Saturday, January 26th, 2008
首先来认识下 什么是主引导区
主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。
只要控制了该区域,那程序就能控制操作系统!
修改主引导区进行加载、感染的在上世纪80- 90年代较为流行,当年的反病毒软件很多都是磁盘介质的,而其中一个必不可少的功能,就是能写保护软盘然后用它引导启动电脑,在不带毒的情况下清除此类引导型的病毒。应该说早期的病毒技术含量还是比较高的,到了后期越来越多工具的出现,让只要会上网的人都能产生成百上千的各种恶意程序、病毒变种。值得注意的是利用修改覆盖主引导区进行加载的Rootkit后门现世了。
在2005和2007年有研究人员推出过两个修改主引导区的实验型Rootkit,而07年的这个实验型Rootkit甚至能突破安全性较高的全补丁Vista系统。
由于WINDOWS系统设计上的问题,普通权限的用户帐号可以随意读写硬盘,甚至MBR这些重要的位置而不受到任何限制。因此MBR类Rootkit对系统的危害是十分大的。
有些类型的主板BIOS自带一个反病毒功能,就是防止读写主引导区的,随着这类真正具有危害的MBR Rootkit的出现,也许现在大家应该在BIOS里打开这种保护选项了。
Posted in Rootkit, 病毒学习 | No Comments »
Wednesday, January 2nd, 2008
常见问题解答 : 如何入门rootkit?
来源:rootkit.com 作者:Clandestiny 翻译:fqh
“Help!我是一名新手!我需要一款rootkit入侵朋友的机器…我想编写自己的rootkit…我想开始开发代码… 该从哪里入手?”
此类问题在rootkit.com上不断地出现,并且重复回答一些人问的相同问题浪费了大量时间,我想到我们应当编辑一个短小的文档来对它们进行一般性的叙述。下面的论述远非完整的,社区中有经验的人可以提建议来对它进行拓展。
你 想知道从哪里入门?好的,首先,如果你来到这里是为了寻找入侵你朋友机器的既成方法,你可来错了地方!Rootkit.com主要是一个知识性的网站,它 目的是提供一些有关rootkit开发的资料和相关编程的文章。另一方面,如果你是一名想学习如何编写自己的rootkit的新手,你需要一些如何入门的 建议,请接着阅读…不幸的是,rootkit开发和软件开发需要相当多你必须掌握的前提知识:
1. 首先,你得学习一种语言。C / C++最好的选择。不像其他语言,C具有内嵌汇编语言的能力。虽然大多数程序员极少使用到汇编语言,但是rootkit的开发有时需要汇编语言的灵活性, 所以x86汇编应当成为你的辅助编程语言。Randall Hyde的《Art Of Assembly》是汇编编程最好的参考资料之一。该书有印刷和电子书两种可获取的版本。
《Art of Assembly》 (下载版) 的下载网址是http://webster.cs.ucr.edu/AoA/DOS/
2. 你需要学习一些操作系统的理论。虽然大学的设计操作系统理论课程不是必需的,但阅读大学计算机学科教材的若干章节是有益的。特别是进程﹑线程﹑内存管理等知识,你得了解。
这方面很好的书籍有两本:
《Operating System Concepts》 ,Silberschatz, Galvin, 和 Gagne著
《Operating Systems》Deitel & Deitel著
3. 你得应用理论知识,理解真实世界中的操作系统比如windows实际上是如何工作的。虽然Windows不公开源代码,但是有很多牛人热衷于对系统内核工 作原理进行逆向分析,并公开了他们的发现。弄一本此类的书吧,比如Sven Schreiber写的《Undocumented Windows 2000 Secrets》 或者Prasad Dabak, Milind Borate,和 Sandeep Phadke写《Undocumented Windows NT》。
4. 如果你想着手开发内核rootkit,你还得学习如何编写内核模式驱动程序(KMD)。很不幸,互联网上关于内核编程的教程,适合初学者的很少。不过,Four-4写出了几篇很好的win32汇编版的教程,它们可在http://www.assembly-journal.com/sitemap.php获 取。除此之外,这方面的书籍还有一些:包括Art Baker 和Jerry Lozano蓍的《The Windows ...
Posted in Rootkit | No Comments »
Monday, December 31st, 2007
linkinfo.dll使用360显示为Trojan-Downloader/Win32.Agent.erl木马,其实不仅仅是个下在者木马,这个 dll应该还使用rootkit隐藏技术,通过普通的隐藏文件查看根本看不到。这里就推荐使用超级巡警来查看rootkit文件程序。
可以用超级巡警强行卸载explorer的linkinfo.dll组件加载,然后删除,建议进行全盘扫描杀毒,因为所有的exe文件都有可能被感染病毒。
也可以在安全模式或者在其他系统下(双系统的用户)删除这个文件,
奇虎360安全卫士木马查杀历史报告
木马名称:Trojan-Downloader/Win32.Agent.erl
路径:C:\WINDOWS\linkinfo.dll
查杀时间 :2007-12-31 16:53
木马名称:Trojan-Downloader/Win32.Agent.erl
路径:C:\WINDOWS\linkinfo.dll
查杀时间 :2007-12-31 16:24
木马名称:Trojan-Downloader/Win32.Agent.erl
路径:C:\WINDOWS\linkinfo.dll
可以看出
由于这个是下载者,建议一经发现就立即断开网络以免时间拖延感染更多的病毒木马程序。建议在安全模式进行全盘扫描查杀。
Posted in 技术分析, 网吧经验谈 | 1 Comment »
Friday, November 23rd, 2007
一. 现有的检测栈溢出的模式
二. 现有检测体系存在的不足
三. 针对引擎要做的改进
四. 关于未来
引言
当前主动防御等的概念逐渐进入人们视野,国外主流的杀毒软件都有栈溢出的检测模块,尽管相对传统的木马和病毒来说,缓冲区溢出仍占攻击的很小一部分,但是基于传统的“木桶理论”,安全是一个整体,威胁还是无处不在。
现有的栈溢出检测模式
Posted in Rootkit, 技术分析 | No Comments »
Friday, November 23rd, 2007
伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记
Author:[CISRG]KiSSinGGer
E-mail:kissingger@gmail.com
MSN:kyller_clemens@hotmail.com
题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)
发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gyzy的“基于栈指纹检测缓冲区溢出的一点思路”两篇文章有异曲同工之妙。
两者都通过检测CallStack中的返回地址来做文章。
最近在初步学习一些AntiRootkit技术,这两个不得不吸引我的眼球。
Posted in Rootkit, 技术分析 | No Comments »