Bootkit是更高級的Rootkit木馬后門。該概念最早于2005年被eEyeDigital公司在他們的“BootRoot"項目中提及�,該項目通過感染MBR(磁盤主引記錄)的方式,實現(xiàn)繞過系統(tǒng)內核檢查和啟動隱身��。所有在開機時比Windows內核更早加載���,實現(xiàn)內核劫持的技術�����,都可以稱之為Bootkit��。例如后來木馬BIOS Rootkit���、VBootkit����、SMM Rootkit等��。
“只有客戶發(fā)展了��,才有我們的生存與發(fā)展�!”這是成都創(chuàng)新互聯(lián)公司的服務宗旨!把網站當作互聯(lián)網產品�����,產品思維更注重全局思維�、需求分析和迭代思維,在網站建設中就是為了建設一個不僅審美在線���,而且實用性極高的網站�����。創(chuàng)新互聯(lián)對成都網站制作�、成都網站建設、網站制作��、網站開發(fā)���、網頁設計�����、網站優(yōu)化�����、網絡推廣���、探索永無止境���。
小實驗
下面是一張經典的機器開機啟動順序圖
如上圖所示�����,第一個組件被稱做是主引導記錄(MBR)����,也就是咱們常說硬盤中的0扇區(qū)。MBR描述了邏輯分區(qū)的一些信息�����,包含文件系統(tǒng)以及組織方式
在引導程序執(zhí)行幾個檢查過后�,程序就跳轉到VBR引導分區(qū)(同樣在0扇區(qū)中)。同樣的����,VBR也在分區(qū)中定義了一些東西。VBR包含了bootstrap和bootloader兩部分�����。
在嵌入式操作系統(tǒng)中�,BootLoader是在操作系統(tǒng)內核運行之前運行。
Bootkit一般都是感染MBR或者是VBR��,將代碼復制到內存中����,然后執(zhí)行惡意代碼。有時候���,他們還會hook INT 13/15中斷處理程序來過濾內存和磁盤的訪問���,保護收到感染的MBR/VBR以及內核驅動��。
一旦完成�����,惡意驅動程序就會注入到用戶進程�,然后用一個Payload(攻擊負載)執(zhí)行惡意操作���,比如進行釣魚攻擊啥的����。
關于RogueKiller
流氓軟件殺手(roguekiller)是一款免費的進程掃描程序��,能夠針對電腦正在運行的軟件程序�、系統(tǒng)文件、hosts��、代理����、dns�、檔案����、mbr���、驅動程序等進行全面安全的掃描檢測�,一旦發(fā)現(xiàn)惡意程序即可中止或清除�,從而保護用戶的計算機安全。
RogueKiller這款軟件可以檢測到注入進程����,見下面截圖:
RogueKiller不僅僅能夠檢測到,還能夠自動移除染�����。只需簡單的掃描操作����,就可以輕松刪除受感染的文件了。
移除TDL4的演示
移除Rovnix的演示
相關閱讀:針對蘋果電腦的ROM級惡意程序Thunderstrike
近日���,安全研究人員發(fā)現(xiàn)一種讓蘋果電腦感染ROM級惡意程序的方法����。這個攻擊由編程專家Trammell Hudson在德國漢堡舉辦的年度混沌計算機大會上展現(xiàn),他證明這將使重寫蘋果Mac計算機固件成為可能���。
這種攻擊被命名為“Thunderstrike”����。它實際上利用了一個在ThunderboltOption ROM中有些歷史的漏洞�,該漏洞在2012年首次被發(fā)現(xiàn)但仍未修補。通過受感染的Thunderbolt設備在蘋果電腦的boot ROM中分配一段惡意程序��,Thunderstrike 將可以感染蘋果可擴展固件接口(EFI)�。
參考來源:http://www.adlice.com/bootkit-removal-roguekiller/
分享名稱:如何清除Bootkit木馬后門
分享地址:
http://uogjgqi.cn/article/djgeocg.html
