今天小编与大家分享一些凌驾于操作系统之上的木马,有人可能奇怪了,问:“木马不是在操作系统之上运行的吗?中了木马,重新装下系统就没了,怎么会凌驾于操作系统之上呢?”。
其实小编这里说的意思是:木马确实运行才操作系统之上,但是,有一些顽固木马即使你重装系统也是无法彻底杀死的,你重装了系统,但是木马却依然重新复活,所以说,一些木马是凌驾于系统之上的。
重装系统木马也能复活?对,你没听错,今天小编就给大家分享一个木马复活的技术点,MBR木马(本章知识概念分享,不涉及具体开发技术)。
先来说说目前已经被发现的一些MBR木马。
鬼影病毒是2010年3月15日被国家某安全中心发现的,正式由于该病毒运行后,在进程中、系统启动加载项里找不到任何异常,即使格式化重装系统,也无法彻底清除。犹如鬼影一般阴魂不散,故被称为鬼影病毒。鬼影病毒也是国内第一个“引导区下载者病毒”,即MBR病毒。
那么接下来就说说鬼影病毒的家族史,这段是小编从百度百科找到的,大家一起来看一下强悍的鬼影病毒。
在2011年3月,鬼影2被发现,鬼影2比上个版本更加顽固,它的顽固是基于三点特征:
1、诱导,欺骗用户关闭安全软件;
2、暴力破坏已经关闭的安全软件,使安全软件无法启动,无法正常工作;
3、感染电脑硬盘MBR(主引导记录),使用户无论是重装系统、还是格式化硬盘都无法彻底清除木马
在2011年5月,格式化硬盘都删不掉的“鬼影”系列病毒又出现了,即鬼影3。该病毒采用非常顽固的方式强驻受害电脑,常规杀毒技术无法清理,甚至病毒作者似乎也认为鬼影3根本不可能被杀掉,所以并没有像前两代鬼影一样破坏杀毒软件。
鬼影家族系列,一直更新到鬼影6,中间的鬼影系列和鬼影分之,不再一一介绍,因为鬼影系列病毒的共同特点就是:感染电脑硬盘的主引导记录(MBR),无论重装系统或是格式化硬盘都无法清除病毒。
听了小编上述的介绍,大家是不是会人会MBR木马非常强悍呢?那么接下来小编给大家分享一个被称为史上最复杂的木马之一。
暗云木马,感染了数以百万的计算机,暗云同样使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装系统格式化硬盘也无法清除该木马。 更让人惊叹的是,鬼影即暗云的前身,只不过暗云的技术更加新颖,更加顽固。
简单的说一下暗云木马的特性,
1、隐蔽性高,通过Hook磁盘驱动实现对已感染的MBR进行保护,防止被安全软件检测和清除,并且使用对象劫持技术躲避安全人员的手工检测。
2、通过云端控制,木马功能模块每次开机都从云端下载,因此木马体积小巧,且云端控制性强。
3、操作系统全兼容,一份BootKit同时兼容x86、x64两种版本的操作系统,且能够兼容xp、win7等当前主流的操作系统版本。
4、有效对抗杀软:启动时间比所有的安全软件都早,因此大部分的安全软件无法拦截和检测该木马的恶意行为。
介绍了以上两个MBR木马,各位看官是不是感觉很强悍,重装系统都无法删除木马。那么接下来都到重点了,为什么木马这么强。
首先介绍一下系统开机的流程:
计算机在通电后,启动BIOS,然后启动主引导记录,然后在启动操作系统。通过这个步骤说明了,MBR是在操作系统之前启动的,这里就可以说一下,如果将木马种植在MBR里面,杀软是很难干涉的。(说一下题外话,并不是MBR就不能被查杀, 种植MBR木马也是需要在操作系统启动后种植的,那么如果此时杀软就能识别,那么肯定是无法种植的。)MBR强就强在了很多杀软不查杀,重装操作系统不影响,
那么MBR在什么地方呢?MBR就在硬盘里,它是硬盘里面一个非常重要的角色,MBR中文名字叫做“主引导记录”或“主引导扇区”,是计算机开机后,访问硬盘时第一个要读取的扇区,如果不明白扇区是什么,请自行百度, 或者你把它理解为硬盘的“头”或者硬盘里的某个地方。然后计算机通过这个地方才能找到操作系统,然后运行操作系统。
MBR全称为Master Boot Record,独立于操作系统,而且在计算机启动后可以访问,读写,这样的地方就很适合后门驻留,有的同学可能会问,优先于操作系统启动的还有很多,那么是不是其他的地方也可以像MBR这样重装系统木马也能复活呢, 答案是肯定的,比如说图中的BIOS,BIOS木马也是有的,但是非常少,因为难度太大,在2015年,HackIngTeam也曾爆了一个BIOS马,但是效果非常不好,需要人机交互,而且是指定BIOS型号。
还有其他的吗?当然有,比如说硬盘ROM,网卡ROM等,但是这些尚在理论中,还未真正出现过大规模利用的案例,当然也很有可能少数人已经掌握了这些技术(试想一下,如果这个技术真的有人有了,那绝对是个蓝海,什么杀软都弱爆了,有杀软检测网卡ROM?没听说过)。
今天小编就跟大家唠这么多,改天接着和大家唠。
关于一些MBR的知识,小编也找了些,一起分享给大家。
MBR,EBR,DBR是什么:
http://wenku.baidu.com/view/27c50547a8956bec0975e344.html
C++读写MBR:
http://www.jb51.net/article/56119.htm
主引导扇区MBR的解析:
http://blog.chinaunix.net/uid-24774106-id-3340397.html
计算机启动过程:
http://blog.csdn.net/langeldep/article/details/8788119
http://www.360doc.com/content/10/1129/12/435529_73374870.shtml