Добрый вечер! Ровно через неделю стартует наш курс "Обратный инжиниринг" , и сегодня мы хотим поделиться с вами переводом материала, который имеет непосредственное отношение к этому курсу.
Идти.
Недавно мы исследовал Опубликован вредоносный буткит FinFisher WikiLeaks .
Большинство компонентов версии для Windows были довольно простыми, поэтому давайте сразу перейдем к драйверу режима ядра и загрузочному коду.
Драйвер режима ядра напрямую считывает необработанные данные с жесткого диска или записывает на него.
Упрощенную версию метода, используемого драйвером, можно найти в Эта статья.
Вредоносная программа создает копию основной загрузочной записи (сокращенно MBR) и сохраняет ее отдельно на жестком диске.
Кроме того, программа записывает на зараженный жесткий диск 0x2A00 байт данных.
Впоследствии они копируются вредоносным загрузочным кодом.
Адрес первого сектора, содержащего эти данные, жестко запрограммирован в загрузочном коде.
Чтобы определить свое физическое местоположение, вредоносная программа использует адресацию логических блоков (LBA).
На тестовой машине MBR был перезаписан следующими данными:
Теги: #Windows #обратное проектирование #вредоносное ПО #анализ #bootkitf9fef780 fa 31 c0 8e c0 8e d8 8e d0 bc fc ff fb 88 16 34 .1.4
-
Хабр Rss Без Ката С Помощью Yahoo! Трубы
19 Oct, 24 -
Lua, Что Нового В Bittorrent Dht?
19 Oct, 24 -
Зарабатывайте Деньги На Кибервойне
19 Oct, 24 -
Tchart - Самый Объективный График
19 Oct, 24
