可制作僵尸网络的Bootkit浅析

最新推荐文章于 2024-08-24 08:51:43 发布
最新推荐文章于 2024-08-24 08:51:43 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 信安学习 Windows编程学习 文章标签: Bootkit 引导启动级病毒制作 病毒隐藏 木马制作原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_f0rm4t3d/article/details/26288441
版权
本文介绍了Bootkit技术,它是Rootkit的增强版,主要用于隐藏侵入者踪迹并保持系统控制。以经典案例“鬼影”病毒为例,解释了Bootkit如何修改MBR以实现开机前执行恶意代码。文章详细阐述了计算机的引导过程,包括BIOS、MBR、DBR和NTLDR的角色,指出NTLDR是Bootkit攻击的关键目标。同时,讨论了不同引导阶段的劫持可能性和兼容性问题,以及未来UEFI可能对Bootkit产生的影响。
摘要由CSDN通过智能技术生成
最近翻出自己以前存的黑防的杂志,又兴致勃勃的看起来,索性把自己的学得记下来,今天的话题是Bootkit,首先介绍下所谓的Bootkit这个技术,其实就是Rootkit的增强版,所以还是先介绍Rootkit吧,Rootkit就是入侵者为了隐藏自己的踪迹和保存root权限的工具(也可以说是一种技术),同样这里Bootkit的目的也一样,这里就是不扩展讲rootkit的实现了,因为这里涉及windows内核提权等大量知识,如果对rootkit有兴趣的可以自己Google,这里回过头来讲Bootkit,说到这里不得不提下Bootkit技术制作的经典杰作-"鬼影"病毒,简单介绍下鬼影病毒,她是通过修改MBR(Main Boot Record,主引导记录)实现开机过程中还未加载windows的时候就执行恶意代码的能力,这里关键的问题是这种鬼影病毒一旦种植在您的电脑上就难以根除,原因有以下几点:1。他自己所在的位置不是普通硬盘簇里,而是在第0片盘片的引导扇区,而非文件系统中的文件。2.存在与MBR的代码在Windows加载之前就已经被加载执行了,所以他的权限极高,对杀软可以做到先发制人。

下面为了能进一步讲下去,先给大家科普下计算机的引导过程,首先当你按下电源使CPU加电之后,首先会执行在主板上固化的一段代码(一次性只读硬件烧录上的,一般修改不了,但是如果BIOS支撑刷写,那就可以做BIOS bootkit),这段代码就是BIOS (Bisic Input Output System)程序,这里的做的一些固定的活就是对硬盘,CPU,内存等基本固件做健康检查,如果这的硬件检查通过,下一步
最低0.47元/天 解锁文章
1_f0rm4t3d
关注
专栏目录
[Bootkit]开源Bootkit技术(一)目录&引言
BraveWinds B10G
03-20 4824
Bootkit作为更高的Rootkit,通过感染磁盘主引导记录(MBR)方式,实现绕过内核检查和启动隐身。博主将会在《开源Bootkit技术》系列文章中陆续介绍四款开源Bootkit的基本情况,并对Stoned Bootkit的反病毒软件响应情况进行了测试和总结。开源Bootkit技术(一)引言 开源Bootkit技术(二)eEyeBootRoot 开源Bootkit技术(三)vBootkit
又一个 Golang 编写的僵尸网络:KmsdBot
FreeBuf_的博客
11-30 412
Akamai 最近通过全球部署的蜜罐,发现了一个为游戏行业量身定制的具有 DDoS 能力与加密货币挖掘能力的僵尸网络 KmsdBot。
bootkit-rs 开源项目教程
最新发布
gitblog_01142的博客
08-24 428
bootkit-rs 开源项目教程 bootkit-rsbootkit-rs - 一个用 Rust 编写的 Windows UEFI Bootkit,用于手动映射驱动程序,绕过驱动签名强制要求(DSE)。项目地址:https://gitcode.com/gh_mirrors/bo/bootkit-rs 项目介绍 bootkit-rs 是一个基于 Rust 语言编写的引导加载器(Bootload...
揭秘Neutrino僵尸网络生成器
weixin_33700350的博客
03-08 685
mssp299 · 2015/08/24 10:17翻译:mssp299原文地址:blog.malwarebytes.org/botnets/201…0x01 引言一般情况下,网络犯罪分子通常都会以产品套装的形式来出售其攻击软件,其中包括:恶意有效载荷:恶意软件的前端,用于感染用户。C&C面板:恶意软件的后端部分,通常为LAMP环境下的一个Web应用程序。生成器:一个应用程序,用来打包有效...
[Bootkit]开源Bootkit技术(三)vBootkit
BraveWinds B10G
03-20 2143
vBootkit工作于Nvlabs的Nitin Kumar和Vipin Kumar在2007年和2009年分别发布了vBootkit的第一版和第二版,前者只适用于Windows Vista,后者只适用于Windows 7 x64。由于Vista操作系统的普及性太低,因此在此不予讨论vBootkit v1版本的情况。
[Bootkit]开源Bootkit技术(二)eEyeBootRoot
BraveWinds B10G
03-20 2366
BootRoot是由来自eEye Digital Security的Derek Soeder和Ryan Permeh在Black Hat USA 2005会议上发布的BootkitBootRoot支持Windows 2000/XP sp1/XP sp2的感染,同时支持软盘、CD、硬盘和网络多种启动方式。BootRoot演示的Payload是NDIS后门,该后门的功能是可以嗅探数据包并执行代码。
Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e
09-30
3. **Bootkit感染途径**:常见的Bootkit感染方式包括通过网络下载、U盘传播、恶意邮件附件等,一旦感染,可能通过修改MBR(主引导记录)或VBR(卷引导记录)实现持久化。 4. **检测与防御**:检测Rootkits和...
Rovnix bootkit改装版
04-06
Rovnix bootkit感染的是VBR引导代码。本人吸取了Gapz bootkit的技术简单的改装了下,只感染VBR4个字节就可以实现启动! http://www.welivesecurity.com/2012/07/13/rovnix-bootkit-framework-updated/ ...
Bootkit相关
01-07
- pingv:可能是Bootkit开发中的一个工具或脚本,用于测试网络连接或进行某些验证。 - build:这可能是一个构建目录,包含了编译或打包Bootkit所需的文件和脚本。 - sample:这个文件名暗示可能存在示例代码或用例,...
Stoned Bootkit
12-05
### Stoned Bootkit #### 简介 Stoned Bootkit是一种高引导工具包(bootkit),由独立操作系统开发者Peter Kleissner开发。它在Windows启动之前加载,并且是驻留在内存中的,这意味着Stoned在Windows内核之外...
[Bootkit]开源Bootkit技术(五)DreamBoot
BraveWinds B10G
03-20 2723
DreamBootQuarkslab的Sebastien Kaczmarek在2013年发布了Dreamboot Bootkit,该Bootkit适用于使用UEFI启动的Win8 x64系统上。虽然Dreamboot与其他开源Bootkit基本原理相同,但是解决UEFI启动和绕过64位系统上的多种保护机制对于Bootkit的研究和发展具有非常重要的意义。DreamBoot采取的技术路线如下图所示(图
bootkit 样本
05-10
很好的BOOTKIT样本 ######################################################## ;## 32 bit Code,is called before execution of KERNEL ## ;######################################################## CODE32START: pushfd pushAd mov word [ds:0B8000h], 0x024E ; mov word [ds:0B8002h], 0x0269 mov word [ds:0B8004h], 0x0274 mov word [ds:0B8006h], 0x0269 mov word [ds:0B8008h], 0x026E mov word [ds:0B800Ch], 0x024B ; mov word [ds:0B800Eh], 0x0275 mov word [ds:0B8010h], 0x026D mov word [ds:0B8012h], 0x0261 mov word [ds:0B8014h], 0x0272
“暗云”BootKit木马详细技术分析
weixin_34319999的博客
03-08 975
腾讯电脑管家 · 2015/01/30 12:580x00 “暗云”木马简介:“暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机, 暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装系统格式化硬盘也无法清除该木马。该木马使用了很多创新的技术,有以下特点:第一、隐蔽性非常高,通过Hook磁盘驱动实现对...
Bootkit病毒技术简介
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-07 2186
摘要:Bootkit病毒是指寄存于磁盘主引导区,通过系统启动来进行提权的病毒(本文称其为引导病毒)。磁盘的主引导区(英文缩写MBR,下文以MBR代指引导区),是指计算机的被设为启动磁盘的第一个扇区。 Bootkit病毒是指寄存于磁盘主引导区,通过系统启动来进行提权的病毒(本文称其为引导病毒)。磁盘的主引导区(英文缩写MBR,下文以MBR代指引导区),是指计算机的被设为启动磁盘的第一个扇区
小小Bootkit
sjtujgxxaq的专栏
06-01 954
BootKit之总体概述 sjtujg 最近参照GhostShadow3的开源逆向版本实现了一个最简单的bootkit原型,姑且叫他simple-boot。功能就是在计算机开机引导至最终进入操作系统之间用自己的一个驱动去替换windows会自动加载的beep.sys驱动程序。这也是许多病毒采取的方法,即用一个有“恶意”的驱动去替换beep.sys,而后被windows自动加载获得ring0
小小Bootkit(3)
sjtujgxxaq的专栏
06-01 1203
BootKit之PmVirus sjtujg PmVirus部分的代码完成的工作很多,所涉及的知识内容也是很多,所以要花较多的篇幅。PmVirus的代码分出许多部分,各部分在不同的时候被调用,但是又依赖于之前执行的代码,所以一开始读的时候会很吃力,现在先来讲一下这部分代码的主要组成部分,然后结合具体代码解释一下。 注:这部分除了参考了GaA_Ra的文章外,还参考了看雪论坛大神V校的文章,下面
小小Bootkit(2)
sjtujgxxaq的专栏
06-01 1109
BootKit之VirusMbr Sjtujg 先介绍一些关于MBR的基础知识,Bios加电之后选择引导介质(一般是磁盘),如果选择了磁盘,就将磁盘的第一个扇区的内容读入到内存中,然后流程转向执行这部分代码,磁盘的第一个扇区就是我们所说的MBR.MBR的内容有512个字节,其中可执行的代码内容只有400多字节,还有64个字节是磁盘分区表,计算机凭借分区表来选择引导分区,并将其第一个扇区(引导
基于MBR的Bootkit
qq_45784103的博客
10-12 249
覆盖原始的可启动分区表(VBM)无论是第一种还是第二种方法,都需要直接修改电脑硬盘,使用磁盘编辑工具(如DiskGenius)打开要修改的磁盘,找到MBR所在的扇区,定位到可启动表项的偏移位置然后进行修改。
一种基于NTLDR的BOOTKIT──原理及实现
11-20 1853
 Author: inghu  EMail: jack.xlt@gmail.com  Site:http://hi.baidu.com/inghu  Date:2008-11-1  前言:XCON2008将于不日召开,其间国内外安全界之高手将云集席间,共享中国安全界这一盛会。吾自 ...  Author: inghu  EMail: jack.xlt@gmail.com  Site: 
Windows Bootkit隐藏技术:MBR与多hook分析
"基于MBR的Windows bootkit隐藏技术" 本文主要探讨了Windows操作系统下的Bootkit启动隐藏技术,特别是基于...同时,它也提醒了安全研究人员需要持续关注和研究这些高的隐蔽技术,以应对日益复杂的网络安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值