Generická detekce bootkitů

Thumbnail Image
Files
final-thesis.pdf(4.57 MB)
review_79601.html(1.42 KB)
Date
Authors
Gach, Tomáš
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Tato práce se zabývá problematikou generické detekce bootkitů. Bootkity jsou relativně novým typem škodlivého softwaru spadajícího do kategorie rootkitů. Definice škodlivého softwaru je uvedena společně s několika příklady. Pozornost je pak věnována problematice rootkitů v souvislosti s operačními systémy Microsoft Windows. V této části je uvedeno několik technik používaných rootkity. Jsou také zmíněný metody prevence a detekce rootkitů. Pro bootkity je charakteristická infekce hlavního spouštěcího záznamu (MBR) pevného disku. Struktura MBR je popsána společně s příkladovým rozdělením pevného disku. Následně jsou nastíněny vlastnosti instrukční sady procesoru a pro ilustraci je disassemblován MBR operačního systému Windows 7. Zbylá část práce je věnována popisu průběhu infekce operačního systému bootkitem, prevenci bootkitů, analýze infikovaných vzorků MBR a zejména návrhu, implementaci a testování generického detektoru infekce MBR.
This thesis deals with the generic detection of bootkits which are relatively a new kind of malicious sofware falling into the category of rootkits. The definition of malicious software is presented along with several examples. Then the attention is paid to the rootkits in the context of Microsoft Windows operating systems. This section lists several techniques used by rootkits. After that, the ways of preventing and detecting rootkits are mentioned. Bootkits are known for infecting hard disks Master Boot Record (MBR). The structure of the MBR is described along with the example of hard disk partitioning. Afterwards, the processor instruction set is outlined and the disassembly of Windows 7 MBR is given. The rest of the thesis is devoted to a description of the course of operating system bootkit infection, bootkit prevention, analysis of infected MBR samples, and in particular to the design, implementation and testing of the generic MBR infection detector.
Description
Keywords
škodlivý software, rootkit, techniky používané rootkity, detekce rootkitů, bootkit, MBR, generická detekce, malicious software, rootkit, rootkit techniques, rootkit detection, bootkit, MBR, generic detection
Citation
GACH, T. Generická detekce bootkitů [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2013.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Bezpečnost informačních technologií
Comittee
doc. Dr. Ing. Petr Hanáček (předseda) doc. Ing. Vladimír Drábek, CSc. (místopředseda) doc. Ing. Radek Burget, Ph.D. (člen) prof. Ing. Jan Holub, Ph.D. (člen) Ing. Zbyněk Křivka, Ph.D. (člen) doc. Ing. Petr Matoušek, Ph.D., M.A. (člen)
Date of acceptance
2013-06-14
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se pak seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A. Otázky u obhajoby: Proč jste jako základ Vašeho řešení nepoužil některý existující emulátor (Bochs, QEMU atd.)? Co by obnášelo rozšíření konceptu i na emulaci IN/OUT instrukcí a BIOS kódu? Jakých rozšíření by aplikace musela doznat, aby dokázala provádět " online " analýzu (tj. přímou analýzu hostitelského MBR)?
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/53512
Collections
2013
Citace PRO