模式匹配寻找该类恶意代码的磁盘驻留数据,通过分析计算机MBR数据格式,设计并实现模式匹配算法.实验结果表明,该方法在针对系列样本的检测中取得了良好效果,并且可以从磁盘驻留数据中获得原始MBR备份数据以恢复系统.
主引导记录、形式化描述、协同隐藏、静态特征、静态检测、模式匹配
41
TP309(计算技术、计算机技术)
国家自然科学基金资助项目“云计算环境下软件可靠性和安全性理论、技术与实证研究”61332010
2015-09-07(万方平台首次上网日期,不代表论文的发表时间)
共6页
184-189
