恶意代码原理、技术与防范 课件 2-引导型恶意代码

第二章引导型恶意代码引言引导型恶意代码运行在系统的底层，加载时机早、抗查杀能力强的特点引得攻击者们对其趋之若鹜。当前计算机的引导方式主要有BIOS固件和UEFI固件两类，本章重点介绍基于这两类的引导型恶意代码。Windows引导过程引导型病毒1Windows引导过程Windows引导过程1.1固件BIOS引导过程BIOS(BasicInputOutputSystem)全称“基本输入输出系统”,它是计算机主板ROM芯片上的一组程序，它保存着计算机最重要的基本输入输出程序、开机后自检程序和系统自启动程序，它可以从CMOS中读写系统设置的具体信息，其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。计算机加电后，系统首先由上电自检程序(PowerOnSelfTest，POST)对各个硬件设备检查，通常包括对CPU、640K基本内存、1M以上扩展内存、ROM、主板等测试，若发现问题，则给出提示信息或鸣笛警告。POST自检完成后，读入并执行引导扇区的主引导记录(MasterBootRecord，MBR)，引导记录找到安装在操作系统的活动分区，将控制权转交给活动分区的引导记录PBR，由该引导记录找到分区上的操作系统启动文件，从而完成操作系统的启动。1.2固件UEFI引导过程UEFI(UnifiedExtensibleFirmwareInterface)全称“统一的可扩展固件接口”，是一种详细描述全新类型接口的标准，其主要目的为了提供在操作系统加载之前，面向所有平台的一组标准的启动服务。UEFI与传统BIOS引导方法有很大区别，传统的BIOS是与第一批PC兼容的计算机固件一起开发的，随着PC硬件复杂性的增长，需要更复杂的BIOS代码来配置它。而UEFI标准被提出后可以用统一的结构控制固件的复杂性。UEFI固件类似一个小型操作系统，它甚至有自己的网络栈。它包含几百万行代码，实现复杂，能够提供比传统BIOS更多的功能。UEFI具有更好的可编程性、更高的安全性、更强的可扩展性，并且更好的适应64位平台。1.3Windows操作系统引导过程卷引导记录和初始加载程序bootmgr模块和引导配置数据Windows引导过程视图Windows引导过程引导型病毒2引导型病毒9DOSWin9x/meWin2000/XP/Win7…OS的变迁什么技术阻碍了引导型病毒的继续扩张？引导型病毒采用什么技术突破了限制？引导型恶意代码StoneBrainMonkey…PolyBoot

…鬼影系列

TDL系列…回顾--硬盘分区结构

--系统启动过程10BIOS启动主机加电OS启动系统启动过程如果用恶意代码替换引导记录，那么…11什么是引导型病毒？2引导型病毒引导型病毒是指专门寄生在磁盘引导扇区或者主分区的引导扇区的计算机病毒。DOS时代叫病毒，Windows

NT后称为引导型恶意代码，或BootKit。危害：启动早难清除破坏性大2引导型病毒12MBR的工作流程2引导型病毒病毒传播：利用软盘和硬盘的引导区进行自我复制。PC1（毒）PC2毒毒毒2引导型病毒病毒需解决的问题：病毒代码必须能正常引导启动计算机；病毒代码运行后要常驻在内存中；病毒代码要能够识别软盘插入并能够感染其引导区；2引导型病毒15实现内存驻留常规内存(640KB)高端内存(384KB)DOS内存管理：实模式2引导型病毒Windows系统常用“事件触发”的消息通知方式；病毒利用DOS系统插入软盘时自动读取软盘引导区的方式进行判断。实现软盘的识别2引导型病毒17病毒代码为常驻内存开设空间设置传播机制组合完整代码，实现常驻内存？引导型病毒的工作流程病毒的激活病毒的存储病毒的感染2引导型病毒18BIOS(int13h)读

AH=02h，写AH=03hAL=扇区数CH=柱号的低8位CL=低6位为起始扇区号，高2位为柱号高2位DH:DL=磁头号：驱动器实现磁盘读写例：读主引导区所在1号扇区movax,0201hmoval,01hmovcx,0001hmovdx,0h19NT内核的操作系统安全改进如何对扇区进行读写？1禁止通过BIOS中断对硬件直接访问2由DOS引导启动后交由Windows运行，内存采用保护模式管理2引导型病毒Bootkit2引导型病毒20Win2000、XP操作系统（1）应用层

hDev=CreateFile("\.\PHYSICALDRIVE0",…);ReadFile(hDev,Buffer,512,&dwRet,0);

（2）驱动层

DeviceIoControl(…,IOCTL_OLS_SET_SECTION,…);

IoGetDeviceObjectPointer(L"//??//PhysicalDrive0",…);

pIrpS=IoGetCurrentIrpStackLocation(pIrp);

pIrpS->Parameters.Write.ByteOffset=Sections_To_Byte(…);

Windows下如何读写扇区？pIrpSp->Flags

|=

SL_FORCE_DIRECT_WRITE

Bootkit2引导型病毒Win系统下读写磁盘引导扇区问题的解决，标志着可以对引导扇区进行改写。21如何解决程序从DOS系统到Windows系统的跨越？Bootkit2引导型病毒22Windows引导过程BIOS加电自检读主引导扇区MBR读激活分区DBRNTLDR将实模式转换为保护模式OS启动读BOOT.INI文件,显操作系统菜单加载NTDETECT.COM，检测并注册硬件信息选择硬件配置文件进行硬件配置装载内核NtOsKrnl.EXE初始化内核加载驱动程序启动用户登录程序WinLogon.EXEBootkit2引导型病毒回归初衷：实现一个代码从主机启动开始就驻留获得控制权直到Windows操作系统启动运行仍然在活跃在内核？23trojan.sys(Win)mbrstart(DOS)从MBR中启动，实现Windows系统加载时运行loadmc具体的木马功能loadmc(Win)磁盘sec0sec1

sec2

sec3…mbrstartloadmctrojan.sys内存trojan.sys组装、加载及保护。windows系统是如何加载的？Bootkit2引导型病毒24Windows操作系统启动的三阶段MBR-DOS系统DOS-Windows系统Windows系统1.BIOS加电自检2.读取并执行MBR3.读激活分区DBR4.加载NTLDR1.SU初始化物理内存,调用osloader2.初始化保护模式下的内存子系统3.确定启动分区，读boot.ini并加载NTDETECT.COM4.初始化系统目录，将ntokrnl.exe加载内存Ntoskrnl加载文件系统、注册表，设备驱动程序等mbrstart如何在启动的过程中实现三阶段代码控制权的交替？实质是解决代码进入内存与激活两个问题loadmctrojan.sysBootkit2引导型病毒以“鬼影”Bootkit为例25a.将loadmc代码直接以新节patch到NTLDR上，并计算其在内存中应被加载的位置xxxx;b.定位Ntldr.callBlLoadBootDrivers，将其下一句改为callxxxx;Bootkit第一步：mbrstartpatchntldr通过hookint13中断对读取的扇区进行过滤，发现ntldr时对其实现hook,确保ntldr执行时loadmc能够获得控制权。2引导型病毒26a.寻址BlLoaderBlock，通过其LoadOrderListHead结构找到ntoskrnl.exe基址；b.在ntoskrnl.exe的空间中插入loadmc代码中加载驱动的部分；c.通过ntoskrnl文件结构找到导入函数OnInitSystem的地址,替换为loadmc的地址。Bootkit第二步：loadmc-hookntoskrnl通过对ntldr内存空间的搜索，找到ntoskrnl.exe的基地址，通过inlinehook将其导入函数OnInitSystem替换为代码中的loadmc函数，确保ntoskrnl.exe执行时获得控制权。27Bootkit2引导型病毒第三步：trojan.sys木马的加载loadmc驱动代码加载时，系统初始化已完成，磁盘驱动、注册表以及设备驱动等都已经加载，因此直接可加载trojan.sys到内核。思考题281.通过对磁盘结构和文件系统的学习和分析，恶意代码会隐蔽驻留在磁盘中的哪些位