[原创]Carberp Bootkit源码解析-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Carberp Bootkit源码解析

发表于: 2013-12-16 11:10 29557

[原创]Carberp Bootkit源码解析

boywhp

2013-12-16 11:10

29557

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

Carberp源码解析.pdf （2.60MB，2346次下载）
i386.rar （14.31kb，560次下载）
PLOADER_PARAMETER_BLOCK.png （305.50kb，319次下载）
1.png （65.64kb，20次下载）
2.png （19.95kb，4次下载）
3.png （77.55kb，4次下载）
4.png （34.27kb，5次下载）
5.png （124.23kb，4次下载）
6.png （94.89kb，10次下载）
7.png （10.20kb，4次下载）
8.png （9.26kb，8次下载）
9.png （28.00kb，4次下载）
10.png （4.19kb，4次下载）
11.png （44.96kb，4次下载）
12.png （41.02kb，4次下载）
13.png （1.42kb，4次下载）
14.png （8.44kb，4次下载）
15.png （0.76kb，4次下载）
16.png （23.14kb，4次下载）
17.png （29.13kb，4次下载）
18.png （37.12kb，5次下载）
19.png （4.21kb，5次下载）
20.png （2.01kb，4次下载）
21.png （14.13kb，12次下载）
22.png （1.24kb，4次下载）
23.png （15.36kb，4次下载）
24.png （9.57kb，4次下载）
25.png （11.85kb，4次下载）
26.png （3.26kb，4次下载）
27.png （32.25kb，4次下载）
28.png （7.89kb，4次下载）
29.png （4.92kb，4次下载）
30.png （44.74kb，4次下载）
31.png （5.27kb，4次下载）
32.png （1.87kb，4次下载）
33.png （22.40kb，5次下载）
34.png （4.43kb，4次下载）
35.png （17.43kb，4次下载）
36.png （14.91kb，4次下载）
37.png （17.66kb，4次下载）
38.png （13.84kb，4次下载）
39.png （10.74kb，4次下载）
40.png （8.02kb，4次下载）
41.png （61.33kb，6次下载）
42.png （9.45kb，4次下载）
43.png （3.72kb，4次下载）
44.png （2.27kb，4次下载）
45.png （3.41kb，4次下载）
46.png （11.05kb，3次下载）
47.png （8.68kb，4次下载）
48.png （2.92kb，4次下载）
49.png （5.31kb，4次下载）
50.png （2.19kb，4次下载）
51.png （21.49kb，4次下载）
52.png （1.93kb，4次下载）
53.png （6.25kb，4次下载）
54.png （12.74kb，4次下载）
55.png （6.20kb，4次下载）
56.png （7.64kb，4次下载）
57.png （5.75kb，4次下载）
58.png （4.72kb，4次下载）
59.png （10.59kb，4次下载）
60.png （4.39kb，4次下载）
61.png （7.85kb，4次下载）
62.png （10.21kb，4次下载）
63.png （12.24kb，4次下载）
64.png （4.30kb，4次下载）
65.png （5.61kb，4次下载）
66.png （1.02kb，4次下载）
67.png （5.01kb，4次下载）
68.png （53.63kb，4次下载）

收藏・65

免费・5

支持

最新回复 (32) 1 2 ▶
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 2 楼好东西，感谢lz分享 2013-12-16 11:19 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 3 楼论坛英文版关于附件大小识别出错了，2.6M变成260M 上传的附件： QQ图片20131216111922.jpg （16.41kb，18次下载） 2013-12-16 11:20 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 4 楼 [QUOTE=riusksk;1247437]论坛英文版关于附件大小识别出错了，2.6M变成260M [/QUOTE] 英文版diao爆了。确实有问题。不过这边好多东西是图片的形式，而且没做多语言版本。x比如 "引用" 。切换了语言意义不大啊 2013-12-16 11:28 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 5 楼话说这货的驱动加载实现过程和精华部分木有分析出来啊 2013-12-16 11:37 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 6 楼支持boy的分享！！！ 2013-12-16 11:37 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 7 楼顶~ 赞一个... 2013-12-16 11:41 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 8 楼驱动加载的部分在那个BkLib里面，都是C代码，我就不分析，我以前没搞过BK，比较关注前面的汇编部分。另外x64和windows7部分我也没研究了。感觉大体结构清楚了，剩下一堆细节。 2013-12-16 11:49 0
guobing 雪币： 11220 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 9 楼赞一个，牛x的分析。。虽说这东西也下载过，存在硬盘有段时间了，总想着啥时候看看，一想就没戏了。呵呵。。 2013-12-16 12:04 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 10 楼赞一个，好勤奋，也很有时间 2013-12-16 12:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 11 楼赞一个，问个问题这玩意对windows 2003感染后ntldr提示内存不够的bug如何修复？ 2013-12-16 13:23 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 12 楼 ntldr提示内存不够?应该不会吧，除非是他的那个int 15h hook出问题了 2013-12-16 13:29 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼不是每台机器都出~~ 部分机器~ 2013-12-16 13:31 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 14 楼好吧看来你已经用上了 2013-12-16 13:51 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 15 楼 ntldr 在加载系统的过程中至少需要512k的Basic Memory 你最好看一下那个机器0000:0413h 看一下是不是有别的什么程序占用了基本内存，比如说PCI扩展ROM 基于MBR的还原什么的 2013-12-16 14:19 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼我去年已经战过了。 2013-12-16 14:21 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 17 楼又见Bootkit... 2013-12-16 14:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼重装成xp，感染就行的~~~~ 2013-12-16 14:24 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 19 楼下载留名。 2013-12-16 15:48 0
viphack 雪币： 219 活跃值： (788) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 20 楼看到了！老v 和sandmano 2013-12-17 00:33 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 21 楼 [QUOTE=riusksk;1247437]论坛英文版关于附件大小识别出错了，2.6M变成260M [/QUOTE] 原来是英文版的问题导致的,之前我也遇到过了,我还以为是browser导致的. 2013-12-17 01:12 0
wjcsharp 雪币： 78 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	wjcsharp 22 楼灰常好，源码早就fork了，但是一直没有分析，还是Lz实战派啊 2013-12-17 11:10 0
threekiss 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	threekiss 23 楼嗯,不错! 值得学习,我还要花点时间好好琢磨琢磨. 谢谢! 2013-12-17 15:42 0
lisalan 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	lisalan 24 楼那个能帮忙把源码打下包，谢谢 2013-12-17 19:40 0
ylcacrack 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	ylcacrack 25 楼感觉很深奥的样子！感谢楼主分享 2013-12-17 20:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

boywhp

发帖

595

回帖

750

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 2 楼好东西，感谢lz分享 2013-12-16 11:19 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 3 楼论坛英文版关于附件大小识别出错了，2.6M变成260M 上传的附件： QQ图片20131216111922.jpg （16.41kb，18次下载） 2013-12-16 11:20 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 4 楼 [QUOTE=riusksk;1247437]论坛英文版关于附件大小识别出错了，2.6M变成260M [/QUOTE] 英文版diao爆了。确实有问题。不过这边好多东西是图片的形式，而且没做多语言版本。x比如 "引用" 。切换了语言意义不大啊 2013-12-16 11:28 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 5 楼话说这货的驱动加载实现过程和精华部分木有分析出来啊 2013-12-16 11:37 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 6 楼支持boy的分享！！！ 2013-12-16 11:37 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 7 楼顶~ 赞一个... 2013-12-16 11:41 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 8 楼驱动加载的部分在那个BkLib里面，都是C代码，我就不分析，我以前没搞过BK，比较关注前面的汇编部分。另外x64和windows7部分我也没研究了。感觉大体结构清楚了，剩下一堆细节。 2013-12-16 11:49 0
guobing 雪币： 11220 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 9 楼赞一个，牛x的分析。。虽说这东西也下载过，存在硬盘有段时间了，总想着啥时候看看，一想就没戏了。呵呵。。 2013-12-16 12:04 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 10 楼赞一个，好勤奋，也很有时间 2013-12-16 12:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 11 楼赞一个，问个问题这玩意对windows 2003感染后ntldr提示内存不够的bug如何修复？ 2013-12-16 13:23 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 12 楼 ntldr提示内存不够?应该不会吧，除非是他的那个int 15h hook出问题了 2013-12-16 13:29 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼不是每台机器都出~~ 部分机器~ 2013-12-16 13:31 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 14 楼好吧看来你已经用上了 2013-12-16 13:51 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 15 楼 ntldr 在加载系统的过程中至少需要512k的Basic Memory 你最好看一下那个机器0000:0413h 看一下是不是有别的什么程序占用了基本内存，比如说PCI扩展ROM 基于MBR的还原什么的 2013-12-16 14:19 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼我去年已经战过了。 2013-12-16 14:21 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 17 楼又见Bootkit... 2013-12-16 14:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼重装成xp，感染就行的~~~~ 2013-12-16 14:24 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 19 楼下载留名。 2013-12-16 15:48 0
viphack 雪币： 219 活跃值： (788) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 20 楼看到了！老v 和sandmano 2013-12-17 00:33 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 21 楼 [QUOTE=riusksk;1247437]论坛英文版关于附件大小识别出错了，2.6M变成260M [/QUOTE] 原来是英文版的问题导致的,之前我也遇到过了,我还以为是browser导致的. 2013-12-17 01:12 0
wjcsharp 雪币： 78 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	wjcsharp 22 楼灰常好，源码早就fork了，但是一直没有分析，还是Lz实战派啊 2013-12-17 11:10 0
threekiss 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	threekiss 23 楼嗯,不错! 值得学习,我还要花点时间好好琢磨琢磨. 谢谢! 2013-12-17 15:42 0
lisalan 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	lisalan 24 楼那个能帮忙把源码打下包，谢谢 2013-12-17 19:40 0
ylcacrack 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	ylcacrack 25 楼感觉很深奥的样子！感谢楼主分享 2013-12-17 20:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复