那些凌驾于操作系统之上的木马-MBR木马

今天小编与大家分享一些凌驾于操作系统之上的木马,有人可能奇怪了,问:“木马不是在操作系统之上运行的吗?中了木马,重新装下系统就没了,怎么会凌驾于操作系统之上呢?”。

其实小编这里说的意思是:木马确实运行才操作系统之上,但是,有一些顽固木马即使你重装系统也是无法彻底杀死的,你重装了系统,但是木马却依然重新复活,所以说,一些木马是凌驾于系统之上的。

重装系统木马也能复活?对,你没听错,今天小编就给大家分享一个木马复活的技术点,MBR木马(本章知识概念分享,不涉及具体开发技术)。

先来说说目前已经被发现的一些MBR木马。

1)鬼影病毒

鬼影病毒是2010年3月15日被国家某安全中心发现的,正式由于该病毒运行后,在进程中、系统启动加载项里找不到任何异常,即使格式化重装系统,也无法彻底清除。犹如鬼影一般阴魂不散,故被称为鬼影病毒。鬼影病毒也是国内第一个“引导区下载者病毒”,即MBR病毒。

那么接下来就说说鬼影病毒的家族史,这段是小编从百度百科找到的,大家一起来看一下强悍的鬼影病毒。

在2011年3月,鬼影2被发现,鬼影2比上个版本更加顽固,它的顽固是基于三点特征:

1、诱导,欺骗用户关闭安全软件;

2、暴力破坏已经关闭的安全软件,使安全软件无法启动,无法正常工作;

3、感染电脑硬盘MBR(主引导记录),使用户无论是重装系统、还是格式化硬盘都无法彻底清除木马

在2011年5月,格式化硬盘都删不掉的“鬼影”系列病毒又出现了,即鬼影3。该病毒采用非常顽固的方式强驻受害电脑,常规杀毒技术无法清理,甚至病毒作者似乎也认为鬼影3根本不可能被杀掉,所以并没有像前两代鬼影一样破坏杀毒软件。

鬼影家族系列,一直更新到鬼影6,中间的鬼影系列和鬼影分之,不再一一介绍,因为鬼影系列病毒的共同特点就是:感染电脑硬盘的主引导记录(MBR),无论重装系统或是格式化硬盘都无法清除病毒。

听了小编上述的介绍,大家是不是会人会MBR木马非常强悍呢?那么接下来小编给大家分享一个被称为史上最复杂的木马之一。

2)暗云木马

暗云木马,感染了数以百万的计算机,暗云同样使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装系统格式化硬盘也无法清除该木马。 更让人惊叹的是,鬼影即暗云的前身,只不过暗云的技术更加新颖,更加顽固。

简单的说一下暗云木马的特性,

1、隐蔽性高,通过Hook磁盘驱动实现对已感染的MBR进行保护,防止被安全软件检测和清除,并且使用对象劫持技术躲避安全人员的手工检测。

2、通过云端控制,木马功能模块每次开机都从云端下载,因此木马体积小巧,且云端控制性强。

3、操作系统全兼容,一份BootKit同时兼容x86、x64两种版本的操作系统,且能够兼容xp、win7等当前主流的操作系统版本。

4、有效对抗杀软:启动时间比所有的安全软件都早,因此大部分的安全软件无法拦截和检测该木马的恶意行为。

介绍了以上两个MBR木马,各位看官是不是感觉很强悍,重装系统都无法删除木马。那么接下来都到重点了,为什么木马这么强。

首先介绍一下系统开机的流程:

计算机在通电后,启动BIOS,然后启动主引导记录,然后在启动操作系统。通过这个步骤说明了,MBR是在操作系统之前启动的,这里就可以说一下,如果将木马种植在MBR里面,杀软是很难干涉的。(说一下题外话,并不是MBR就不能被查杀, 种植MBR木马也是需要在操作系统启动后种植的,那么如果此时杀软就能识别,那么肯定是无法种植的。)MBR强就强在了很多杀软不查杀,重装操作系统不影响,

那么MBR在什么地方呢?MBR就在硬盘里,它是硬盘里面一个非常重要的角色,MBR中文名字叫做“主引导记录”或“主引导扇区”,是计算机开机后,访问硬盘时第一个要读取的扇区,如果不明白扇区是什么,请自行百度, 或者你把它理解为硬盘的“头”或者硬盘里的某个地方。然后计算机通过这个地方才能找到操作系统,然后运行操作系统。

MBR全称为Master Boot Record,独立于操作系统,而且在计算机启动后可以访问,读写,这样的地方就很适合后门驻留,有的同学可能会问,优先于操作系统启动的还有很多,那么是不是其他的地方也可以像MBR这样重装系统木马也能复活呢, 答案是肯定的,比如说图中的BIOS,BIOS木马也是有的,但是非常少,因为难度太大,在2015年,HackIngTeam也曾爆了一个BIOS马,但是效果非常不好,需要人机交互,而且是指定BIOS型号。

还有其他的吗?当然有,比如说硬盘ROM,网卡ROM等,但是这些尚在理论中,还未真正出现过大规模利用的案例,当然也很有可能少数人已经掌握了这些技术(试想一下,如果这个技术真的有人有了,那绝对是个蓝海,什么杀软都弱爆了,有杀软检测网卡ROM?没听说过)。

今天小编就跟大家唠这么多,改天接着和大家唠。

关于一些MBR的知识,小编也找了些,一起分享给大家。

MBR,EBR,DBR是什么:

http://wenku.baidu.com/view/27c50547a8956bec0975e344.html

C++读写MBR:

http://www.jb51.net/article/56119.htm

主引导扇区MBR的解析:

http://blog.chinaunix.net/uid-24774106-id-3340397.html

计算机启动过程:

http://blog.csdn.net/langeldep/article/details/8788119

http://www.360doc.com/content/10/1129/12/435529_73374870.shtml

热门话题

安全领域的渗透分析

凌驾于操作系统之上的木马-BIOS木马

Copyright © 2017 All Rights Reserved. 版权所有

京ICP备15021836号-1