2015_лекции / Лекция №3.1_2015
.pdf
Стратегии заражения, используемые вредоносным программным обеспечением
Основные стратегии заражения
Загрузочное вредоносное ПО
Загрузочные вирусы (DOS)
Буткиты
Файловые вирусы
Заражение памяти
Загрузочное вредоносное ПО
[1]©Symantec Corporation, 2011
Особенности загрузочных вирусов
Особенности загрузочных вирусов
● Возможность запуска вредоносного кода раньше кода ОС, что дает неоспоримые преимущества и позволяет контролировать процесс загрузки ОС.
● Как следствие первого пункта, позволяет обходить систему мониторинга целостности ключевых компонентов ядра — PatchGuard (практически единственный способ обеспечить выживаемость руткита в x64-среде).
● Возможность глубоко скрывать свой код и, таким образом, делать его невидимым для AV-сканеров.
● Буткит имеет посекторную архитектуру хранения своего тела на диске, что дает возможность выносить свой вредоносный код и код полезной нагрузки далеко за пределы файловой системы и даже разделов диска, делая почти невозможным его обнаружение.
● Безопасная установка руткита в системе.
Последовательность загрузки ОС
BIOS
Проверка MBR (сигнатура 55AAh)
Тестирование оборудование (POST)
HDD
MBR
Передача
управления загрузчику ОС
Поиск загрузчика на
носителях
(CD, HDD, Flash)
Определение
активного раздела диска
Последовательность загрузки ОС
BIOS загружает код, находящийся в первом секторе жесткого диска (200h байт по адресу 0000h:7С00h)
Для жестких дисков первый сектор – MBR
загружает себя по адресу 0000h:0600h
определяет загрузочный раздел по таблице разделов
выполняет код, записанный в первом секторе загрузочного раздела по адресу 0000h:7С00h
Загрузочный раздел является частью ОС
Загружает и исполняет следующие загрузочные модули самой ОС:
Загрузчик Windows
NTLDR (bootmng)
OSLOADER.EXE
NTDETECT.COM
NTOSKRNL.EXE, HAL.DLL, загрузочные драйвера
Главная загрузочная запись (MBR)
Загрузчик MBR
Таблица разделов
Сигнатура 55AAh
Reserved
Раздел 1
Раздел 2
Раздел …
Раздел n
MBR
1 сектор
2-63 сектор
Разделы, в т.ч. загрузочный раздел
Главная загрузочная запись (MBR)
Таблица разделов
Раздел 1 (смещение 01BEh) Раздел 2(смещение 01CEh) Раздел 3(смещение 01DEh) Раздел 4 (смещение 01EEh)
Сме |
Длина |
|
Описание |
|
|
щен |
(байт) |
|
|
|
|
ие |
|
|
|
|
|
00h |
1 |
Признак активности раздела |
|||
|
|
80h (раздел активен) и 00h |
|||
|
|
(раздел не активен) |
|
||
01h |
1 |
Начало раздела - головка |
|||
|
|
|
|
|
|
02h |
1 |
Начало |
раздела |
- |
сектор |
|
|
(биты 0-5), дорожка (биты |
|||
|
|
6,7) |
|
|
|
03h |
1 |
Начало |
раздела - |
дорожка |
|
|
|
(старшие биты 8,9 хранятся в |
|||
|
|
байте номера сектора) |
|||
04h |
1 |
Код типа раздела |
|
|
|
|
|
|
|||
05h |
1 |
Конец раздела - головка |
|||
|
|
|
|
|
|
06h |
1 |
Конец |
раздела |
- |
сектор |
|
|
(биты 0-5), дорожка (биты |
|||
|
|
6,7) |
|
|
|
07h |
1 |
Конец |
раздела - |
дорожка |
|
|
|
(старшие биты 8,9 хранятся в |
|||
|
|
байте номера сектора) |
|||
08h |
4 |
Смещение первого сектора |
|||
|
|
|
|
||
0Ch |
4 |
Количество |
секторов |
||
|
|
раздела |
|
|
|
Проблемы и преимущества загрузочного ВрПО
Преимущества
код с максимальными привилегиями (0 кольцо)в
Имеется возможность контролировать запуск и исполнения последующего кода
Недостатки
Не загружена ОС-> после загрузки состояние системы изменится кардинально
Система должна функционировать нормально за исключением небольших «настроек»