2015_лекции / Лекция №3.1_2015
.pdf
Буткит Win32/Gapz : Вредоносный
код MBR
Буткит Win32/Gapz : Вредоносный
код VBR
Общая структура VBR
Bootstrap-код (VBR-код), отвечающий за загрузку IPL.
BIOS Parameter Block (BPB) — структура данных, хранящая блок параметров
NTFS.
Текстовые строки, отображаемые пользователю в случае ошибки.
0xAA55 — стандартная двухбайтовая сигнатура, маркер служебного сектора
Используется поле Hidden Sectors структуры BPB (смещение до IPL в секторах, с помощью которого код из VBR определяет, куда передавать управление далее)
Буткит Win32/Gapz : Вредоносный
код VBR
Буткит Win32/Gapz : код в режиме
ядра
Не имеет формат PE исполняемого файла
Состоит из 12 блоков, каждый из которых выполняет внедрение полезной нагрузки, взаимодействие с C&C серверами, самозащиту и так далее
Безопасные загрузка UEFI
UEFI – Unified Extensible Firmware Interface (EFI) —
интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования
Назначение: корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. E
EFI - замена BIOS
Устанавливается требование: исполняются только подписанные загрузчики ОС
Загрузчик ОС должен верифицировать подпись всех компонентов ОС
Механизм Secure Boot в Windows 8.1, Windows Server 2012
R2, Windows RT 8.1, Windows 8, Windows Server 2012 и
Windows RT Window - )
Файловые вирусы
Стратегии заражения файлов
Файловые вирусы
Перезаписывающие вирусы
Вирусы-паразиты
Вирусы-компаньоны
Перезаписывающие вирусы (1)
|
|
|
|
Код |
вирус |
Код |
|
программы |
вируса |
||
|
|||
|
|
|
|
|
|
|
Перезаписывающие вирусы (2)
Код |
Вирус |
Код |
|
программ |
Вирус А |
программы |
А |
ы |
|
|
|
а
Код
Код
вируса
вируса А
А
Код
Код
программ
программы
ы
б
Код
Програм
мы
Вирус |
Код |
Вирус В |
Ввируса В
в
Вирусы-паразиты (1)
Запись в конец файла
jmp
Код |
Код |
программы |
программы |
вирус
Код
вируса