增强的恶意软件检测
2010-06-30 00:00:00 来源:WEB开发网原型1:基于 Intel® 管理引擎
自从 Intel® 主动管理技术 (Intel® AMT) [16, 17]及运行 Intel® vPro™ 技术的平台面世以来,平台中就包含了一个嵌入式微控制器,称为Intel ME。Intel ME是一个集成设备,独立安装在PCI总线中。Intel ME集成了多种硬件引擎,比如总线控制器、加密加速器、DMA引擎等等。Intel ME运行的固件(firmware)由实时操作系统(real-time operating system ,RTOS)、操纵硬件的驱动程序以及管理应用程序组成。在我们的原型中,我们利用DMA引擎访问内存区。
我们首先实现一个代理来扫描固件中的内存。这个代理是传统的基于黑名单的扫描代理。因为Intel ME在计算能力与存储空间两方面的共同限制,我们只能在Intel ME固件中实现一个功能受限的扫描代理。能安全存放的黑名单的长度限制在192KB,扫描操作的频率也不能太高。由于这些限制,我们只好在主机OS中实现了一个主机代理,其功能是扫描基于黑名单的内存。在此原型中,我们向Intel ME代理中加入完整性检查固件,以检验其主机代理的完整性。此外,Intel ME带外( out-of-band ,OOB)接口能与远程防病毒云服务进行通讯,如果主机代理在运行时被修改,就会通知防病毒云上的软件。Intel ME在其存储区域内保存主机代理的哈希值,并且定期验证主机代理运行时映像的完整性。在我们的论文《实时内核匿踪攻击(Rootkit)检测》(Runtime Kernel Rootkit Detection) [9]中,我们描述了用来验证主机代理运行时完整性的清单(manifest )产生进程以及3阶段(3-phase )算法。对于此原型,我们使用Intel ME度量主机代理的完整性:进程执行所需时间在毫秒级。我们打算进一步研究事件驱动、主机代理扫描等方法,以解决定时攻击问题。图4显示了我们的原型架构:
赞助商链接