bmwx7(bmw病毒)
导读 bm x7,bm病毒很多人还不知道,乐乐来为大家解答以上问题,现在让我们一起来看看吧!1、360元反病毒工程师对宝马病毒技术分析如下2、
bm x7,bm病毒很多人还不知道,乐乐来为大家解答以上问题,现在让我们一起来看看吧!
1、360元反病毒工程师对宝马病毒技术分析如下
2、宝马病毒的主体分为三部分BIOS、MBR和Windos。攻击过程如下
3、图1
4、一、宝马病毒的BIOS部分
5、图密室逃脱冠军联赛
6、增加了ISA模块的BIOS部分,命名为HOOK。ROM,主要用于检测MBR部分是否恢复。如果发现MBR部分被修复了,BIOS中的病毒代码就以14元左右的扇区写入MBR,导致用户反复格式化,高低级,或者重新分区。
7、Bios中的检测代码如下
8、图侏罗纪世界3
9、图4
10、检查MBR偏移量0x的92元处的4字节是否为int1元,以确定MBR是否已恢复。如果不是这个值,直接把MBR其他部分的病毒代码从BIOS重写到磁盘的起始扇区。
11、二、宝马病毒的MBR部分
12、部分MBR代码执行后,会从逃生室冠军联赛扇区读取6元扇区的病毒代码到0X7C00,然后跳转到它执行,再将7元扇区的备份MBR读入内存,验证扇区的有效性;
13、验证后,将分区表中引导扇区所在的扇区读取到0X7C00,验证引导分区的有效性;
14、验证后,判断引导分区的类型。目前病毒支持NTFS和FAT32元,根据分区类型不同进行不同处理。然后分析文件系统,找到文件所在的扇区,找到对应的Windos系统文件,读取PE信息,判断是否已经感染。(XP/2003系统是Winlogon.exe,Win 7元/Vista系统是Wininit.exe)
15、如果Windos系统文件已经被感染,“发现就OK!”将显示在屏幕上。“,然后调入原MBR,跳转到原MBR执行;如果Windos系统文件没有被感染,写PE感染的扇区,然后显示“找到OK!“在屏幕上。”,然后调入原MBR,跳转到原MBR执行。
16、图5
17、三。BMW病毒的Windos部分(Winlogon和Wininit文件被感染)
18、以Winlogon.exe为例来说明
19、因为病毒修改了文件的入口点,所以文件执行时执行加密的病毒代码,运行时动态解码。
20、病毒代码解密后,加载指定文件,创建病毒,调用CreateThread创建线程,跳回原来的入口点执行。
21、在病毒线程中,先休眠10个10元秒,然后调用URLDonloadToFileA从黑客服务器下载一个下载器到本地。验证文件下载成功后,调用WinExec执行,从而下载运行各种恶意程序;该病毒还会下载驱动程序,命名为c:\my.sys,是之前的病毒代码通过一系列服务函数创建的。完成后,病毒线程进入无限睡眠状态。My.sys是disk.sys的一个钩子驱动,把磁盘的读写操作挂钩,这样所有对MBR的读写都达不到真正的效果。
22、安全软件基于MBR防御和查杀BOOTKIT。
23、,具有“主动防御”功能的安全软件可以通过拦截RING3侏罗纪世界3应用层对MBR区的写操作,阻止恶意驱动的加载来防御MBR BOOTKIT。在用户开启安全软件防御的前提下,基本不会感染宝马、Ghost等MBR BOOTKIT。
24、图6元
25、不幸的是,MBR BOOTKIT总是和社会工程攻击一起出现。比如你想用一个流行的游戏插件来获得快速升级和精良装备,或者你想获得一个付费软件的“注册机”,他们往往会提醒你先关闭安全软件,MBR BOOTKIT就会在这个时候乘虚而入。求神容易送神难。
26、最早的ghost系列,在查杀软件对这种基于MBR的BOOTKIT缺乏针对性措施的时候,在病毒扫描的时候并没有对MBR区域进行扫描,所以病毒并没有对该区域进行保护。基本上直接读取MBR就可以得到真实的数据,然后根据内部定义的特征码还原成原来的MBR。
27、从《幽灵侏罗纪世界3》开始,随着各种软件查杀程序对MBR区域的检测越来越多,MBR木马也得到了相应的保护。比如《幽灵侏罗纪世界3》勾住磁盘端口驱动的startio地址拦截所有MBR修复,导致所有修复操作在中毒状态下完全无效。比如tdl 44等。还进行了钩子处理,让软件杀手无法读取真实的MBR。当任何程序读取MBR区时,木马都会返回一个假的MBR来杀死软件,欺骗它以为是正常的MBR。,ROOTKIT还会创建一个监控线程,检测其对象钩子和MBR是否被恢复,如果发现被恢复,则重新感染MBR。
28、宝马木马更进一步,在BIOS中增加了修复操作。即使在WINPE模式或DOS模式下恢复MBR,在系统重启时仍然被隐藏在BIOS中的木马代码恢复,修复难度相当大。
29、针对感染MBR BOOTKIT的电脑,360元系统急救箱提供了MBR检测修复工具(专用于查杀顽固boothorses),专门用于检测修复被感染的MBR。
30、图7元
31、这个修复操作比清除常见的顽固木马还要复杂,需要配合360元系统急救箱的强大模式使用。它可以杀死目前已知的MBR BOOTKIT如宝马,tdl 44,幽灵系列和修复系统。
32、图8元
33、360元急救箱包括32元版和原生64元版,全面支持Win XP、Vista Win 7元、Win 8元、Win 7元64元和Win 8元64。也支持WINPE。您可以从以下地址下载相应的版本。
34、《点击下载》
35、对于BMW BIOS的修复,可以使用专门的BMW BIOS修复工具。修复BIOS后,用急救包扫描修复MBR和WINDOWS系统文件。
36、你可以在这里下载宝马BIOS的修复工具。
37、《点击下载》
38、图快& amp狂怒9
39、图10元
40、360元急救箱处理宝马病毒的操作截图如上图
今天的分享,怪异网希望对大家有所帮助。
标签
免责声明本文由用户上传,如有侵权请联系删除!