[原创]一个Bootkit样本的逆向分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一个Bootkit样本的逆向分析

发表于: 2010-1-21 22:54 60851

[原创]一个Bootkit样本的逆向分析

denglifeng 活跃值

2010-1-21 22:54

60851

查看主题内容

收藏・62

免费・7

支持

最新回复 (101) ◀ 1 2 3 4 5 ▶
kanxue 雪币： 47147 活跃值： (20470) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 26 楼才看到此帖。谢谢楼主分享！置顶3天以示鼓励！ 2010-1-27 15:59 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 27 楼 support 2010-1-27 17:18 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 28 楼我是来顶贴的！！ 2010-1-27 19:26 0
winsee 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	winsee 29 楼我很少回帖,但这个一定要顶,感谢楼主 2010-1-28 11:17 0
MatrixNERO 雪币： 71 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 10 回帖 69 粉丝 0 关注私信	MatrixNERO 2 30 楼 BootKit，很邪恶，很强大！！呵呵 2010-1-28 21:22 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 31 楼看看这高深的东西谢谢楼主分享了 2010-1-28 22:21 0
daienming 雪币： 211 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 32 楼我看不懂，先收藏一下 2010-1-29 09:29 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 33 楼 surport!!! 2010-1-30 11:13 0
火狼の吻雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	火狼の吻 34 楼好贴顶了支持吧 2010-1-31 23:21 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 35 楼这玩意儿应该怎么清除？ 2010-2-1 14:28 0
lixiaolin 雪币： 254 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 47 粉丝 0 关注私信	lixiaolin 36 楼膜拜啊太强了 2010-2-2 09:52 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 37 楼进入第三页膜拜 2010-2-2 21:16 0
ftdhd 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	ftdhd 38 楼谢谢分享学习了。 2010-2-3 09:57 0
wpclub 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	wpclub 39 楼 mark 2010-2-11 22:47 0
evomon 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	evomon 40 楼 surport 2010-2-13 10:38 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 41 楼占位学习.谢谢 2010-2-17 19:39 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 42 楼 up up up 2010-2-20 05:34 0
gjden 雪币： 6790 活跃值： (4446) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 43 楼辛苦楼主了，下下来，好好地看看！！ 2010-3-7 02:21 0
anlinknog 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	anlinknog 44 楼 rootkit?bootkit? 2010-3-9 10:58 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 45 楼 1、第一级HOOK（HOOK INT13h) seg000:7C35 @HOOK_INT13H: seg000:7C35 xor bx, bx seg000:7C37 mov eax, [bx+4Ch] seg000:7C3B mov es:73h, eax seg000:7C40 mov word ptr [bx+4Ch], 66h ; 'f' seg000:7C45 mov word ptr [bx+4Eh], es seg000:7C48 push es seg000:7C49 push 4Dh ; 'M' seg000:7C4C retf 上面的代码实现了HOOK INT13h ，即HOOK了BIOS的磁盘中断服务。这里不在详述了，这种HOOK磁盘服务在Bootkit中经常用到。应该是在dos时代哦。 2010-3-10 01:44 0
denglifeng 雪币： 189 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	denglifeng 1 46 楼这里的HOOK INT13h 确实是用到了DOS时代的篡改中断向量表，通过这种方式能够再次获得控制权。至于这种基于MBR的Bootkit还是很好防御，首先可以有杀毒软件主动防御的保护MBR，如果利用什么其他方法绕过了安全防御篡改了MBR，可以用杀毒软件进行检测，不过我试过一些杀毒软件，只能检测出一部分被Bootkit篡改的MBR，而且被篡改后的MBR，杀毒软件很难进行修复。其实计算机的MBR代码还是很相似的，不同的计算机也就是分区表不太一样。估计杀毒软件不进行恢复，原因很有可能是：一旦恢复不成功，计算机就不能正常启动，会对用户造成一定的影响。至于其他类型的Bootkit，则要具体问题具体分析了。这些都是个人的一些看法，说得不对还请大牛门指正。 2010-3-10 10:18 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 47 楼难道只能用于病毒这样邪门的东西？我想了一种新用途，笔记本电脑被盗后追踪，使用这种方法后，系统重装后也能加载指定的代码，如果联网了，就能快速找到ip。 2010-3-11 11:00 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 48 楼看这个，还不如去看别人的源码。这样本就是国外论坛里的源码，一点都没有改动。别人的源码注释还更清楚，更详细 2010-3-17 18:30 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 49 楼经测试，此样本在我虚拟机中没正常工作。 2010-3-17 18:33 0
denglifeng 雪币： 189 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	denglifeng 1 50 楼之前还真不知道这个样本有源码，至今我也还没找到这个样本的源码。还望大牛指点。当初只是想从逆向的角度分析下这个Bootkit样本启动代码的实现过程，放到论坛里面来，也是为了普及一下这种技术的实现过程。这个样本在虚拟机里面是能跑的，最终这个Bootkit启动了一个驱动程序。测试的时候，这个驱动程序有200多KB，还加壳，我也就没细致的去分析这个驱动。感兴趣的可以分析下这个驱动的实现过程。 2010-3-18 13:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

denglifeng

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (101) ◀ 1 2 3 4 5 ▶
kanxue 雪币： 47147 活跃值： (20470) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 26 楼才看到此帖。谢谢楼主分享！置顶3天以示鼓励！ 2010-1-27 15:59 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 27 楼 support 2010-1-27 17:18 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 28 楼我是来顶贴的！！ 2010-1-27 19:26 0
winsee 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	winsee 29 楼我很少回帖,但这个一定要顶,感谢楼主 2010-1-28 11:17 0
MatrixNERO 雪币： 71 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 10 回帖 69 粉丝 0 关注私信	MatrixNERO 2 30 楼 BootKit，很邪恶，很强大！！呵呵 2010-1-28 21:22 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 31 楼看看这高深的东西谢谢楼主分享了 2010-1-28 22:21 0
daienming 雪币： 211 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 32 楼我看不懂，先收藏一下 2010-1-29 09:29 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 33 楼 surport!!! 2010-1-30 11:13 0
火狼の吻雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	火狼の吻 34 楼好贴顶了支持吧 2010-1-31 23:21 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 35 楼这玩意儿应该怎么清除？ 2010-2-1 14:28 0
lixiaolin 雪币： 254 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 47 粉丝 0 关注私信	lixiaolin 36 楼膜拜啊太强了 2010-2-2 09:52 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 37 楼进入第三页膜拜 2010-2-2 21:16 0
ftdhd 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	ftdhd 38 楼谢谢分享学习了。 2010-2-3 09:57 0
wpclub 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	wpclub 39 楼 mark 2010-2-11 22:47 0
evomon 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	evomon 40 楼 surport 2010-2-13 10:38 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 41 楼占位学习.谢谢 2010-2-17 19:39 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 42 楼 up up up 2010-2-20 05:34 0
gjden 雪币： 6790 活跃值： (4446) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 43 楼辛苦楼主了，下下来，好好地看看！！ 2010-3-7 02:21 0
anlinknog 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	anlinknog 44 楼 rootkit?bootkit? 2010-3-9 10:58 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 45 楼 1、第一级HOOK（HOOK INT13h) seg000:7C35 @HOOK_INT13H: seg000:7C35 xor bx, bx seg000:7C37 mov eax, [bx+4Ch] seg000:7C3B mov es:73h, eax seg000:7C40 mov word ptr [bx+4Ch], 66h ; 'f' seg000:7C45 mov word ptr [bx+4Eh], es seg000:7C48 push es seg000:7C49 push 4Dh ; 'M' seg000:7C4C retf 上面的代码实现了HOOK INT13h ，即HOOK了BIOS的磁盘中断服务。这里不在详述了，这种HOOK磁盘服务在Bootkit中经常用到。应该是在dos时代哦。 2010-3-10 01:44 0
denglifeng 雪币： 189 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	denglifeng 1 46 楼这里的HOOK INT13h 确实是用到了DOS时代的篡改中断向量表，通过这种方式能够再次获得控制权。至于这种基于MBR的Bootkit还是很好防御，首先可以有杀毒软件主动防御的保护MBR，如果利用什么其他方法绕过了安全防御篡改了MBR，可以用杀毒软件进行检测，不过我试过一些杀毒软件，只能检测出一部分被Bootkit篡改的MBR，而且被篡改后的MBR，杀毒软件很难进行修复。其实计算机的MBR代码还是很相似的，不同的计算机也就是分区表不太一样。估计杀毒软件不进行恢复，原因很有可能是：一旦恢复不成功，计算机就不能正常启动，会对用户造成一定的影响。至于其他类型的Bootkit，则要具体问题具体分析了。这些都是个人的一些看法，说得不对还请大牛门指正。 2010-3-10 10:18 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 47 楼难道只能用于病毒这样邪门的东西？我想了一种新用途，笔记本电脑被盗后追踪，使用这种方法后，系统重装后也能加载指定的代码，如果联网了，就能快速找到ip。 2010-3-11 11:00 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 48 楼看这个，还不如去看别人的源码。这样本就是国外论坛里的源码，一点都没有改动。别人的源码注释还更清楚，更详细 2010-3-17 18:30 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 49 楼经测试，此样本在我虚拟机中没正常工作。 2010-3-17 18:33 0
denglifeng 雪币： 189 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	denglifeng 1 50 楼之前还真不知道这个样本有源码，至今我也还没找到这个样本的源码。还望大牛指点。当初只是想从逆向的角度分析下这个Bootkit样本启动代码的实现过程，放到论坛里面来，也是为了普及一下这种技术的实现过程。这个样本在虚拟机里面是能跑的，最终这个Bootkit启动了一个驱动程序。测试的时候，这个驱动程序有200多KB，还加壳，我也就没细致的去分析这个驱动。感兴趣的可以分析下这个驱动的实现过程。 2010-3-18 13:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复