BIOS Rootkit

最新推荐文章于 2024-04-23 09:44:59 发布
最新推荐文章于 2024-04-23 09:44:59 发布
阅读量610 收藏 2
点赞数 1
分类专栏: RootKit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/105125132
版权

国内外对于BIOS Rootkit的检测研究目前尚处于起步阶段。

Rootkit可分为应用程序级Rootkit、系统工具级Rootkit和内核级Rootkit三个类型,我们今天讨论的就是内核级BIOS Rootkit。

自BIOS芯片改用为可擦写芯片(如FlashROM、EPROM)以来,在BIOS芯片里植入程序就变
得可能。最早,BIOS厂商选用这类芯片是为了方便BIOS日后的程序升级工作。然而,这也为BIOS
带来了新的安全隐患。
实模式提供了一种简单的单任务环境,可以直接访问无力内存和I/O空间,操作系统和应用软件运行在同
一个内存空间中和同一个优先级上,因此操作系统的数据很容易被应用软件所破坏。

BIOS Rootkit一般作为BIOS设计规范中的标准ISA或PCI模块存在,因此难于判断相应模块是否为BIOS Rootkit。整个ISA模块大小必须为512字节的倍数。

即使发现并判断出某个ISA/PCI模块为BIOS Rootkit,也只有通过硬件编程写入的方式才能清除。而硬件编程器并不是每个人都有并能熟练掌握的。

BIOS Rootkit主要依靠汇编程序来进行编写,并且汇编只能调用特定的BIOS中断调用。比如int 19h系统引导中断可以正常调用,而int 13h磁盘中断就无法正常使用,原因是BIOS引导计算机时,磁盘设备还没有准备好。INT 19的作用是系统自举,也就是引导加载程序进行冷起动。MBR被加载起来之后才会去HOOK INT13。

编写BIOS Rootkit的困难
通用性较好的BIOS Rootkit难于实现。
BIOS相关资料一直是各大BIOS厂商严格保守的机密,因此BIOS Rootkit编写需要的许多相关电器特性、调用参数等资料都无法找到。
BIOS芯片空间较为宝贵,一般为512K大小。除了厂家初始加入的固定程序外,可用的剩余空间往往不够放下BIOS Rootkit。

BIOS就芯片类型来说,主要分为以下几种:
一、 PROM(Programmable ROM)可编程存储器
PROM出厂时内部每一个字节数据都是$FF(也就是每个位都为1),且从未烧写过
二、.Mask ROM
三、 EPROM
它是由客户指定的数量较大的,由内存生产厂家依客户的指定内容,在大量生产的过程中直接
将数据写入,出厂之后就已经有特定的程序/数据码,内容也无法自行修改或烧写。

BIOS文件一般结构分析
BIOS文件保存着计算机最重要的基本输入输出的程序、系统设置信息、开机上电自检程序和系统启动自举程序。
通常来说BIOS文件一般都包含着BOOTBLOCK和各种初始化微程序,自动检测硬盘和CD驱动
器、输出PnP/PCI设备表等硬件设备程序,支持ACPI高级电源管理的启动程序。另外还有各个主板
厂家自己开发的功能扩展程序模块,以及各个主板厂家的BIOS启动logo等。
BIOS通常以压缩的形式保存微程序(一般使用LHA压缩算法)

多数BIOS病毒是以ISA模块存在的,ISA模块格式:在这里插入图片描述
BIOS内存布局
在这里插入图片描述
BOOTBLOCK位于000FE000h~000FFFFFh这个区段,而BIOS的入口点却在000FFFF0h。确切的说,在000FFFF0h~000FFFFF这16个字节中存放着一个跳转指令,用于调转到BIOS的执行入口。这句跳转指令可以在BIOS文件的最尾部的16个字节看到。

就主板BIOS而言,其最重要的工作集中在以下几个方面:
1). POST(Power On Self Test开机自检测)。
开机系统将控制权交给BIOS时,它会针对CPU各项寄存器,先检查其是否运行正常,接下来
会 检 查 8254 timer ( 可 编 程 外 围 计 时 芯 片 ) 、 9259A ( 可 编 程 中 断 器 ) 、 8237 DMA
Controller(DMA控制器)的状态。
2). Initial。
BIOS会针对动态内存(DRAM)、主板芯片组、显卡以及相关外围的寄存器(register)做初
始化(initialize)设置,并检测是否能够正常工作。
3). 记录系统的设置值。
BIOS会记录系统的设置值,并且会存贮在非挥发性内存(Non-Volatile RAM),如CMOS或
Flash Memory(ESCD区域)等。
4). 初始化常驻程序库。
BIOS会将常驻程序库(Runtime Program)常驻于某一段内存中。并将其提供给操作系统或应
用程序进行调用,如int 10h、int 13h、int 16h等中断调用函数。
这些工作完成以后,BIOS会检查是否存在ISA/PCI附加模块,如果有则加载运行(如以
ISA/PCI模块形式存在的BIOS Rootkit)。完成模块加载并成功运行后,BIOS将调用int 19h中断,
把磁盘第0柱头0磁道1扇区的系统启动数据,即MBR(Master Boot Record)提取到内存
0000:7c00处运行,从此完成BIOS向操作系统的CPU控制权移交工作。

读重庆大学硕士彭毅的学位论文《BIOS Rootkit及其检测技术的研究》后感。

摔不死的笨鸟
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
BIOS简述
m2o2o2d的专栏
03-21 876
BIOS(Basic Input Output System,基本输入输出系统) ================================================================= 1.它是一组固化到计算机内主板上一个ROM芯片上的程序,保存着计算机最重要的基本输入输出的程序、系统设置、开机后自检程序和系统自启动程序。 2.主要功能是为计算机提供最底层的、最直
BootLoader:真实世界中的Dell BIOS Rootkit源代码-Source code world
03-25
在这个特定的主题中,我们聚焦于Dell BIOS Rootkit,这是一种隐藏在BIOS(基本输入输出系统)中的恶意软件,能够深度潜伏并难以检测。 BIOS是计算机启动时最先运行的固件,它控制着硬件初始化,并为操作系统提供...
BIOS Rootkit:深度探索隐形的安全威胁与防御
最新发布
gitblog_00063的博客
04-23 351
BIOS Rootkit:深度探索隐形的安全威胁与防御 项目地址:https://gitcode.com/gyje/BIOS_Rootkit 一、项目简介 BIOS Rootkit 是一个开源项目,旨在研究和理解恶意软件如何利用BIOS(基本输入输出系统)层进行攻击,以及如何防范此类威胁。这个项目不仅揭示了潜在的安全漏洞,也为安全研究人员和系统管理员提供了宝贵的学习资源。 二、技术分析 1. B...
什么是 Rootkit
南北极之间
07-06 4999
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
BIOS rootkit的一点补充
03-18 733
BIOS Rootkit:Welcome home,my Lord!的文章,觉得如何运行一个driver说的很模糊,好像还有点复杂,本人就补充一下这点:可以直接调用NTLDR的BlLoadDeviceDriver函数,但问题在于该函数是从硬盘上加载driver,但现在rootkit的driver位于内存中,就必须重载NTLDR中访问硬盘的相关函数,它们是:BlOpen,BlRead,BlSeek函
UEFI BIOS Rootkit Analysis
weixin_33744854的博客
04-23 196
catalog 1. BIOS简介 2. UEFI BIOS 3. EFI编程简介 4. UEFI Rootkit   1. BIOS简介 BIOS("Basic Input Output System 基本输入输出系统),它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置...
BIOS Rootkit:Welcome home,my Lord!
热门推荐
天之流
05-11 1万+
                    [BIOS RootKit:Welcome Home,My Lord!...?]                    [Author ]: Icelord[Contact]: icelord@sohu.com[Data   ]: @2007/04/26->...    本文介绍一个简单BIOS rootkit的简单设计过程    意在抛砖引玉,期待高手
AnalyzeReplaceDell9010:真实世界中的BIOS Rootkit滴管源代码-Source code world
03-25
【标题】"AnalyzeReplaceDell9010:真实世界中的BIOS Rootkit滴管源代码-Source code world" 提供的是一个针对戴尔9010型号计算机的BIOS Rootkit分析与替换的案例研究。BIOS(基本输入输出系统)是计算机启动时最先...
BIOS Rootkit实现分析与检测技术研究
11-18
BIOS Rootkit实现分析与检测技术研究 包括: 作者在写作时的日志资料和相关附件; 完整版本的BIOS Rootkit实现分析与检测技术研究论文; 详细分析了BIOS流程,提出了一种在BIOS中实现ROOTKIT的方法和检测技术.
BIOS安全更新及保护系统设计
10-17
近年来,针对BIOS的恶意软件和攻击手段层出不穷,例如CIH病毒、BIOS rootkit等,这使得BIOS安全保护显得至关重要。 传统的信息安全措施大多集中在操作系统层面,但面对固件层和硬件层的威胁,这种防护显得力不从心...
SMM rootkit
07-27
### SMM Rootkit BIOS_SMI句柄的逆向与钩子 #### SMM模式概述 SMM(System Management Mode)模式是一种特殊的处理器模式,主要用于处理系统级别的管理任务,如电源管理和热事件处理等。SMM模式的一个显著特点是它...
真实的SMM Rootkit——BIOS SMI句柄的逆向与钩挂_很好的一篇文章在黑客学习基地上看到的和大家分享
Henrykobe的专栏
08-23 5084
摘自:黑防 文章作者:fahrenheit 1 引言         本文将探索一些BIOS中的SMI代码,所使用到的固件都来自于ASUS(华硕)的主板,尤其是基于Intel P45硬件的ASUS P5Q系列平台。ASUS的BIOS是基于AMIBIOS 8实现的,因此我们的工作可以延伸应用到所有使用了AMI BIOS固件的BIOS平台。而且SMM作为x86架构的特征之一,各种BIOS
研究人员称rootkit黑客代码可隐藏在BIOS
清炒苦瓜的专栏
10-16 749
在上周三的“BlackHat”会议上,一名研究人员表示,采用rootkit技术的黑客可以将他们的恶意代码隐藏在PC的BIOS闪存内,这一策略使得安全软件要发现、清除恶意软件变得更困难了。 在“BlackHat”会议上发表演讲时,英国Next-Generation安全软件公司的首席安全顾问海斯曼阐述了这一威胁。他说,黑客可以利用“电源配置和电源接口”(ACPI)及其编程语言在BIOS闪存中部
[>>蓝屏出品>>]ACPI BIOS RootKit 实践
生命的守望
02-12 2074
头衔: 无名氏门派: 使徒十三  等级: 大天使 信息:   威望: +5 积分: 2081  现金: 5904 雷傲元 存款: 2552072 雷傲元 贷款: 没贷款 来自: 保密  发帖: 1916 篇 精华: 8 篇 在线: 54 时 10 分 45 秒 注册: 2002/08/05 08:43am 造访: 2006/02/11 08:40pm  消息 查看 搜索 好友 复制 引用 回复 只
彻底无处可逃:研究人员展示BIOS级底层安全攻击
jehuyang的博客
04-24 1452
x86处理器爆出安全漏洞不久,研究人员们又找到了另一种通过BIOS发起攻击的方法,任何系统都无法幸免,而且这次利用的并非安全漏洞,所以更加防不胜防。Core Security Technologies安全公司的Anibal Sacco和Alfredo Ortega在CanSecWest安全会议上展示了他们的最新发现:将一小段代码植入BIOS,轻松就获得了整台电脑的全部控制权,即使重启系统甚至刷新B...
rootkit技术
sdulibh的专栏
02-25 6288
熬夜写llroot,写的头有些晕了,代码也有点乱,所以停下来歇歇;就又去逆向昨天下的那个rootkit,搞了1个多小时,头又晕了,才搞了不到一半,夜深人静的时候,孤孤单单,没有美女陪,不爽啊.想想好长时间没有在这个blog上写技术文章了,于是就转来下面一篇文章,文章比较老了,针对linux2.2内核的,但是基本的思路是没有失效的.正好这学期的操作系统课程考试也打算让研究生写一些类似的程序,所以贴在
6大手动杀毒软件
weixin_34318956的博客
11-02 202
1. sreng System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 2.冰刃这是一斩断黑手的利刃, 它适用于Windows 2000/XP/2003 操...
实用级反主动防御rootkit设计思路
08-08 1501
作者:白远方 (ID: baiyuanfan, baiyuanfan@163.com, baiyuanfan@hotmail.com)June 18, 2007关键字:rootkit,反主动防御,网络监控,ring0,mcafee8.5i,KIS6,ZoneAlarm Pro,实用级产品测试目录:反主动防御rootkit的产生背景及其必要性反网络访问主动防御反API钩子进程行为主动防御反系统Not
Windows Rootkit技术解析与检测策略
"Windows Rootkit分析与检测" Windows Rootkit是一种高度隐蔽的技术,主要在Windows操作系统中使用,旨在隐藏恶意软件或后门程序,使得这些恶意软件能够避开常规的安全检测工具。Rootkit通常包括一系列工具和方法,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值