检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
机构地区:[1]上海交通大学信息安全研究所,上海200240
出 处:《计算机工程》2015年第6期116-120,共5页Computer Engineering
基 金:国家自然科学基金资助项目"云计算环境下软件可靠性和安全性理论;技术与实证研究"(61332010)
摘 要:Bootkit通过将加载时间点提前到引导阶段,能够对其操作系统下的恶意行为进行隐藏以绕过多数安全软件。为此,对Bootkit的动态行为隐藏机制进行形式化建模,扩展协同隐藏机制以揭示Bootkit高隐蔽性,并且利用大部分Bootkit在磁盘上隐藏恶意PE文件的特点,设计并实现一种PE文件匹配算法。实验结果表明,该算法在磁盘隐蔽扇区中匹配特定的模式串以寻找潜在的恶意PE文件,在针对Bootkit样本的检测中取得了较好效果。Bootkit originates from Rootkit and can bypass most security software through loading the malicious code during windows booting period. This paper uses formal description to depict the procedure of malicious operation hiding and develops the cooperative concealment. Because most Bootkit hide malicious PE files in disks, a PE matching algorithm is designed and implemented. This algorithm will search some byte sequences with specific pattern to find potential hidden PE files and experiments show that this algorithm can gain a high detecting accuracy towards some Bootkit samples.
关 键 词:恶意行为 协同隐藏 形式化描述 PE文件 静态检测
分 类 号:TP309[自动化与计算机技术—计算机系统结构]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.117