首页
社区
课程
招聘
[求助]这是真的吗,现在的木马已经nb到这种程度了?
发表于: 2009-5-9 10:31 25906

[求助]这是真的吗,现在的木马已经nb到这种程度了?

2009-5-9 10:31
25906
俺有很长时间没关注木马技术的发展了,以前就知道个rootkit(好像拼错了?),刚才在ngacn看到一群人聊天说wow盗号事件,提到,现在的木马技术已经发展到bootkit,能远程对机器主板的cmos或者网卡的bios注入极小的一段代码,这段代码在nt内核load之前已经加载,绕过内核检测,绕过注册表检测,常规杀毒软件和rookit检测工具根本查不到,这段代码在系统启动完成后会接上远程地址下载一个windows下运行的木马本体篡夺系统控制权或者偷取密码,完成后该木马本地会自动消失掉,cmos里的代码会潜伏下来,等待下一次的远程指令,这机器就是一潜伏的肉鸡……

看的我是汗毛直树……这技术是不是真的,真是真的岂不是一点应对的招数都没有?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (56)
雪    币: 952
活跃值: (1946)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
假的 理论上可以 实际上行不通 不同的机器底层差异太大了 难以通用
2009-5-9 11:02
0
雪    币: 267
活跃值: (24)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
自己看了一点ROOTKIT的书籍,感觉功能还是比较强的!
2009-5-9 11:05
0
雪    币: 285
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
现在有了BOOTKIT技术的支持,一种新的计算机病毒感染技术——电磁感染正在研究中,这种技术可以利用电磁效应使得电磁装置作用范围内的计算机都会感染制定的木马,可见在一段时间以后原始的被认为是最安全的计算机保护方式——物理隔离,也是对计算机保护爱莫能助了。
2009-5-9 11:35
0
雪    币: 590
活跃值: (177)
能力值: ( LV9,RANK:680 )
在线值:
发帖
回帖
粉丝
5
看来,病毒程序员要补课了
2009-5-9 12:23
0
雪    币: 4
活跃值: (214)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这是真的...理论个毛~~已经有了,不过,通用性不好,一般都只是针对某种类型的主板,譬如,phoenix的只能针对phoenix的,技嘉的就不能通用,不过,phoenix的资料较少,技嘉的资料多~你去搜搜,已经有人放bin了,就是启动后开telnet的~
2009-5-9 12:28
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
也就是说其实是可以实现的哦,不同机器的问题可以不考虑,他只需要针对市面上销量比较大的主板开发一款,就足够掠夺到比较多的密码数据了……

原来tm是真的,板卡bios怎么会存在这样的漏洞,这不等于是cih再次卷土重来吗



我不想去研究这东西如何实现的,我只想知道如何防御
2009-5-9 12:32
0
雪    币: 605
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cfz
8
有这么厉害的,,牛啊,
2009-5-9 12:36
0
雪    币: 209
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
建议高人搞个样本传上来看看!
2009-5-9 12:51
0
雪    币: 952
活跃值: (1946)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
不能实用就是理论阶段 你说的bin我也看过 没感觉达到了实用的阶段
远程对机器主板的cmos或者网卡的bios注入的代码也从来没听说过 就算是ssm那个也要取得管理员权限才能在本地能
2009-5-9 14:23
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
11
这个技术只能蓝屏...DPProject。。。。。
2009-5-9 14:36
0
雪    币: 442
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
http://www.unpack.cn/viewthread.php?tid=33871&extra=page%3D7

看下是不是我之前转过的一篇文章
2009-5-9 15:00
0
雪    币: 952
活跃值: (1946)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
现在的bios Rootkit 都需要物理接触电脑
2009-5-9 19:22
0
雪    币: 157
活跃值: (476)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
确实bios Rootkit 都需要物理接触电脑

之前搞过,在网吧.为bios 加了一段程序.启动后要输入密码,才能启动.如果网管不知道密码或不会换bios芯片.只有换主板了.
2009-5-10 15:56
0
雪    币: 4
活跃值: (214)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
没见过就不要说没有好么~只是搞bootkit既需要硬件知识,又要操作系统底层知识,所以搞的不多而已~~那个bin确实只是个演示~如果放真正实用的bin出来恐怕那作者就得进去了,并且在安全界引起轩然大波~~不需要物理接触的,只需要入侵成功得到管理员权限~这个不能算是主板的漏洞啊,本来现在的主板cmos就支持写,只需要改其中的一个位~~~
2009-5-10 23:04
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
16
1.MBR感染类Bootkit...不如ntbootdd.sys用起来方便,存在成熟产品
2.Bios rootkit,做个通用的好难,AMI,AWARD,Phoenix三类XX,还有硬件通用性,但是已经有成熟产品...
3.电磁感染,POC,目前除了看到BSOD Dump之外没看过能执行的,POC阶段
4.Powerkit,弄完电池不能放电和充电了——是弄坏了,还是XX了,也是超级poc,除了蓝屏还是蓝屏~,POC阶段
5.Smm rootkit,更加POC,真的写入SMM里(现在多数是把自己弄到Cache里了,在SMM LOCK大旗下...)之后要干的事情很复杂,可能有产品...
6.所谓的DiskKit,弄在HD的firmware里,抗格式化,抗XX,问题是写在HD的Firmware基本不通用,有成熟产品
7.NCKit,VCKit...没见过,看过设计,基本上都是需要弄出硬盘访问,或者要改主板设置CMOS(比如NCKit,需要先用NC引导才可以工作,VCKit据说要改BIOS来支持),只有少数Demo
8.ACPI BIOS Rootkit,这个其实是个噱头,真实安装ACPI代码时,Windows是给它写入到注册表,而不是XXRAM里,linux下貌似可以写进去...可能有产品
9.所谓USBKit,这个其实就是USB芯片的猫腻,去看看XX就知道了,但是貌似干坏事不足,而且需要厂家直接支持,有成熟产品
10.传统Rootkit,这个真的真的真的,很成熟,很牛X~有非常多的成熟产品
2009-5-11 09:26
0
雪    币: 229
活跃值: (27)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
17
安全焦点有个例子,
2009-5-11 09:57
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
汗一个.......NB
2009-5-11 10:08
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
狂汗~~以后我就不敢开电脑了。。
2009-5-11 10:13
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
rom的空间是有多余的,主要是是对Bios的更新,BIOS的研究我想可能可以植入一小段到里面,但是通用性问题不知道
2009-5-11 10:29
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
我相信魔高一尺,道高一丈!
2009-5-11 10:39
0
雪    币: 209
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
22
真是危险~~~~~我只关心怎么防御
2009-5-11 10:43
0
雪    币: 387
活跃值: (25)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
23
very good , very powerful
2009-5-11 13:17
0
雪    币: 244
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
WWX
24
BIOS写入是存在一定的BUG,就像以前的CIH病毒.不过防范也是可以的,关闭主板BIOS的写功能
2009-5-13 07:17
0
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
真的..

硬件的rootkit已经出来了.

不过对硬件依赖比较大,不具有通用性
2009-5-13 16:09
0
游客
登录 | 注册 方可回帖
返回
//