用Bootkit病毒来讲整个Windows启动过程

最新推荐文章于 2023-10-12 19:38:57 发布
置顶 最新推荐文章于 2023-10-12 19:38:57 发布
阅读量1.2k 收藏 7
点赞数 4
分类专栏: RootKit Windows逆向 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/107458822
版权

Windows开机过程

流程图

在这里插入图片描述
关于Windows的启动过程,最详细最全面的介绍在2005年的eEyeBootRoot开源时的技术文档中。eEyeBootRoot是WIndows7时代很多MBR感染病毒的鼻祖,也是人们开始研究Windows启动过程的热点时期。

Bootkit进化史

在这里插入图片描述
在《Rootkits And Bootkits Reversing Modern Malware And Next Generation Threats》一书中作者对于Bootkit的进化史总结如上图所示。
winCIH是在1998年最早公开攻击BIOS的病毒,在随后一段时间内引起人们广泛研究BIOS rootkit技术,但大多数是安全技术人员的公开发表的一些技术。直到2011年左右开始出现大量野生的Bootkit样本,如Mebromi。在2013开始,bootkit和rootkit进入活跃期,并进军带

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
小小Bootkit
sjtujgxxaq的专栏
06-01 942
BootKit之总体概述 sjtujg 最近参照GhostShadow3的开源逆向版本实现了一个最简单的bootkit原型,姑且叫他simple-boot。功能就是在计算机开机引导至最终进入操作系统之间用自己的一个驱动去替换windows会自动加载的beep.sys驱动程序。这也是许多病毒采取的方法,即用一个有“恶意”的驱动去替换beep.sys,而后被windows自动加载获得ring0
[Bootkit]开源Bootkit技术(一)目录&引言
BraveWinds B10G
03-20 4715
Bootkit作为更高级的Rootkit,通过感染磁盘主引导记录(MBR)方式,实现绕过内核检查和启动隐身。博主将会在《开源Bootkit技术》系列文章中陆续介绍四款开源Bootkit的基本情况,并对Stoned Bootkit的反病毒软件响应情况进行了测试和总结。开源Bootkit技术(一)引言 开源Bootkit技术(二)eEyeBootRoot 开源Bootkit技术(三)vBootkit
基于MBR的Windows bootkit隐藏技术
03-23
Windows系统环境下的bootkit隐藏技术进行了研究,提出了bootkit协同隐藏的形式化模型.结合协同隐藏思想,实现了一个bootkit原型.该原型基于MBR并通过多级hook完成了对Windows系统内核启动的劫持.实验结果表明,该原型体现了协同隐藏的思想,能够有效地隐藏运行.本文章非本人所著,仅供学习。
Windows启动过程原理:叙Windows平台下基于MBR和UEFI的bootkit
zz_strive_2012的专栏
06-20 957
安全的对抗首先在权限方面,权限高的进程对权限低的权限就是就是降维打击,无往不利。当权限相同时,启动得早便为王。所谓的bootkit也就是基于这个思路设计的一种复杂病毒。它优先于Windows系统启动,自然也就优先于杀毒软件启动的时间。鉴于国内对bootkit的文章不多,本文想介绍一下bootkit的具体技术细节。为了保证内容的梯度和完整度,其中基于MBR的rootkit分别以WindowsXp和Win7为例,而基于UEFI的bootkit则可以在Windows7以上版本(7,8,10)的运行。 一:基于M
BootKit病毒——“异鬼Ⅱ”的前世今生
diehong3707的博客
09-10 411
七月底,一种名为“异鬼Ⅱ”的木马在全网大肆传播。一个多月过去了,风声渐渐平息,之前本来准备专门就这个木马写一篇博客的,结果拖到现在,幸好时间隔得还不算太久。闲话不多说,回到正题。 虽然腾讯电脑管家已经很早就做出了相应的更新,并同时推出了“异鬼Ⅱ”病毒专杀固件,但还是有不少电脑中招,所幸因为该病毒的特殊属性,没有造成太大的经济损失。下面我就详细介绍一下这种病毒。 ...
[Bootkit]开源Bootkit技术(六)反病毒软件响应测试
BraveWinds B10G
03-22 1264
病毒软件响应测试为了更全面了解Bootkit情况,博主对开源Bootkits感染OS时反病毒软件的响应进行了一定测试。利用编译完成的Stoned Bootkit v2 alpha4版本,手动感染Windows XP SP3,观察KAV、KIS、Avira和Avast在实时保护、快速扫描两种情况下的响应情况。
Win64-Rovnix-VBR-Bootkit:Win64Rovnix-批量启动记录启动包
05-18
Win64 / Rovnix-卷启动记录启动包(Rovnix) 驱动程序的引导加载程序 允许在操作系统启动期间加载特制的驱动程序。 该驱动程序是在NT内核初始化之前和PatchGuard启动之前加载的,因此它可以修补任何内核代码。 在...
Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e
09-30
由于Bootkits在操作系统启动过程的早期阶段就启动,因此它们能够更深入地隐藏自身,甚至可能逃避传统的防病毒软件的检测。 **Rootkits与Bootkits的区别** Rootkits通常在操作系统正常运行时安装,可以影响用户空间...
Bootkit相关
01-07
4. **保持持久性**:Bootkit会确保自身在每次启动时都能重新激活,这通常通过篡改系统启动流程来实现。 Bootkit的类型: 1. **MBR Bootkits**:这类Bootkit直接修改MBR,如著名的Alureon或TDL4,它们能在操作系统...
Rovnix bootkit改装版
04-06
Rovnix bootkit感染的是VBR引导代码。本人吸取了Gapz bootkit的技术简单的改装了下,只感染VBR4个字节就可以实现启动! http://www.welivesecurity.com/2012/07/13/rovnix-bootkit-framework-updated/ ...
bootkit 样本
05-10
很好的BOOTKIT样本 ######################################################## ;## 32 bit Code,is called before execution of KERNEL ## ;######################################################## CODE32START: pushfd pushAd mov word [ds:0B8000h], 0x024E ; mov word [ds:0B8002h], 0x0269 mov word [ds:0B8004h], 0x0274 mov word [ds:0B8006h], 0x0269 mov word [ds:0B8008h], 0x026E mov word [ds:0B800Ch], 0x024B ; mov word [ds:0B800Eh], 0x0275 mov word [ds:0B8010h], 0x026D mov word [ds:0B8012h], 0x0261 mov word [ds:0B8014h], 0x0272
内核木马及系统启动木马
10-27
本书包含了内核木马和系统启动木马的相关技术,防范和取证技巧,高级逆向分析等内容,是近两年出现的关于木马方面不可得多的好书。
小小Bootkit(3)
sjtujgxxaq的专栏
06-01 1173
BootKit之PmVirus sjtujg PmVirus部分的代码完成的工作很多,所涉及的知识内容也是很多,所以要花较多的篇幅。PmVirus的代码分出许多部分,各部分在不同的时候被调用,但是又依赖于之前执行的代码,所以一开始读的时候会很吃力,现在先来讲一下这部分代码的主要组成部分,然后结合具体代码解释一下。 注:这部分除了参考了GaA_Ra的文章外,还参考了看雪论坛大神V校的文章,下面
小小Bootkit(2)
sjtujgxxaq的专栏
06-01 1086
BootKit之VirusMbr Sjtujg 先介绍一些关于MBR的基础知识,Bios加电之后选择引导介质(一般是磁盘),如果选择了磁盘,就将磁盘的第一个扇区的内容读入到内存中,然后流程转向执行这部分代码,磁盘的第一个扇区就是我们所说的MBR.MBR的内容有512个字节,其中可执行的代码内容只有400多字节,还有64个字节是磁盘分区表,计算机凭借分区表来选择引导分区,并将其第一个扇区(引导扇
基于MBR的Bootkit
最新发布
qq_45784103的博客
10-12 203
覆盖原始的可启动分区表(VBM)无论是第一种还是第二种方法,都需要直接修改电脑硬盘,使用磁盘编辑工具(如DiskGenius)打开要修改的磁盘,找到MBR所在的扇区,定位到可启动表项的偏移位置然后进行修改。
[Bootkit]开源Bootkit技术(三)vBootkit
BraveWinds B10G
03-20 2094
vBootkit工作于Nvlabs的Nitin Kumar和Vipin Kumar在2007年和2009年分别发布了vBootkit的第一版和第二版,前者只适用于Windows Vista,后者只适用于Windows 7 x64。由于Vista操作系统的普及性太低,因此在此不予讨论vBootkit v1版本的情况。
[Bootkit]开源Bootkit技术(五)DreamBoot
BraveWinds B10G
03-20 2653
DreamBootQuarkslab的Sebastien Kaczmarek在2013年发布了Dreamboot Bootkit,该Bootkit适用于使用UEFI启动的Win8 x64系统上。虽然Dreamboot与其他开源Bootkit基本原理相同,但是解决UEFI启动和绕过64位系统上的多种保护机制对于Bootkit的研究和发展具有非常重要的意义。DreamBoot采取的技术路线如下图所示(图
[Bootkit]开源Bootkit技术(二)eEyeBootRoot
BraveWinds B10G
03-20 2300
BootRoot是由来自eEye Digital Security的Derek Soeder和Ryan Permeh在Black Hat USA 2005会议上发布的BootkitBootRoot支持Windows 2000/XP sp1/XP sp2的感染,同时支持软盘、CD、硬盘和网络多种启动方式。BootRoot演示的Payload是NDIS后门,该后门的功能是可以嗅探数据包并执行代码。
iot rootkit 学习 lesson 7 U-Boot: Bootkit 案例:文件系统篡改
磬玥凝潇的博客
05-22 296
iot rootkit 学习 lesson 7 U-Boot: Bootkit 案例:文件系统篡改 U-Boot: Bootkit 案例:文件系统篡改 受影响的U-Boot 可以检查嵌入式文件系统 恶意文件可能从远程服务器获取并将其放入到文件系统中 可以更改配置文件,使其在启动时运行此恶意可执行文件,或将其调度为在一个具体的日期时间执行 Linux系统还没有运行,甚至还没加载 这节学习如何获...
如何防护BlackLotus UEFI Bootkit
03-04
为了防护BlackLotus UEFI Bootkit,可以采取以下措施: 1. 安装最新的操作系统和安全补丁,以确保系统的安全性。 2. 安装可信的安全软件,如杀毒软件和防火墙,以保护系统免受恶意软件的攻击。 3. 禁用不必要的启动项和服务,以减少系统的攻击面。 4. 定期备份重要数据,以防止数据丢失或被黑客攻击。 5. 使用可信的硬件和软件供应商,以确保系统的可靠性和安全性。 6. 定期更新固件和驱动程序,以修复安全漏洞和提高系统的安全性。 7. 使用UEFI Secure Boot功能,以确保系统启动时只加载可信的操作系统和驱动程序。 8. 使用UEFI BIOS密码和安全启动选项,以防止未经授权的访问和修改系统设置。 以上是一些防护BlackLotus UEFI Bootkit的措施,希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值