1. 首页 >数码产品 > 正文

bmw x7(bmw病毒)

导读 bmw x7,bmw病毒很多人还不知道,乐乐来为大家解答以上问题,现在让我们一起来看看吧!1、360元反病毒工程师对宝马病毒技术分析如下:2、

bmw x7,bmw病毒很多人还不知道,乐乐来为大家解答以上问题,现在让我们一起来看看吧!

1、 360元反病毒工程师对宝马病毒技术分析如下:

2、 宝马病毒的主体分为三部分:BIOS、MBR和Windows。攻击过程如下:

3、 图1

4、 一、宝马病毒的BIOS部分

5、 图:密室逃脱:冠军联赛

6、 增加了ISA模块的BIOS部分,命名为HOOK。ROM,主要用于检测MBR部分是否恢复。如果发现MBR部分被修复了,BIOS中的病毒代码就以14元左右的扇区写入MBR,导致用户反复格式化,高低级,或者重新分区。

7、 Bios中的检测代码如下:

8、 图侏罗纪世界3

9、 图4

10、 检查MBR偏移量0x的92元处的4字节是否为int1元,以确定MBR是否已恢复。如果不是这个值,直接把MBR其他部分的病毒代码从BIOS重写到磁盘的起始扇区。

11、 二、宝马病毒的MBR部分

12、 部分MBR代码执行后,会从逃生室:冠军联赛扇区读取6元扇区的病毒代码到0X7C00,然后跳转到它执行,再将7元扇区的备份MBR读入内存,验证扇区的有效性;

13、 验证后,将分区表中引导扇区所在的扇区读取到0X7C00,验证引导分区的有效性;

14、 验证后,判断引导分区的类型。目前病毒支持NTFS和FAT32元,根据分区类型不同进行不同处理。然后分析文件系统,找到文件所在的扇区,找到对应的Windows系统文件,读取PE信息,判断是否已经感染。(XP/2003系统是Winlogon.exe,Win 7元/Vista系统是Wininit.exe)

15、 如果Windows系统文件已经被感染,“发现就OK!”将显示在屏幕上。“,然后调入原MBR,跳转到原MBR执行;如果Windows系统文件没有被感染,写PE感染的扇区,然后显示“找到OK!“在屏幕上。”,然后调入原MBR,跳转到原MBR执行。

16、 图5

17、 三。BMW病毒的Windows部分(Winlogon和Wininit文件被感染)

18、 以Winlogon.exe为例来说明:

19、 因为病毒修改了文件的入口点,所以文件执行时首先执行加密的病毒代码,运行时动态解码。

20、 病毒代码解密后,加载指定文件,创建病毒,调用CreateThread创建线程,跳回原来的入口点执行。

21、 在病毒线程中,先休眠10个10元秒,然后调用URLDownloadToFileA从黑客服务器下载一个下载器到本地。验证文件下载成功后,调用WinExec执行,从而下载运行各种恶意程序;该病毒还会下载驱动程序,命名为c:\my.sys,是之前的病毒代码通过一系列服务函数创建的。完成后,病毒线程进入无限睡眠状态。My.sys是disk.sys的一个钩子驱动,把磁盘的读写操作挂钩,这样所有对MBR的读写都达不到真正的效果。

22、 安全软件基于MBR防御和查杀BOOTKIT。

23、 一般来说,具有“主动防御”功能的安全软件可以通过拦截RING3侏罗纪世界3应用层对MBR区的写操作,阻止恶意驱动的加载来防御MBR BOOTKIT。在用户开启安全软件防御的前提下,基本不会感染宝马、Ghost等MBR BOOTKIT。

24、 图6元

25、 不幸的是,MBR BOOTKIT总是和社会工程攻击一起出现。比如你想用一个流行的游戏插件来获得快速升级和精良装备,或者你想获得一个付费软件的“注册机”,他们往往会提醒你先关闭安全软件,MBR BOOTKIT就会在这个时候乘虚而入。求神容易送神难。

26、 最早的ghost系列,在查杀软件对这种基于MBR的BOOTKIT缺乏针对性措施的时候,在病毒扫描的时候并没有对MBR区域进行扫描,所以病毒并没有对该区域进行保护。基本上直接读取MBR就可以得到真实的数据,然后根据内部定义的特征码还原成原来的MBR。

27、 但是从《幽灵侏罗纪世界3》开始,随着各种软件查杀程序对MBR区域的检测越来越多,MBR木马也得到了相应的保护。比如《幽灵侏罗纪世界3》勾住磁盘端口驱动的startio地址拦截所有MBR修复,导致所有修复操作在中毒状态下完全无效。比如tdl 44等。还进行了钩子处理,让软件杀手无法读取真实的MBR。当任何程序读取MBR区时,木马都会返回一个假的MBR来杀死软件,欺骗它以为是正常的MBR。此外,ROOTKIT还会创建一个监控线程,检测其对象钩子和MBR是否被恢复,如果发现被恢复,则重新感染MBR。

28、 宝马木马更进一步,在BIOS中增加了修复操作。即使在WINPE模式或DOS模式下恢复MBR,在系统重启时仍然被隐藏在BIOS中的木马代码恢复,修复难度相当大。

29、 针对感染MBR BOOTKIT的电脑,360元系统急救箱提供了MBR检测修复工具(专用于查杀顽固boothorses),专门用于检测修复被感染的MBR。

30、 图7元

31、 这个修复操作比清除常见的顽固木马还要复杂,需要配合360元系统急救箱的强大模式使用。它可以杀死目前已知的MBR BOOTKIT如宝马,tdl 44,幽灵系列和修复系统。

32、 图8元

33、 360元急救箱包括32元版和原生64元版,全面支持Win XP、Vista Win 7元、Win 8元、Win 7元64元和Win 8元64。也支持WINPE。您可以从以下地址下载相应的版本。

34、 《点击下载》

35、 对于BMW BIOS的修复,可以使用专门的BMW BIOS修复工具。修复BIOS后,用急救包扫描修复MBR和WINDOWS系统文件。

36、 你可以在这里下载宝马BIOS的修复工具。

37、 《点击下载》

38、 图快& amp狂怒9

39、 图10元

40、 360元急救箱处理宝马病毒的操作截图如上图:

今天的分享,希望对大家有所帮助。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!