说韩国直邮的这些 *** 靠谱吗-谍影追踪:全世界之一例UEFI_BIOS木马病毒剖析
前不久,广州市网民刘先生向360安全中心寻求帮助,体现他的电脑操作系统全自动建立名叫aaaabbbb的生疏账户,电脑杀毒软件不断报毒,即便 重做系统依然没法清除病毒。
历经360技术工程师远程桌面的分析判断,刘先生笔记本主板BIOS很可能感染了恶意程序。因此,大家请刘先生把电脑主板邮递到360公司北京总部开展剖析,发觉它是一种从来没有的新式BIOS BOOTKIT。因为它会在系统软件中设定特工账户开展远程操作,大家将其哪里可以找黑客帮忙找到 *** 取名为谍影木马病毒。
与过去的BIOS恶意程序对比,谍影木马病毒具备更强的兼容模式和高些的技术实力:
一、全世界之一例感柒UEFI电脑主板的真正进攻。谍影木马病毒适用的BIOS版本号十分多,是现阶段已经知道的唯一可以感柒UEFI电脑主板的木马病毒。谍影木马病毒会感柒UEFI兼容模式的BIOS正确引导控制模块,UEFI GPT方式不受影响。在先前二零一一年出現的BMW BIOS木马病毒(海外生产商取名为Mebromi),则仅适用感柒特殊的Award BIOS;
二、系统软件兼容模式强,适用全部流行的32位系统和64位Windows平台,包含全新的哪里可以找黑客帮忙找到 *** 64位Win10。
哪里可以找黑客帮忙找到 ***图:64位Win10感柒谍影木马病毒开启微软公司PATCH GUARD 造成 不断电脑蓝屏
据统计,刘先生是由网店购买的此二手主板。依据网站搜索谍影木马病毒的有没有中招状况,刘先生的遭受也并不是个案。从目前样版推断,恶意程序可能是由开发板刷入电脑主板BIOS,根据电子商务方式售卖商品流通。
由于主板结构的多元性和独特性,目前仅有再刷BIOS才可以彻底消除谍影木马病毒。下列是对谍影木马病毒技术性基本原理的深入分析。
0x01 BIOS与UEFI
BIOS是英语"Basic Input Output System"的缩略词,意译回来后中文名字便是"基础I/O系统软件"。实际上,它是一哪里可以找黑客帮忙找到 *** 组干固到电子计算机内电脑主板上一个ROM处理芯片上的程序流程,它储存着电子计算机最重要的基础I/O的程序流程、系统配置信息内容、开机后自查程序流程和系统软件开机启动程序流程。优先选择于电脑操作系统实行,承担载入实行MBR编码,其关键作用是为电子计算机出示底层的、最立即的硬件配置设定和操纵。
UEFI(Unified Extensible Firmware Interface)全名“统一的可拓展固定件插口”,是一种新的电脑主板正确引导项,正被当做是有近20很多年历史时间的BIOS 的继任,自Win8至今获得了微软公司的首推。UEFI称为根据维护预起动或预正确引导过程,能够抵挡Bootkit进攻,对比BIOS具备高些的安全系数。
0x02技术指标分析
2.1 C *** 控制模块剖析
木马病毒坐落于BIOS文档中 ,电脑主板为ASUS asus的 B85M-G-ASUS-0904。和一切正常的BIOS不同点,取决于木马病毒电脑主板的C *** CORE控制模块比一切正常的要大。应当只有在LEGACY MODE下合理,而根据UEFI起动的应当失效。(C *** (Compatibility support Module)表明兼容控制模块,该选择项专为兼容只有在legacy方式下工作中的机器设备及其不兼容或不哪里可以找黑客帮忙找到 *** 能彻底适用UEFI的电脑操作系统而设定。)
木马病毒在该BIOS控制模块中,添加了自身的作用,挂勾系统软件了一切正常涵数来实行。
一切正常的涵数以下:
木马病毒挂勾了该涵数改成:
将原来涵数的之一条命令改成CALL,进而得到 实行机遇:
以后其会分辨R9存储器所说內容是不是为3,可能是BIOS复位取得成功的一个标示,随后检索BIOS內部机器码CD 19 B8 00 80 CB 00
应该是 BIOS內部复位后,启用终断INT19H 完成载入电脑硬盘之一个磁道MBR实行的编码。随后改动0X413处的数据信息,预埋40KB室内空间,用于储放木马病毒编码,并将BIOS内的编码拷到该预埋室内空间。并将前边寻找的BIOS內部复位后,启用终断哪里可以找黑客帮忙找到 *** INT19H 完成载入电脑硬盘之一个磁道MBR实行的编码,改成启用木马病毒本身的编码。
2.2 INT15挂勾剖析
随后,回到执行,当实行到BIOS复位好,提前准备载入硬盘MBR编码的情况下,便会实行木马病毒的编码。木马病毒此刻会挂接INT15H终断,随后修复实行原先的编码,那样就完成了挂勾,事后就和暗云系列产品的MBR木马病毒类似,根据挂勾INT15H来一步一步的挂勾运行内存,载入本身。
那样,当系统软件MBR得到 实行的情况下,木马病毒早已在运行内存中挂好啦INT15h的HOOK,以后,会HOOK 哪里可以找黑客帮忙找到 *** bootmgr!Archx86TransferTo64BitApplicationA *** 得到 下一次实行机遇,随后再HOOK winload!OslArchTransferToKernel,,随后等核心载入情况下会HOOK ZwCreateSection,进而选择到核心运作,随后会设定进程回调函数。
2.3 进程回调函数挂勾
接下去会设定进程回调函数哪里可以找黑客帮忙找到 *** PsSetCreateThreadNotifyRoutine
和过程回调函数PsSetCreateProcessNotifyRoutine,过程回调函数中只复印了下"Process %d Create %d\ ",进程回调函数才算是重要內容。
进程回调函数中木马病毒分辨是不是为csrss.exe过程,要不是则绕过,如果是就建立一个系统软件进程,
而且 *** 一个工作中进程,将本身的进程回调函数抹除。
2.4 哪里可以找黑客帮忙找到 *** 核心进程互联网下载编码
在建立的系统软件进程里会先等候1分钟大约是为了更好地等互联网准备好。
随后会试着应用二种 *** 去免费下载故意Code到核心实行,
优先选择试着UDP DownLoadShellCodeByUDP,涵数为分析 www.XXXX.top 网站域名。
应用0xDEDE43D0 0x8080808,2组DNS网站域名转换回来,即(222.222.67.208 8.8.8.8)
与www.XXXXtop 通讯端口号为0x801F即8064号端口号。哪里可以找黑客帮忙找到 ***
优先选择应用0x3500即53号端口号要求域名服务,取得 www.XXXX.top 网站域名相匹配详细地址。
先要求 *** 服务器,了解Shellcode 长短分块尺寸,随后一个一个分块解决,最终拼凑一起。
推送数据文件为,长短为0x10。
接纳数据文件为:
总长为0x28,头顶部长短为0x10,数据信息一部分长短为0x18,校验和为0xd845672a。
Shellcode长短为0x1a32d,一共有 0xd两个分块,每一个分块尺寸为 0x200。
在应用UDP *** 收取和发送数据信息情况下会对数据信息一部分进哪里可以找黑客帮忙找到 *** 行校检。
校哪里可以找黑客帮忙找到 *** 验取得成功才拼凑在一起,不然丢掉,随后再申请办理非分页运行内存。
将以前的运行内存编码复制实行,将NT基详细地址做为主要参数传到。
2.5 破译恶意程序和递送APC
免费下载出来的编码仅头顶部能够实行,后边一部分为数据加密数据信息,必须破译实行。
调用函数为RtlDecompressBuffer,破译后尺寸为150728,破译 *** 为 COMPRESSION_FORMAT_LZNT1。
然后会启用添充导进表:
随后启用PsCreateSystemThread建立引入哪里可以找黑客帮忙找到 *** 进程。
进程哪里可以找黑客帮忙找到 *** 中:
优先选择查哪里可以找黑客帮忙找到 *** 找过程中引入寻找的是spoolsv.exe。
随后再是杀毒软件过程:
申请办理运行内存复制引入:
插APC引入:
2.6 实行客户层故意免费下载编码
引入后从 *** 层实行,编码中包括一个DLL文件,实行涵数为申请办理运行内存基详细地址。
随后获得Kernel32 控制模块基详细地址,跟 LoadLibraryA GetProcAddress VirtualAlloc,
添充运行内存中PE文档导进表,添充进行后实行DllMain函数。
会在DllMain中创哪里可以找黑客帮忙找到 *** 建进程,实行免费下载而且运作,依据操纵码中止或是删掉相关服务。
进程涵数:
提权实际操作破译下下载链接数据信息。破译后內容为:
依据操纵码中止或是删除服务:
随后分三种 *** 运作: (DLL载入,父过程引入,立即建立EXE运作)
2.7 建立故意账户
这儿免费下载出来的是一个EXE,关键作用便是建立了一个管理员账号。
截屏:
0x03结语
谍影木马病毒可内寄生在包含UEFI电脑主板以内的多种多样版本号BIOS里,十分细致地目的性感柒BIOS正确引导控制模块,通杀Windows全服务平台执行远程操作,展现出高伤害、高复杂性和高技术实力的哪里可以找黑客帮忙找到 *** “三高”特性。
为了更好地防止谍影木马病毒,360安全中心提议网民:尽可能挑选官方网方式选购计算机配件,并打开防护软件即时安全防护。假如碰到开机登录界面迟缓、系统软件出現生疏账户、防护软件不断报毒等异常状况,更好是向安全性生产商寻求帮助,防止木马程序对本人数据信息和资产导致损害。
文中由 安全客 原創公布,如需转截请标明来源于及文中详细地址。
文中详细地址:http:// bobao.360.cn/learning/detail/3779.html
美国APOLLO国际公司是经美国 *** 批准设立的综合性跨国公司,总部位于美国中西部落矶山山脉(RockyMountain)东侧的科罗拉多州(Colorado)。“APOLLO”——古。说韩国直邮的那些 *** 靠谱吗
黑客一般在哪出现。首先要习惯自己去探索。各种常见软件、系统的设置等等无需看书。一个游戏无法运行,自己搜索。在不断的摸索中锻炼自己的自学能力然后对常见的软。
说韩国直邮的那些 *** 靠谱吗《黑客攻防技术宝典.Web实战篇(第2版)》是探索和研究Web应用程序安全漏洞的实践指南。作者利用大量的实际哪里可以找黑客帮忙找回 *** 案例和示例代码,详细介绍了各类Web应用程序的。
微信怎么查找全部聊天记录?相信很多人都有误删重要聊天记录的经历,小编也不例外,在使用微信的过程中,一不小心左滑就容易删除与好友的聊天对话框,又或者是。
黑客技术入门教程微信头像怎么盗微信号简单 *** 谁能盗微信密码盗微信高手微信聊天记录恢复微信监控软件最简单盗别人微信密码有盗微信。说韩国直邮的那些 *** 靠谱吗
它。读[tā],和"它"的读音意思完全一样 (它的异体字)书面语用作动物的第三指称词。 简体汉字:它 汉语拼音:tā 汉字。
说韩国直邮的那些 *** 哪里可以找黑客帮忙找回 *** 靠谱吗这个说不定了,关键看你是从什么地方下载的,可信吗?如果可信的话,那就无视吧,如果不可信那就有可能是软件被用来传播病毒了,万一不小心中招了,建议你。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
