android基于MBR的bootkit病毒学习笔记

最新推荐文章于 2021-06-03 22:42:40 发布
最新推荐文章于 2021-06-03 22:42:40 发布
阅读量123 收藏 1
点赞数
文章标签: 移动开发 操作系统
原文链接:http://www.cnblogs.com/mickeyontheway/p/3549901.html
版权

OX1 基于MBR的bootkit

MBR(master boot record)主引导扇区,位于磁盘的第一个扇区,开机bios自检后被加载的第一个扇区。

基于MBR的bootkit的特点是无文件,无进程,无模块,存在于运行的内存和操作系统之外的磁盘扇区空间,重装系统,格式化磁盘都无法清理干净。

0X2 Android oldboot恶意程序

在android系统中,根目录和/sin目录位于RAM DISK中,是一个只读的内存文件系统,从磁盘的boot分区加载而来,但运行时发生的变化不会物理写回磁盘上,在系统运行时,将根目录和/sin挂载为可写,如果删除其中的文件(格式化磁盘或重装系统),但由于删除不会真正的写回磁盘,在设备重启后攻击者的数据又再次从磁盘的boot分区中被加载到以上文件。

 

0X3 如何将恶意程序oldboot的关键数据写入到boot分区?

M1:攻击者物理接触被感染的设备,并将恶意文件刷到设备的boot分区,及物理刷机所致。

M2:在系统运行期间,获取root权限后通过dd工具将恶意文件强行的写入磁盘的boot分区中。

oldboot才用的是方式一。

OX4 参考文献

http://blogs.360.cn/360mobile/2014/01/18/oldboot-the-first-bootkit-on-android_cn/

 

转载于:https://www.cnblogs.com/mickeyontheway/p/3549901.html

weixin_33756418
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android平台Bootkit高级攻击技术
chengying332
09-01 422
Android平台Bootkit高级攻击技术 在本届SyScan360国际前瞻信息安全会议上,来自360公司陈章琪和申迪为大家带来Andriod平台Bootkit高级攻击技术。据申迪介绍,恶意文件全部存储于ramdisk当中,需要root权限,无法借助文件系统直接删除。第二,挑战感染init.rc优先起动,早于杀毒软件启动。第三,注入system_server,没有APK程序。
OldbootAndroid平台的第一个bootkit
月下的一片天空
01-19 1254
看看大神的记录,膜拜一下,(*^__^*) 嘻嘻…… 转载自:奇虎360科技有限公司(NYSE: QIHU) 肖梓航,董清,张昊,蒋旭宪 —— 近日,我们发现了一个Android木马采用全新的攻击方法修改设备的boot分区和启动配置脚本,在系统启动的早期创建系统服务和释放恶意软件。由于boot分区的RAM disk特性,全球所有的反病毒软件都无法彻底将其清除。我们将这个木马
Android攻击技术,Android平台Bootkit高级攻击技术-2017SyScan360.PDF
weixin_42431577的博客
06-03 124
Android平台Bootkit高级攻击技术-2017SyScan360Android平台Bootkit高级攻击技术{ 陈章琪& 申迪@SyScan360 2014 360 的安全研究员 关注Android平台的攻防技术和系统漏洞 逆向工程还不错 以前搞过一点Windows Rootkit 爱好是看球赛,主机游戏,学日语自我介绍—— 申迪自我介绍—— 陈章琪 Android手...
Android.Oldboot.1,刷机小心中毒!首款安卓bootkit木马曝光
weixin_35676444的博客
05-28 559
【PConline 资讯】对于很多安卓玩家来说,刷机是一件司空见惯的事情。刷机有时候能解决很多问题,如果刷的是修改版的ROM的话,可能还会带来不少惊喜,可玩性极强。不过,刷机并不光只有好处,也会带来一些麻烦。据著名安全厂商Doctor Web(大蜘蛛)报道,目前首款安卓bootkit木马已经出现,能通过刷机感染用户设备,难以清除,各位安卓玩家需多多小心。首款安卓bootkit木马出现据悉,这款木马...
叙Windows平台下基于MBR和UEFI的bootkit(一)--以MBR为例
weixin_30455365的博客
09-09 265
  安全的对抗首先在权限方面,权限高的进程对权限低的权限就是就是降维打击,无往不利。当权限相同时,启动得早便为王。所谓的bootkit也就是基于这个思路设计的一种复杂病毒。它优先于Windows系统启动,自然也就优先于杀毒软件启动的时间。鉴于国内对bootkit的文章不多,本文想介绍一下bootkit的具体技术细节。为了保证内容的梯度和完整度,其中基于MBR的rootkit分别以WindowsXp...
基于MBR的Windows bootkit隐藏技术
03-23
对Windows系统环境下的bootkit隐藏技术进行了研究,提出...该原型基于MBR并通过多级hook完成了对Windows系统内核启动的劫持.实验结果表明,该原型体现了协同隐藏的思想,能够有效地隐藏运行.本文章非本人所著,仅供学习
MBR-BOOTKIT分析,样本
03-28
6. **防护措施**:了解如何防止BOOTKIT攻击,包括更新防病毒软件、禁用BIOS中的网络启动、定期备份MBR等。 7. **法律与伦理**:进行此类分析时,确保遵循法律和道德规范,特别是在处理他人的样本时,需确保有合法的...
bootkit 样本
05-10
很好的BOOTKIT样本 ######################################################## ;## 32 bit Code,is called before execution of KERNEL ## ;######################################################## CODE32...
Rovnix bootkit改装版
04-06
Rovnix bootkit感染的是VBR引导代码。本人吸取了Gapz bootkit的技术简单的改装了下,只感染VBR4个字节就可以实现启动! http://www.welivesecurity.com/2012/07/13/rovnix-bootkit-framework-updated/ ...
Windows启动过程原理:叙Windows平台下基于MBR和UEFI的bootkit
zz_strive_2012的专栏
06-20 962
安全的对抗首先在权限方面,权限高的进程对权限低的权限就是就是降维打击,无往不利。当权限相同时,启动得早便为王。所谓的bootkit也就是基于这个思路设计的一种复杂病毒。它优先于Windows系统启动,自然也就优先于杀毒软件启动的时间。鉴于国内对bootkit的文章不多,本文想介绍一下bootkit的具体技术细节。为了保证内容的梯度和完整度,其中基于MBR的rootkit分别以WindowsXp和Win7为例,而基于UEFI的bootkit则可以在Windows7以上版本(7,8,10)的运行。 一:基于M
[转] 基于MBRbootkit的进展 鬼影-TDL4-BMW
weixin_30852367的博客
12-28 153
以前写的做个总结,留念1,MBRBOOTKIT –鬼影?0?3鬼影系列?0?3特点:只支持XP 系统,基于国外的开源版本修改。?0?3从MBR里,挂中断13H,驻留高端内存,挂NTLDR 加载,对NTOS的函数进行HOOK,在NTOS初始化过程中,加载病毒驱动,从而进行一系列操作。?0?3所有病毒代码都在 MBR区域里,位于操作系统之外,格式化硬盘,重装系统均无法解决。?0?3缺点:只支持XP系...
小小Bootkit(4)
sjtujgxxaq的专栏
06-01 647
BootKit之感染磁盘部分 Sjtujg 这部分代码实际上就是最后的病毒,负责将病毒字节内容写到磁盘上一块隐蔽的区域,每次开机启动的时候就从该磁盘区域中将病毒读入内存中。 这部分代码与VirusMbr和PmVirus相比要简单的多,主要是C代码结合一些windows api。下面结合一些关键部分进行解释。 待写入磁盘的病毒内容已经转换成了unsigned char型数组VirusMbr[
“暗云”BootKit木马详细技术分析
weixin_34319999的博客
03-08 923
腾讯电脑管家 · 2015/01/30 12:580x00 “暗云”木马简介:“暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机, 暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装系统格式化硬盘也无法清除该木马。该木马使用了很多创新的技术,有以下特点:第一、隐蔽性非常高,通过Hook磁盘驱动实现对...
Bootkit病毒技术简介
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-07 2070
摘要:Bootkit病毒是指寄存于磁盘主引导区,通过系统启动来进行提权的病毒(本文称其为引导区病毒)。磁盘的主引导区(英文缩写MBR,下文以MBR代指引导区),是指计算机的被设为启动磁盘的第一个扇区。 Bootkit病毒是指寄存于磁盘主引导区,通过系统启动来进行提权的病毒(本文称其为引导区病毒)。磁盘的主引导区(英文缩写MBR,下文以MBR代指引导区),是指计算机的被设为启动磁盘的第一个扇区
Bootkit病毒来讲整个Windows启动过程
摔不死的笨鸟的博客
07-22 1243
Windows开机过程流程图Bootkit进化史BIOS加电自检MBR加载VBR加载IPL加载NTLDR加载Windows内核ntoskrnl初始化 流程图 关于Windows的启动过程,最详细最全面的介绍在2005年的eEyeBootRoot开源时的技术文档中。eEyeBootRoot是WIndows7时代很多MBR感染病毒的鼻祖,也是人们开始研究Windows启动过程的热点时期。 Bootkit进化史 在《Rootkits And Bootkits Reversing Modern Malware
BootKit病毒——“异鬼Ⅱ”的前世今生
diehong3707的博客
09-10 414
七月底,一种名为“异鬼Ⅱ”的木马在全网大肆传播。一个多月过去了,风声渐渐平息,之前本来准备专门就这个木马写一篇博客的,结果拖到现在,幸好时间隔得还不算太久。闲话不多说,回到正题。 虽然腾讯电脑管家已经很早就做出了相应的更新,并同时推出了“异鬼Ⅱ”病毒的专杀固件,但还是有不少电脑中招,所幸因为该病毒的特殊属性,没有造成太大的经济损失。下面我就详细介绍一下这种病毒。 ...
如何防护BlackLotus UEFI Bootkit
最新发布
03-04
为了防护BlackLotus UEFI Bootkit,可以采取以下措施: 1. 安装最新的操作系统和安全补丁,以确保系统的安全性。 2. 安装可信的安全软件,如杀毒软件和防火墙,以保护系统免受恶意软件的攻击。 3. 禁用不必要的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值