基于UEFI固件的攻擊驗證技術(shù)研究＊

孫 亮，陳小春，王 冠，鄭樹劍

(1.中電科技(北京)有限公司，北京 100083；2.北京工業(yè)大學(xué)，北京100124)

基于UEFI固件的攻擊驗證技術(shù)研究＊

孫 亮1，陳小春1，王 冠2，鄭樹劍1

(1.中電科技(北京)有限公司，北京 100083；2.北京工業(yè)大學(xué)，北京100124)

隨著信息技術(shù)飛速發(fā)展，木馬病毒和黑客攻擊也不斷花樣翻新。目前，已經(jīng)出現(xiàn)了以固件木馬為手段，對路由器、防火墻、服務(wù)器進行滲透，對我國信息安全造成現(xiàn)實威脅。固件木馬的特點是先于操作系統(tǒng)啟動，不易被殺毒軟件發(fā)現(xiàn)和清除。對固件木馬攻擊方式進行研究，設(shè)計和實現(xiàn)了基于UEFI固件的攻擊驗證原型系統(tǒng)，模擬真實的固件木馬運行環(huán)境，驗證固件木馬對計算機的攻擊效果。

UEFI;固件木馬;攻擊驗證

0 引言

隨著信息技術(shù)的飛速發(fā)展，以移動計算、云計算、物聯(lián)網(wǎng)為代表的互聯(lián)網(wǎng)產(chǎn)業(yè)呈現(xiàn)出空前繁榮的景象。但是，危害信息安全的事件也隨之不斷發(fā)生。從近期披露的安全事件和資料來看，終端滲透和攻擊的技術(shù)也一直在更新和變化。目前，已經(jīng)出現(xiàn)了通過固件木馬等工具，針對特定網(wǎng)絡(luò)、特定終端進行攻擊和滲透的專業(yè)化組織?？梢钥闯?，僅僅依靠操作系統(tǒng)中運行的殺毒軟件或防火墻，已經(jīng)不能滿足當(dāng)前終端安全和網(wǎng)絡(luò)安全的需要[1]。

固件是計算機中不可缺少的重要部件，是連接計算機基礎(chǔ)硬件和系統(tǒng)軟件的橋梁?；据斎胼敵鱿到y(tǒng)(Basic Input Output System，BIOS)是計算機上最重要的固件之一。在開機上電后，固件會對CPU中的寄存器、計時芯片、可編程中斷器及DMA控制器的狀態(tài)檢查，同時初始化設(shè)置主板芯片組、動態(tài)內(nèi)存、顯卡及相關(guān)外圍的寄存器。在以上設(shè)備正常運行的前提下，固件將負責(zé)引導(dǎo)操作系統(tǒng)。

從開機上電到操作系統(tǒng)加載的過程中，固件擁有著系統(tǒng)極高權(quán)限。一旦固件中存在安全漏洞或被植入木馬，將會為計算機帶來嚴(yán)重的威脅。

通過在固件中增加后門程序，如使用系統(tǒng)管理模式(System Management Modal，SMM)，可在操作系統(tǒng)無法察覺的情況下，隱蔽地獲取計算機數(shù)據(jù)、破壞系統(tǒng)正常運行。這些后門程序難以被操作系統(tǒng)下的殺毒軟件探測和刪除[2]。美國商貿(mào)部專門發(fā)布了sp800－147、sp800－147b、sp800－155 三個指南，用于指導(dǎo)對 BIOS的安全保護。美國國防部也專門就此發(fā)布備忘錄，要求美軍計算機采購時，固件需要滿足相應(yīng)的保護標(biāo)準(zhǔn)。

因此，本文對固件木馬的特征進行了分析，設(shè)計了攻擊驗證的原型系統(tǒng)，并對關(guān)鍵技術(shù)進行了驗證。該系統(tǒng)支持X86計算機平臺和國產(chǎn)計算機平臺，支持?jǐn)U展相應(yīng)的外設(shè)，包括USB接口/PCI－E等接口的可信卡，能夠在此基礎(chǔ)上進行進一步擴展，檢測和發(fā)現(xiàn)固件的安全漏洞，并開發(fā)相應(yīng)的補丁。

1 UEFI固件安全威脅分析

1.1 固件的軟件硬件二象性及安全威脅分析

固件在形態(tài)上類似于硬件，是“固化”封裝在芯片中、安裝在電路板上的器件;固件在功能上又屬于軟件，固件芯片內(nèi)是機器語言編寫的控制程序。這種“二象性”使得固件平滑地完成了將機器的控制權(quán)由處理器硬件轉(zhuǎn)交給操作系統(tǒng)的任務(wù)。固件的二象性構(gòu)成了計算機軟硬件的重要橋梁，但也對計算機安全構(gòu)成了潛在的威脅。

一方面，固件的物理形式是芯片，可以安裝在計算機主板、硬盤、顯卡等硬件設(shè)備中[3]。如果把固件木馬以非常隱蔽的方式固化到計算機主板或擴展板卡上的芯片中，并在特定條件下激活，將會立即執(zhí)行滲透攻擊和情報收集工作，用戶在日常使用計算機的過程中卻很難察覺。

另一方面，固件是運行在計算機底層的軟件，是先于操作系統(tǒng)啟動而運行的。因此，固件中的惡意代碼是無法被殺毒軟件和安全工具發(fā)現(xiàn)的。固件的運行過程是具有極高權(quán)限，能夠?qū)τ布?、文件系統(tǒng)、操作系統(tǒng)和特定軟件進行篡改和破壞，具有極強的攻擊能力。

1.2 固件運行過程安全威脅分析

固件的運行過程分為四個階段，包括硬件初始化階段、驅(qū)動服務(wù)執(zhí)行階段、啟動設(shè)備選擇階段和操作系統(tǒng)運行階段:

1)硬件初始化階段。

執(zhí)行由匯編語言代碼實現(xiàn)的固件組件，主要實現(xiàn)對硬件平臺和固件初始啟動代碼進行安全驗證，初始化系統(tǒng)緩存，為后續(xù)的硬件初始化工作準(zhǔn)備必要的存儲空間;同時，初始化處理器、內(nèi)存、芯片組和其他芯片及設(shè)備。

硬件初始化階段是固件首先運行的階段，是保證計算機硬件和固件完整可信的基石。如果固件在這個階段中運行了惡意代碼，將能夠破壞這個階段對硬件和固件的安全校驗，破壞整個計算機的安全運行環(huán)境。

2)驅(qū)動服務(wù)執(zhí)行階段。

執(zhí)行設(shè)備驅(qū)動程序，安裝及初始化與設(shè)備、總線、服務(wù)等相關(guān)的協(xié)議。驅(qū)動服務(wù)執(zhí)行階段為后續(xù)操作提供協(xié)議/服務(wù)接口，提供給固件自身及操作系統(tǒng)和應(yīng)用軟件調(diào)用。

驅(qū)動服務(wù)執(zhí)行階段固件運行的核心階段，固件會加載硬件驅(qū)動和應(yīng)用程序。如果計算機主機中接入了包含固件木馬模塊的硬件，其木馬模塊將在這個階段在固件層進行加載。在該階段中，固件能夠加載和執(zhí)行文件系統(tǒng)驅(qū)動，對硬盤分區(qū)和文件系統(tǒng)進行識別和分析，能夠?qū)⒉僮飨到y(tǒng)中的木馬植入操作系統(tǒng)，并實現(xiàn)隨操作系統(tǒng)自啟動[4]。

3)啟動設(shè)備選擇階段。

根據(jù)系統(tǒng)中預(yù)先設(shè)置的配置規(guī)則或者用戶本次的選擇，尋找承載操作系統(tǒng)的設(shè)備(如USB設(shè)備、硬盤、光盤、網(wǎng)絡(luò)等)并加載操作系統(tǒng)。

啟動設(shè)備選擇階段提供了UEFI SHELL運行環(huán)境、UEFI驅(qū)動及操作系統(tǒng)加載的功能。因此，也存在操作系統(tǒng)加載過程中被劫持的攻擊漏洞。

4)操作系統(tǒng)或應(yīng)用軟件運行階段。

固件將機器的控制權(quán)正式移交給操作系統(tǒng)。此時，仍然有部分固件服務(wù)/協(xié)議可用。

在該階段中，如果固件中存在可以執(zhí)行的惡意代碼，操作系統(tǒng)中的殺毒軟件將無法覺察。

通過對固件運行過程分析可以看出，固件安全首先要保證在硬件初始化階段，對固件進行完整性驗證;其次，需要在驅(qū)動服務(wù)執(zhí)行階段對加載的硬件和固件驅(qū)動進行驗證，禁止加載未經(jīng)確認(rèn)的固件驅(qū)動。這兩種安全措施能夠在一定程度上防止固件木馬的加載和執(zhí)行。

2 固件木馬攻擊的特點

固件層的木馬比操作系統(tǒng)的木馬更具有破壞性，更加難以發(fā)現(xiàn)和清除。CIH病毒是第一款對物理設(shè)備進行破壞的病毒，其在v1.2版本中加入了破壞硬盤和BIOS的代碼。CIH在1999年4月26日全球大規(guī)模爆發(fā)，導(dǎo)致全球近六千萬臺電腦遭到破壞，甚至無法啟動[5]。

文獻[6]提出了針對智能電源芯片的固件進行攻擊、重新編寫控制器程序，可以屏蔽電池過充、過熱等報警信號，并可導(dǎo)致電池爆炸等嚴(yán)重后果。

早期的BIOS采用匯編語言編寫，并且各大廠商對BIOS源碼進行嚴(yán)格的保密。因此，對固件進行攻擊的難度比較高。

John Heasman在2006年黑帽大會中，提出了利用高級電源管理接口(Advanced Configuration and Power Interface，ACPI)，使用ASL(ACPI Source Language)語言，實現(xiàn)在固件中部署Rootkit惡意代碼[7]。該方式的特點是使用了ACPI的專用語言ASL，簡化了通過匯編語言編寫病毒的難度。其特點是硬盤上沒有痕跡，重裝系統(tǒng)和更換硬盤仍然能夠存在，難以發(fā)現(xiàn)，難以清除。在2007年黑帽大會上，John Heasman又提出基于主板PCI板卡上的擴展固件進行Rootkit的攻擊[8]。該方法首先在PCI板卡固件中植入惡意代碼。而后，在BIOS運行時，這些惡意代碼會從PCI板卡中讀取和自動加載。

文獻[9]提出了通過固件中的系統(tǒng)管理模式(System Management Mode，SMM)中隱藏Rootkit惡意代碼。SMM是特殊的處理器操作模式，可以執(zhí)行特權(quán)指令和IO操作。該模式只能被固件調(diào)用，并且對操作系統(tǒng)完全透明。

目前，基于固件的攻擊不再作為單一的攻擊手段，而是作為多層次復(fù)合攻擊的基礎(chǔ)工具。如BMW病毒，能夠感染BIOS及MBR，在通過Windows系統(tǒng)加載惡意代碼。用戶即使重裝系統(tǒng)、格式化硬盤甚至更換硬盤都無法徹底清除病毒[10]。

同時，固件的攻擊已經(jīng)不止對主板BIOS進行攻擊，而且包括了對外接設(shè)備的固件進行破壞。如近期出現(xiàn)的方程式病毒[11]，已經(jīng)開始針對硬盤中的固件進行攻擊，能夠繞過操作系統(tǒng)的監(jiān)控，直接對硬盤數(shù)據(jù)進行修改。

文獻[12]提出了對顯卡固件進行攻擊的方法。該木馬能夠?qū)τ脩舻逆I盤敲擊進行記錄，并將信息存儲在GPU中。這種針對外設(shè)板卡的攻擊，實現(xiàn)了跨平臺隱藏rootkit的效果，包括Windows、Linux、Mac OS 等操作系統(tǒng)。

可以看出，與操作系統(tǒng)攻擊和網(wǎng)絡(luò)攻擊不同，固件攻擊的的主要特點包括:

(1)固件木馬難以清除。固件木馬會駐留在被攻擊終端的主板或板卡上，通過重裝系統(tǒng)、硬盤格式化或更換硬盤無法清除固件木馬。

(2)固件木馬可對硬件直接進行攻擊。固件具有對計算機底層硬件進行訪問和控制的權(quán)限，在固件中植入的惡意代碼可在開機上電時，通過提升超出門限的電壓或配置破壞性的參數(shù)，對硬件進行破壞性配置，造成硬件損壞、無法開機，甚至導(dǎo)致電池爆炸等嚴(yán)重后果。

(3)操作系統(tǒng)難以發(fā)現(xiàn)固件層攻擊。固件中的惡意代碼在操作系統(tǒng)運行之前執(zhí)行，往往難以被殺毒軟件發(fā)現(xiàn)。此外，操作系統(tǒng)也難以發(fā)現(xiàn)運行在系統(tǒng)管理模式的固件惡意代碼。

(4)固件木馬可以對操作系統(tǒng)進行直接攻擊。在固件執(zhí)行過程中，可以對硬盤分區(qū)、文件系統(tǒng)進行解析，對操作系統(tǒng)中的文件進行復(fù)制、刪除、修改。也可以通過固件木馬，將特定的攻擊載荷寫入操作系統(tǒng)，并隨操作系統(tǒng)進行自啟動[13]。

可以看出，與操作系統(tǒng)攻擊和網(wǎng)絡(luò)不同，固件木馬是駐留在主板固件芯片之中，攻擊方式具有跨平臺特性，操作系統(tǒng)難以發(fā)現(xiàn)其攻擊行為，重裝系統(tǒng)甚至更換硬盤無法清除。隨著攻擊方式的多樣化、復(fù)合化、復(fù)雜化，固件木馬作為專用于潛伏隱藏的滲透工具進行應(yīng)用。

3 固件木馬攻擊驗證系統(tǒng)總體設(shè)計

3.1 固件木馬攻擊驗證系統(tǒng)總體結(jié)構(gòu)

固件木馬在操作系統(tǒng)下難以發(fā)現(xiàn)和清除。因此，固件木馬攻擊驗證系統(tǒng)需要首先提供固件木馬可以運行的硬件及軟件環(huán)境，以激活固件木馬的攻擊動作，抓取相應(yīng)的固件層執(zhí)行過程和運行狀態(tài)，才能深入了解固件木馬的攻擊特征，找到應(yīng)對策略。

固件攻擊的主要方式包括以下三種:

(1)直接針對固件進行攻擊，如對固件或某些模塊進行篡改。

(2)通過外設(shè)板卡進行攻擊，如在顯卡、硬盤中植入惡意代碼。

(3)通過固件對操作系統(tǒng)進行攻擊，如在固件運行階段加載文件系統(tǒng)，對硬盤中的文件進行篡改。

因此，固件攻擊驗證系統(tǒng)需要對固件進行讀取和解析，判斷固件鏡像和固件模塊是否正確。其次，需要對固件加載外設(shè)板卡驅(qū)動和其他驅(qū)動模塊的執(zhí)行過程進行記錄。再次，需要記錄固件層訪問操作系統(tǒng)的執(zhí)行過程。

圖1展示了固件攻擊驗證系統(tǒng)的邏輯架構(gòu)，包括硬件層、固件層、操作系統(tǒng)層和服務(wù)層四個層面:

(1)硬件層。由于固件與硬件平臺是緊密相關(guān)的，每一款硬件平臺都需對應(yīng)特定的固件。因此，固件攻擊驗證系統(tǒng)需要提供多種平臺的基礎(chǔ)硬件支持，包括X86平臺、國產(chǎn)處理器平臺、可信密碼模塊和其他外設(shè)。這些外設(shè)能夠根據(jù)不同的需求進行相應(yīng)的組合和定制，能夠模擬局域網(wǎng)或單臺終端的硬件實驗環(huán)境。

圖1 固件攻擊驗證系統(tǒng)邏輯架構(gòu)

(2)固件層。為支持對固件進行攻擊驗證，需要將固件劃分為三個部分，一是固件基礎(chǔ)代碼，二是固件驅(qū)動模塊，三是固件模擬攻擊載荷。

固件基礎(chǔ)代碼包括對處理器和芯片組初始化、操作系統(tǒng)引導(dǎo)等基本功能。同時，該部分還包括固件狀態(tài)采集模塊，用于記錄固件運行過程中加載的硬件信息、固件驅(qū)動模塊的狀態(tài)信息及特征值。狀態(tài)采集模塊的目的是在固件層放置一個探針，對固件運行的過程進行記錄。

固件驅(qū)動模塊中包括了固件加載的所有驅(qū)動模塊，包括以O(shè)PROM方式加載的固件驅(qū)動。在固件驅(qū)動模塊中可以加載某些預(yù)設(shè)惡意代碼，用于模擬固件層漏洞攻擊。攻擊方式包括對硬件平臺芯片的破壞性參數(shù)配置，對文件系統(tǒng)的復(fù)制傳輸?shù)取?/p>

固件攻擊載荷是固件層中預(yù)留的模擬攻擊的惡意代碼。固件木馬在執(zhí)行過程中會識別硬盤分區(qū)和文件系統(tǒng)后，將惡意代碼寫入操作系統(tǒng)，評估攻擊效果。

(3)操作系統(tǒng)層。操作系統(tǒng)層中包括了固件攻擊驗證信息采集代理、固件鏡像和固件刷寫工具。

固件攻擊驗證信息配合固件中的固件狀態(tài)采集模塊，將固件文件、固件運行狀態(tài)等信息通過網(wǎng)絡(luò)發(fā)送到后臺服務(wù)端進行分析。

固件刷寫工具用于將固件鏡像刷入主板固件芯片。固件鏡像包括了可用于攻擊驗證的多種固件鏡像。在固件運行過程中，會將木馬和病毒寫入操作系統(tǒng)并執(zhí)行自啟動。

(4)服務(wù)層。服務(wù)層中包括固件代碼樣本庫，固件攻擊檢測展示、固件攻擊檢測策略配置、固件驗證工具庫、固件特征值比對和日志記錄等功能模塊。

固件代碼樣本庫包括了已經(jīng)采集的并且已授權(quán)的固件代碼特征值，用于對固件樣本進行驗證。

固件攻擊檢測展示用于對攻擊效果和檢測結(jié)果進行展示。攻擊檢測策略配置用于配置固件中的安全策略，如是否采用攻擊載荷，選用何種攻擊載荷等。

攻擊驗證工具庫用于存儲和提供固件攻擊工具。用戶可以通過配置界面，選擇固件攻擊方式和相應(yīng)的工具。

固件特征值比對模塊用于對信息采集模塊獲取到的信息進行特征值比對。

日志記錄功能模塊用于對固件攻擊檢測的過程進行記錄，用于后續(xù)的固件漏洞效果分析。

3.2 固件木馬攻擊驗證系統(tǒng)拓撲結(jié)構(gòu)

固件攻擊驗證系統(tǒng)包括攻擊驗證靶機、攻擊實驗終端和攻擊驗證服務(wù)器三類終端，其網(wǎng)絡(luò)拓撲如圖2所示。

圖2 固件攻擊驗證系統(tǒng)拓撲

(1)固件攻擊驗證靶機。該類終端是可根據(jù)攻擊場景需求定制的X86及國產(chǎn)計算機主機。在靶機中已經(jīng)安裝了固件信息采集代理和定制的固件。該類終端根據(jù)不同的實驗需求，可配插相應(yīng)的板卡。

(2)固件攻擊驗證服務(wù)器。該類終端的作用包括兩個，一是用于對固件攻擊的效果進行跟蹤記錄，二是用于對靶機的固件進行安全檢測。

(3)固件攻擊驗證終端。該類終端主要部署了支持X86平臺和國產(chǎn)處理器平臺的固件開發(fā)工具和調(diào)試環(huán)境。開發(fā)和調(diào)試環(huán)境中集成了編譯工具、調(diào)試工具及擴展設(shè)備。

固件攻擊驗證系統(tǒng)能夠模擬通過固件漏洞，對多計算機終端進行遠程攻擊的場景。

3.3 固件攻擊驗證系統(tǒng)工作原理

固件攻擊驗證系統(tǒng)的工作原理如圖3所示，其工作過程主要包括設(shè)計階段、準(zhǔn)備階段、植入階段、執(zhí)行階段和評估階段共五個階段。

(1)設(shè)計階段。用戶首先需要登錄固件攻擊驗證服務(wù)器，根據(jù)攻擊驗證需求，設(shè)置攻擊策略，并選擇相應(yīng)的木馬工具，包括固件刷新工具、固件木馬、工具載荷完成固件攻擊策略、流程和工具的設(shè)置后，將自動生成可執(zhí)行的攻擊驗證腳本。

(2)準(zhǔn)備階段。用戶在設(shè)計階段完成后，會將攻擊驗證腳本推送到固件攻擊終端。固件攻擊終端將會根據(jù)攻擊驗證腳本配置軟件運行環(huán)境、下載木馬工具，并按照腳本中的攻擊策略進行執(zhí)行。

圖3 固件攻擊驗證系工作原理

(3)植入階段。固件刷新工具、木馬工具和攻擊載荷首先需要推送到固件攻擊靶機，并進行植入。植入的方法包括固件鏡像完全更新、固件攻擊載荷部分更新、固件木馬外設(shè)板卡接入三種方法。

(4)執(zhí)行階段。固件刷新工具將固件木馬、攻擊載荷刷入固件。在計算機重啟過程中，固件木馬模塊將被加載和執(zhí)行。固件木馬能夠識別硬盤、分區(qū)和文件系統(tǒng)，可以將攻擊載荷寫入操作系統(tǒng)，并隨操作系統(tǒng)自啟動。

(5)評估階段。在固件木馬執(zhí)行過程中，固件層采集模塊還將對固件運行過程的狀態(tài)進行記錄，并將狀態(tài)記錄傳入操作系統(tǒng)，并最終傳輸?shù)椒?wù)器中進行狀態(tài)記錄和分析，最終生成評估報告。

4 固件木馬攻擊驗證系統(tǒng)的實現(xiàn)

在對固件木馬攻擊驗證系統(tǒng)進行分析和設(shè)計的基礎(chǔ)上，已經(jīng)研發(fā)了原型系統(tǒng)對攻擊效果進行驗證。該系統(tǒng)主要包括三個部分，包括固件模擬攻擊模塊、攻擊驗證服務(wù)器、攻擊驗證客戶端。

1)固件模擬攻擊模塊。

通過對固件將空間劃分為三個部分，一是固件核心鏡像，用于完成固件的基本功能;二是固件木馬模塊，用于完成將模擬植入的固件攻擊載荷回寫操作系統(tǒng);三是固件攻擊模擬載荷，用于模擬要回寫操作系統(tǒng)的攻擊軟件。固件空間劃分如圖4所示。

圖4 固件空間劃分示意

2)攻擊驗證服務(wù)器。

攻擊驗證服務(wù)器用于選擇固件攻擊工具，定制固件攻擊策略，展示固件攻擊效果。

3)攻擊驗證客戶端。

統(tǒng)計驗證客戶端用于獲取被攻擊計算機信息采集和回傳給攻擊驗證服務(wù)器，用于展示攻擊效果。

圖5展示了固件攻擊驗證系統(tǒng)的攻擊選項配置界面，通過該配置界面，能夠定制需要植入的木馬和預(yù)定的攻擊路徑。圖6展示了該原型系統(tǒng)能夠?qū)碳年P(guān)鍵信息進行驗證，并在信息異常時，進行記錄和提示。

圖5 固件攻擊驗證系攻擊選項界面

圖6 固件攻擊驗證系統(tǒng)攻擊效果

5 結(jié)語

本文提出了基于UEFI固件的攻擊檢測技術(shù)，并設(shè)計和實現(xiàn)了以驗證固件木馬攻擊效果為目標(biāo)的固件攻擊驗證系統(tǒng)。固件攻擊驗證系統(tǒng)能夠在上電開機和操作系統(tǒng)運行過程中，通過固件層和操作系統(tǒng)的狀態(tài)采集模塊對固件木馬的執(zhí)行過程和狀態(tài)進行記錄;操作系統(tǒng)中的攻擊驗證客戶端還將對固件模塊進行讀取和解析;在服務(wù)器中還部署了固件樣本代碼庫，會將固件解析后的模塊特征值進行比對。

下一步，我們將在已有的基礎(chǔ)上繼續(xù)進行相應(yīng)的研究，以該原型系統(tǒng)為基礎(chǔ)，對固件安全漏洞進行評估、檢測，并研究相應(yīng)的防護機制。

[1] 池亞平，許盛偉，方勇.BIOS木馬機理分析與防護[J].計算機工程，2011，37(13):122－124.

[2] 唐文彬，祝躍飛，陳嘉勇.統(tǒng)一可擴展固件接口攻擊方法研究[J].計算機工程，2012，38(13):99－101.

[3] 張京生，韓勁松.硬盤固件病毒的工作原理及防治方法[J].北京信息科技大學(xué)學(xué)報:自然科學(xué)版:2013，28(01):42－45.

[4] 郭致昌，張平，龐建民等.基于行為特征的BIOS Rootkit檢測[J].計算機工程，2011，38(02):251－253.

[5] 李越，黃春雷.CIH病毒的分析與清除[J].計算機科學(xué)，2000，27(05):104－105.

[6] Charlie Miller.Battery Firmware Hacking:Inside the Innards of a Smart Battery[J].In Black Hat，2011.

[7] John Heasman.Implementing and Detecting an ACPI BIOS Rootkit[J].In Black Hat DC，2006.

[8] John Heasman.Implementing and Detecting an PCI Rootkit[J].In Black Hat DC，2007.

[9] Shawn Embleton and Sherri Sparks.SMM Rootkits:A New Breed of OS Independent Malware，Presented at BlackHat USA，Las Vegas，NV，USA，2008.

[10] BMW病毒感染量突破5萬遭全球殺毒廠商圍捕[J].電力信息化，2011，9(10):103.

[11] Equation:The Death Star of Malware Galaxy.http://securelist.com/blog/research/68750/equation －the death－starof－malware－galaxy/

[12] Vasiliadis G，Polychronakis M，Ioannidis S.GPU－Assisted Malware[J].International Journal of Information Security，2010:1－6.

[13] 楊培，吳灝，金然.BIOS安全防護技術(shù)研究[J].計算機工程與設(shè)計，2008，29(15):3840－3842.

VerificationTechnology based on UEFI Firmware Trojan

SUN Liang1，CHEN Xiao－chun1，WANG Guan2，ZHENG Shu－jian1
(1.ZD Technologies(Beijing)Co.，Ltd，Beijing 100083，China;2.Beijing University of Technology，Beijing 100124，China)

With the rapid development of information technology，various computer virus and hacking attacks emerge in an endless stream.At present，by means of fireware Trojans，the routers，firewalls，servers and other equipment are attacked and penetrated，thus causing great threat to the state information security.What is more，the firmware Trojan usually starts earlier than operating system，so it is not easy for virus－killing software to find and eliminate it.Firmware Trojan attack is studied in this paper and the prototype system based on UEFI firmware attack verification system is designed and implemented.Actual operating environment of firmware Trojan is simulated and the attack of firmware Trojan upon computers also verified.

UEFI;firmware Trojan;attack verification

TP309.5 [文獻標(biāo)志碼]A [文章編號]1009－8054(2016)07－0089－05

2016－02－20

北京市教委科技項目:可信云計算安全體系及關(guān)鍵技術(shù)研究(No.007000546615020)

孫 亮(1980—)，男，博士，工程師，主要研究方向為網(wǎng)絡(luò)安全、可信計算、固件;

陳小春(1980—)，男，碩士，高工，主要研究方向為網(wǎng)絡(luò)安全、可信計算、固件;

王 冠(1968—)，男，博士，副教授，主要研究方向為信息安全、可信計算、云計算;

鄭樹劍(1982—)，男，碩士，工程師，主要研究方向為網(wǎng)絡(luò)安全、固件、操作系統(tǒng)內(nèi)核。