[求助]这是真的吗，现在的木马已经nb到这种程度了？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]这是真的吗，现在的木马已经nb到这种程度了？

发表于: 2009-5-9 10:31 25876

[求助]这是真的吗，现在的木马已经nb到这种程度了？

abcxiawei

2009-5-9 10:31

25876

俺有很长时间没关注木马技术的发展了，以前就知道个rootkit（好像拼错了？），刚才在ngacn看到一群人聊天说wow盗号事件，提到，现在的木马技术已经发展到bootkit，能远程对机器主板的cmos或者网卡的bios注入极小的一段代码，这段代码在nt内核load之前已经加载，绕过内核检测，绕过注册表检测，常规杀毒软件和rookit检测工具根本查不到，这段代码在系统启动完成后会接上远程地址下载一个windows下运行的木马本体篡夺系统控制权或者偷取密码，完成后该木马本地会自动消失掉，cmos里的代码会潜伏下来，等待下一次的远程指令，这机器就是一潜伏的肉鸡……

看的我是汗毛直树……这技术是不是真的，真是真的岂不是一点应对的招数都没有？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・4

免费・0

支持

最新回复 (56) 1 2 3 ▶
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼假的理论上可以实际上行不通不同的机器底层差异太大了难以通用 2009-5-9 11:02 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 3 楼自己看了一点ROOTKIT的书籍，感觉功能还是比较强的！ 2009-5-9 11:05 0
gaouestc 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	gaouestc 4 楼现在有了BOOTKIT技术的支持，一种新的计算机病毒感染技术——电磁感染正在研究中，这种技术可以利用电磁效应使得电磁装置作用范围内的计算机都会感染制定的木马，可见在一段时间以后原始的被认为是最安全的计算机保护方式——物理隔离，也是对计算机保护爱莫能助了。 2009-5-9 11:35 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 5 楼看来，病毒程序员要补课了 2009-5-9 12:23 0
linooo 雪币： 4 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 6 楼这是真的...理论个毛~~已经有了，不过，通用性不好，一般都只是针对某种类型的主板，譬如，phoenix的只能针对phoenix的，技嘉的就不能通用，不过，phoenix的资料较少，技嘉的资料多~你去搜搜，已经有人放bin了，就是启动后开telnet的~ 2009-5-9 12:28 0
abcxiawei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 51 粉丝 0 关注私信	abcxiawei 7 楼也就是说其实是可以实现的哦，不同机器的问题可以不考虑，他只需要针对市面上销量比较大的主板开发一款，就足够掠夺到比较多的密码数据了…… 原来tm是真的，板卡bios怎么会存在这样的漏洞，这不等于是cih再次卷土重来吗我不想去研究这东西如何实现的，我只想知道如何防御 2009-5-9 12:32 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 8 楼有这么厉害的，，牛啊， 2009-5-9 12:36 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 9 楼建议高人搞个样本传上来看看！ 2009-5-9 12:51 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 10 楼不能实用就是理论阶段你说的bin我也看过没感觉达到了实用的阶段远程对机器主板的cmos或者网卡的bios注入的代码也从来没听说过就算是ssm那个也要取得管理员权限才能在本地能 2009-5-9 14:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 11 楼这个技术只能蓝屏...DPProject。。。。。 2009-5-9 14:36 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 12 楼 http://www.unpack.cn/viewthread.php?tid=33871&extra=page%3D7 看下是不是我之前转过的一篇文章 2009-5-9 15:00 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 13 楼现在的bios Rootkit 都需要物理接触电脑 2009-5-9 19:22 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 14 楼确实bios Rootkit 都需要物理接触电脑之前搞过,在网吧.为bios 加了一段程序.启动后要输入密码,才能启动.如果网管不知道密码或不会换bios芯片.只有换主板了. 2009-5-10 15:56 0
linooo 雪币： 4 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 15 楼没见过就不要说没有好么~只是搞bootkit既需要硬件知识，又要操作系统底层知识，所以搞的不多而已~~那个bin确实只是个演示~如果放真正实用的bin出来恐怕那作者就得进去了，并且在安全界引起轩然大波~~不需要物理接触的，只需要入侵成功得到管理员权限~这个不能算是主板的漏洞啊，本来现在的主板cmos就支持写，只需要改其中的一个位~~~ 2009-5-10 23:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 16 楼 1.MBR感染类Bootkit...不如ntbootdd.sys用起来方便，存在成熟产品 2.Bios rootkit,做个通用的好难，AMI,AWARD,Phoenix三类XX，还有硬件通用性，但是已经有成熟产品... 3.电磁感染，POC，目前除了看到BSOD Dump之外没看过能执行的，POC阶段 4.Powerkit,弄完电池不能放电和充电了——是弄坏了，还是XX了，也是超级poc,除了蓝屏还是蓝屏~，POC阶段 5.Smm rootkit,更加POC,真的写入SMM里（现在多数是把自己弄到Cache里了，在SMM LOCK大旗下...）之后要干的事情很复杂，可能有产品... 6.所谓的DiskKit,弄在HD的firmware里，抗格式化，抗XX,问题是写在HD的Firmware基本不通用，有成熟产品 7.NCKit,VCKit...没见过，看过设计，基本上都是需要弄出硬盘访问，或者要改主板设置CMOS(比如NCKit,需要先用NC引导才可以工作，VCKit据说要改BIOS来支持)，只有少数Demo 8.ACPI BIOS Rootkit,这个其实是个噱头，真实安装ACPI代码时，Windows是给它写入到注册表，而不是XXRAM里,linux下貌似可以写进去...可能有产品 9.所谓USBKit,这个其实就是USB芯片的猫腻，去看看XX就知道了，但是貌似干坏事不足，而且需要厂家直接支持，有成熟产品 10.传统Rootkit,这个真的真的真的，很成熟，很牛X~有非常多的成熟产品 2009-5-11 09:26 0
nujia 雪币： 229 活跃值： (27) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 100 粉丝 1 关注私信	nujia 3 17 楼安全焦点有个例子， 2009-5-11 09:57 0
hily 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	hily 18 楼汗一个.......NB 2009-5-11 10:08 0
saning 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	saning 19 楼狂汗~~以后我就不敢开电脑了。。 2009-5-11 10:13 0
xuzhihua 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 59 粉丝 0 关注私信	xuzhihua 20 楼 rom的空间是有多余的,主要是是对Bios的更新,BIOS的研究我想可能可以植入一小段到里面,但是通用性问题不知道 2009-5-11 10:29 0
yanglingt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	yanglingt 21 楼我相信魔高一尺,道高一丈! 2009-5-11 10:39 0
小糊涂神雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	小糊涂神 1 22 楼真是危险~~~~~我只关心怎么防御 2009-5-11 10:43 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 23 楼 very good , very powerful 2009-5-11 13:17 0
WWX 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	WWX 24 楼 BIOS写入是存在一定的BUG,就像以前的CIH病毒.不过防范也是可以的,关闭主板BIOS的写功能 2009-5-13 07:17 0
老东西雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	老东西 25 楼真的.. 硬件的rootkit已经出来了. 不过对硬件依赖比较大,不具有通用性 2009-5-13 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

abcxiawei

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) 1 2 3 ▶
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼假的理论上可以实际上行不通不同的机器底层差异太大了难以通用 2009-5-9 11:02 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 3 楼自己看了一点ROOTKIT的书籍，感觉功能还是比较强的！ 2009-5-9 11:05 0
gaouestc 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	gaouestc 4 楼现在有了BOOTKIT技术的支持，一种新的计算机病毒感染技术——电磁感染正在研究中，这种技术可以利用电磁效应使得电磁装置作用范围内的计算机都会感染制定的木马，可见在一段时间以后原始的被认为是最安全的计算机保护方式——物理隔离，也是对计算机保护爱莫能助了。 2009-5-9 11:35 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 5 楼看来，病毒程序员要补课了 2009-5-9 12:23 0
linooo 雪币： 4 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 6 楼这是真的...理论个毛~~已经有了，不过，通用性不好，一般都只是针对某种类型的主板，譬如，phoenix的只能针对phoenix的，技嘉的就不能通用，不过，phoenix的资料较少，技嘉的资料多~你去搜搜，已经有人放bin了，就是启动后开telnet的~ 2009-5-9 12:28 0
abcxiawei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 51 粉丝 0 关注私信	abcxiawei 7 楼也就是说其实是可以实现的哦，不同机器的问题可以不考虑，他只需要针对市面上销量比较大的主板开发一款，就足够掠夺到比较多的密码数据了…… 原来tm是真的，板卡bios怎么会存在这样的漏洞，这不等于是cih再次卷土重来吗我不想去研究这东西如何实现的，我只想知道如何防御 2009-5-9 12:32 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 8 楼有这么厉害的，，牛啊， 2009-5-9 12:36 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 9 楼建议高人搞个样本传上来看看！ 2009-5-9 12:51 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 10 楼不能实用就是理论阶段你说的bin我也看过没感觉达到了实用的阶段远程对机器主板的cmos或者网卡的bios注入的代码也从来没听说过就算是ssm那个也要取得管理员权限才能在本地能 2009-5-9 14:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 11 楼这个技术只能蓝屏...DPProject。。。。。 2009-5-9 14:36 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 12 楼 http://www.unpack.cn/viewthread.php?tid=33871&extra=page%3D7 看下是不是我之前转过的一篇文章 2009-5-9 15:00 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 13 楼现在的bios Rootkit 都需要物理接触电脑 2009-5-9 19:22 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 14 楼确实bios Rootkit 都需要物理接触电脑之前搞过,在网吧.为bios 加了一段程序.启动后要输入密码,才能启动.如果网管不知道密码或不会换bios芯片.只有换主板了. 2009-5-10 15:56 0
linooo 雪币： 4 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 15 楼没见过就不要说没有好么~只是搞bootkit既需要硬件知识，又要操作系统底层知识，所以搞的不多而已~~那个bin确实只是个演示~如果放真正实用的bin出来恐怕那作者就得进去了，并且在安全界引起轩然大波~~不需要物理接触的，只需要入侵成功得到管理员权限~这个不能算是主板的漏洞啊，本来现在的主板cmos就支持写，只需要改其中的一个位~~~ 2009-5-10 23:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 16 楼 1.MBR感染类Bootkit...不如ntbootdd.sys用起来方便，存在成熟产品 2.Bios rootkit,做个通用的好难，AMI,AWARD,Phoenix三类XX，还有硬件通用性，但是已经有成熟产品... 3.电磁感染，POC，目前除了看到BSOD Dump之外没看过能执行的，POC阶段 4.Powerkit,弄完电池不能放电和充电了——是弄坏了，还是XX了，也是超级poc,除了蓝屏还是蓝屏~，POC阶段 5.Smm rootkit,更加POC,真的写入SMM里（现在多数是把自己弄到Cache里了，在SMM LOCK大旗下...）之后要干的事情很复杂，可能有产品... 6.所谓的DiskKit,弄在HD的firmware里，抗格式化，抗XX,问题是写在HD的Firmware基本不通用，有成熟产品 7.NCKit,VCKit...没见过，看过设计，基本上都是需要弄出硬盘访问，或者要改主板设置CMOS(比如NCKit,需要先用NC引导才可以工作，VCKit据说要改BIOS来支持)，只有少数Demo 8.ACPI BIOS Rootkit,这个其实是个噱头，真实安装ACPI代码时，Windows是给它写入到注册表，而不是XXRAM里,linux下貌似可以写进去...可能有产品 9.所谓USBKit,这个其实就是USB芯片的猫腻，去看看XX就知道了，但是貌似干坏事不足，而且需要厂家直接支持，有成熟产品 10.传统Rootkit,这个真的真的真的，很成熟，很牛X~有非常多的成熟产品 2009-5-11 09:26 0
nujia 雪币： 229 活跃值： (27) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 100 粉丝 1 关注私信	nujia 3 17 楼安全焦点有个例子， 2009-5-11 09:57 0
hily 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	hily 18 楼汗一个.......NB 2009-5-11 10:08 0
saning 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	saning 19 楼狂汗~~以后我就不敢开电脑了。。 2009-5-11 10:13 0
xuzhihua 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 59 粉丝 0 关注私信	xuzhihua 20 楼 rom的空间是有多余的,主要是是对Bios的更新,BIOS的研究我想可能可以植入一小段到里面,但是通用性问题不知道 2009-5-11 10:29 0
yanglingt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	yanglingt 21 楼我相信魔高一尺,道高一丈! 2009-5-11 10:39 0
小糊涂神雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	小糊涂神 1 22 楼真是危险~~~~~我只关心怎么防御 2009-5-11 10:43 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 23 楼 very good , very powerful 2009-5-11 13:17 0
WWX 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	WWX 24 楼 BIOS写入是存在一定的BUG,就像以前的CIH病毒.不过防范也是可以的,关闭主板BIOS的写功能 2009-5-13 07:17 0
老东西雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	老东西 25 楼真的.. 硬件的rootkit已经出来了. 不过对硬件依赖比较大,不具有通用性 2009-5-13 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复