1、一种基于系统管理模式的隐藏进程检测模型 赵晓参 任炬 徐旸 王国军 中南大学信息科学与工程学院 广州大学计算机科学与教育软件学院 摘 要: 近年来, 恶意程序的隐身性越来越强.针对这个问题, 提出了一种基于系统管理模式 (System Management Mode, SMM) 的隐藏进程检测模型 (SMM-based Hidden process Detection model, SHPD) .该模型能够有效地检测系统中的隐藏恶意进程, 同时保证自身的透明性.模型包括客户端和监控端两部分.客户端运行在 BIOS 中, 利用内外语义信息建立操作系统进程的多个视图, 将建立的视图发送到监控端.监
2、控端通过对比视图间的差异, 识别出隐藏的恶意进程.在提出的 SHPD 模型理论支持下, 搭建了实验原型系统, 并进行了功能测试和分析, 实验结果证明了该模型的有效性.关键词: 系统管理模式; 恶意程序; 隐藏性; 视图对比; 作者简介:赵晓参, 男, (1990-) , 硕士研究生.研究方向为访问控制、信息安全.E-mail:.作者简介:任炬, 男, (1987-) , 博士, 特聘教授.研究方向为无限传感器网络.作者简介:徐旸, 男, (1988-) , 博士研究生.研究方向为信息安全.作者简介:王国军, 男, (1970-) , 博士, 教授.研究方向为可信计算、隐私保护.收稿日期:201
3、7-03-01基金:国家自然科学基金重点项目 (61632009) ;国家自然科学基金面上项目 (61472451) A Hidden Process Detection Model Based on System Management ModeZHAO Xiao-can REN Ju XU Yang WANG Guo-jun College of Information Science and Engineering, Central South University; College of Computer Science and Educational Software, Guangzh
4、ou University; Abstract: In recent years, the stealth of malware is getting stronger and stronger.In this paper, a SMM-based Hidden process Detection model (SHPD) is proposed.SHPD can effectively detect the stealthy process in system while ensuring its own transparency.SHPD consists of two parts:the
5、 client and the monitor.The client, which implemented in BIOS, uses both internal and external semantic information to establish multiple views of processes in OS and sends those process views to the monitor.The monitor identifies the stealthy process by comparing the differences between the views.I
6、n the paper, we build a prototype system under the support of the SHPD theory, and conduct functional testing and analysis.The experimental results verify the feasibility of SHPD.Keyword: SMM; malware; stealthy; view comparison; Received: 2017-03-011 引言近年来, 网络恶意程序迅速增多1.恶意程序隐藏自身的存在痕迹, 持续感染操作系统, 逃避安全工
7、具的检测.现阶段恶意程序隐藏手段更底层化, 这就使网络安全面临更严峻的挑战.关于恶意程序的隐身性问题, 目前有很多研究者提出了相关的解决方案.其中, 使用最广泛的是基于操作系统的检测方法2, 这类检测系统安装和运行在操作系统内部, 通过对比应用层和内核层视图差异来发现隐藏恶意程序, 但是这类方法很容易被更高等级恶意程序攻击, 导致保护策略失效.另一类方法是基于虚拟机监控器的检测方法3.这类方法把检测程序放到操作系统外部, 使其运行在虚拟机监控器中.该方法通过验证内核完整性或者视图对比来发现隐藏恶意程序, 能够较有效地防止更高级恶意程序的攻击.但该类方法运行在虚拟机监控器中, 又面临着虚拟机逃逸
8、攻击等威胁4-5.因此, 本文提出一种基于系统管理模式 (System Management Mode, SMM) 的隐藏进程检测模型 (SMM-based Hidden process Detection model, SHPD) .该模型分为客户端和监控端两个部分, 利用视图对比发现隐藏恶意程序, 但客户端检测程序运行在 BIOS 系统中, BIOS 系统能够保证对于物理内存的绝对隔离, 所以能够使更高级恶意程序无法对其攻击, 并且避免了虚拟机逃逸攻击等威胁.相比与现阶段的安全解决方法, 本文的主要贡献体现在以下几个方面:(1) 在系统管理模式的理论基础上, 提出了 SHPD 模型, 将其
9、客户端检测程序放到 BIOS 中, 保证了检测程序的绝对隔离性.(2) 利用系统管理模式, 实现了对上层操作系统的语义重建.(3) 实验验证了 SHPD 模型理论, 证明其能有效发现隐藏恶意程序, 并且保护自身不受攻击.2 系统管理模式系统管理模式6-9是一种为操作系统提供透明机制的运行模式.该模式相关执行代码在 BIOS 中实现.在操作系统启动之前, 该模式的相关代码从 BIOS 中加载到系统管理内存中.系统管理内存是一种隔离内存, 在任何其他模式下都不允许被访问.系统管理模式的启动依赖于系统管理中断, 当出现系统管理中断时, 开启系统管理模式.系统管理模型拥有以下优良特性:(1) 系统管理
10、模型可以访问系统中的所有物理内存.(2) 启动系统管理模型之前, 相关代码加载到系统管理内存, 加载完毕后不能修改.保证了代码的不可篡改性.(3) 系统管理模式可以重建系统语义信息, 不必依赖上层操作系统.保证信息独立性.由于系统管理模型拥有以上的优良特性, 根据其相关理论, 构建 SHPD 模型.3 基于系统管理模式的 SHPD 模型SHPD 模型包括两部分:客户端和监控端, 如图 1 所示.客户端触发系统管理中断, 使其进入系统管理模式.将系统的可信进程视图和不可信进程视图发送到监控端.监控端使用视图对比技术, 识别客户端中的隐藏进程, 发现恶意程序.SHPD 模型主要从以下五个步骤做到隐
11、藏恶意程序的检测:(1) 客户端使用内部函数获取操作系统的不可信进程视图, 通过网络发送到监控端, 进而触发模块随机地触发中断, 进入系统管理模式.(2) 客户端进入系统管理模式后, 处理语义重建模块.(3) 客户端利用重建的系统语义信息, 获取当前系统中的所有进程列表, 得到上层操作系统的可信进程视图.(4) 客户端通过网络模块把可信进程视图发送到监控端, 退出系统管理模式.(5) 监控端接收到客户端的可信和不可信进程视图后, 进行视图对比, 获取视图差异, 分析客户端中隐藏程序的存在痕迹, 并展示检测结果, 由此发现隐藏恶意程序.图 1 SHPD 模型架构图 下载原图3.1 客户端模块客户
12、端的主要作用有以下几个方面:其一是使用操作系统内部函数获取不可信进程视图;其二是利用系统管理模式获取可信进程视图;其三通过网络把相关视图信息发送到监控端.客户端由以下四个模块组成:位于操作系统中的触发模块, 位于系统管理模式中的语义重建模块、视图获取模块和通信模块.3.1.1 触发模块触发模块的主要功能有两点: (1) 触发系统管理中断使系统进入系统管理模式; (2) 获取操作系统不可信进程视图, 并发送到监控端.触发系统管理中断的方式分为两种:基于软件和基于硬件的触发中断方式.本文采用基于软件的触发中断方式, 该方式通过输入输出端口, 直接向高级电源管理控制寄存器写入数据, 由此触发系统管理
13、中断, 进入系统管理模式10.触发模块在触发系统管理中断前, 利用操作系统的内部函数获取当前的不可信进程视图, 不可信进程视图指的是操作系统展示的进程信息.此类信息将通过网络发送到监控端, 以便进行视图对比检测.3.1.2 语义重建模块经过触发模块触发了系统管理中断, 由此进入系统管理模式.客户端中的第二个模块语义重建模块开始进入工作.语义重建模块的主要工作是将系统管理模式 CPU 中的上下文信息进行读取, 并将上下文中的虚拟地址转换成物理地址.现给出语义重建模块中内核虚拟地址和物理地址转换的伪代码描述.算法 1 内核虚拟地址和物理地址的转换3.1.3 视图获取模块视图获取模块根据语义重建模块
14、提供的上层操作系统的语义信息获取可信进程视图.该模块的作用是将语义重建之后得到的当前进程物理地址进行分析.所有进程以环形双向链表存储, 当获取到当前进程物理地址后, 对该环形双向链表进行遍历, 得到所有进程的信息, 也就是可信进程视图.可信进程视图获取的伪代码描述如下所示.算法 2 可信进程视图获取3.1.4 通信模块通信模块的功能主要有如下两个方面:其一接收模块获取的可信进程视图, 将其发送到监控端;其二退出系统管理模式, 返回系统管理中断前的状态.本文采用在系统管理模式中直接发送数据包的方式进行数据传输, 该方式不经过操作系统, 可以有效地防止恶意攻击者对发送数据的修改, 保证数据的完整性
15、.当视图获取模块得到可信视图后, 可信视图以数据包形式传输给通信模块, 通信模块把最终的可信视图数据传输到监控端.传输完毕后, 通信模块给出退出系统管理模式指令, 结束该模型的整个客户端工作.3.2 监控端模块经过上一节客户端模块的所有工作后, 监控端模块启动, 接收到客户端传送的可信视图和不可信视图.监控模块对视图进行差异对比, 由对比结果推测是否有隐藏恶意程序.监控模块还负责监控客户端的通信频率, 如果通信频率不正常, 说明客户端触发模块被恶意程序攻击.可信视图和不可信视图差异对比图如图 2 所示.图 2 隐藏进程检测对比图 下载原图左边的 user_process 为不可信视图元素, 右
16、边的 task_struct 为可信视图元素, 由对比差异可知, 隐藏恶意程序为 task_structi.由此监控模块的任务完成.该模型的总体工作结束, 按照预期的理论分析, 监控端与客户端的相互配合, 能够很好的发现隐藏的恶意程序, 提供网络安全保障.4 实验及结果分析为了验证 SHPD 模型的有效性, 本文实现了 SHPD 原型系统, 并根据运行结果分析 SHPD 的检测能力.系统的流程图如图 3 所示.图 3 系统检测流程图 下载原图4.1 系统配置客户端:ASUS-M2V_MX_SX 主板、2.2 GHz AMD Sempron LE-1250CPU、2 GB Kingston DD
17、R2RAM、RS-232 接口;Linux-2.6.32.服务端:Intel Core i5-4590 3.1GHz CPU;4GB DDR3RAM;Linux-3.13.0-32.4.2 功能测试本次测试使用具有隐藏进程功能的 Linux Rootkit (wnps) 来验证 SHPD 的检测能力.首先, 在客户端使用 insmod 命令加载内核模块 wnps (insmod wnps.ko) , 其次, 在客户端启动后门程序 backdoor, 接下来, 使用内核模块 wnps 提供的命令隐藏 backdoor 进程, 最后, 在客户端使用 ps 指令和 proc 文件系统确认backdo
18、or 进程被隐藏.通过客户端和监控端的交互, 得到了如图 4 所示的不可信进程视图和如图 5 所示的可信进程视图.对比两个视图的差异, 由此发现隐藏恶意程序.图 4 中的不可信进程视图展示了在操作系统内通过/proc 目录提取的进程列表, 图 5 的可信进程视图给出了在系统管理模式中通过提取 task_struct 链表获得的进程列表.由图 4 和图 5 可知, 1540 号进程在可信进程视图中可见, 在不可信进程视图中不可见, 这说明 backdoor 进程在操作系统内部被隐藏.为验证 SHPD 模型的适用范围, 本文测试了多个典型的隐藏程序, 涉及了多种不同的隐藏技术, 例如, lrk5
19、是典型的用户态 Rootkit, 通过替换用户态的 ls, ps, netstat 等指令达到隐藏效果, knark, adore_ng 都是典型的内核态Rootkit, 但隐藏技术却不尽相同, 其中, knark 通过修改系统调用表隐藏攻击者, adore_ng 通过修改 VFS 层处理函数实现隐藏目的.表 1 列出了 SHPD 对多种隐藏程序的检测结果, 其中“” 表示成功检测隐藏进程, “” 表示未检测到隐藏进程.图 4 不可信进程视图 下载原图图 5 可信进程视图 下载原图表 1 SHPD 对多种隐藏程序的检测结果 下载原表 由表 1 可知, SHPD 模型能够检测到多种隐藏的恶意程序
20、, 在检测的同时, 还能保证模型自身不被受到攻击, 实验证明了 SHPD 模型的有效性和安全性.5 结束语针对新型隐藏恶意程序, 本文提出了基于系统管理模式的隐藏进程检测模型SHPD.该模型利用可信视图和不可信视图对比差异, 能够有效的检测出恶意隐藏进程, 并保证自身的安全隔离性.实验证明了该模型的有效性.参考文献1McAfee.Threats report:First quarter 2014EB/OL.2017-01-12.http:/ 2Klister.Windows kernel level rootkit detector.2011EB/OL.2017-01-12.http:/ 3李
21、博, 沃天宇, 胡春明, 等.基于 VMM 的操作系统隐藏对象关联检测技术J.软件学报, 2013, 24 (2) :405-420. 4Kortchinsky K.CLOUDBURST:A VMware guest to host escape storyC/Black Hat.USA, 2009. 5Branco R R, Barbosa G N, Neto P D.Scientific but not academical overview of malware anti-debugging, antidisassembly and anti-VM technologiesC/Black
22、 Hat.USA, 2012. 6Zhang Fengwei, Kevin Leach, Kun Sun, et al.SPECTRE:A dependable introspection framework via system management modeC/Dependable Systems and Networks (DSN) , 2013 43rd Annual IEEE/IFIP International Conference on.IEEE, 2013:1-12. 7William A.R, Allan Tomlinson.SMM-based hypervisor inte
23、grity measurementC/Cyber Security and Cloud Computing (CSCloud) , 2015IEEE 2nd International Conference on.IEEE, 2015:362-367. 8Zhang Fengwei, Kevin Leach, Angelos Stavrou, et al.Using hardware features for increased debugging transparencyC/Security and Privacy (SP) , 2015IEEE Symposium on.IEEE, 201
24、5:55-69. 9Zhang Fengwei, Zhang Hongwei.SoK:A study of using hardware-assisted isolated execution environments for securityC/Proceedings of the Hardware and Architectural Support for Security and Privacy2016.ACM, 2016:3. 10Intel Corporation.Intel 82801DB I/O Controller Hub4 (ICH4) Z.Intel Corporation, 2002.
