鬼影病毒及ROOTKIT技术简介课件.pptVIP

鬼影病毒 及ROOTKIT技术简介 金祖歌 2010年3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。 鬼影病毒发展变化情况 特征 无需寄主 结束所有杀毒软件。 该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒。 颠覆传统 重装系统无法清除。 一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR），即使用户重装了系统，仍无法将其完全清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统。 安全软件失效 电脑明显变慢 “鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。 启动过程 电脑系统开机过程： 开机通电自检--主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动--系统BIOS将主引导记录(MBR)读入内存。 --控制权交给主引导程序--检查分区表状态，寻找活动的分区--主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统启动文件 工作原理 1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起的其它流氓软件会修改桌面快捷方式，尝试修改IE属性。 （分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好） 2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 （“鬼影”病毒是极为罕见的技术型病毒。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术传播。） 什么是ROOTKIT？ Rootkit一词最早出现在Unix系统上。系统入侵者为了取得系统管理员级的root权限，或者为了清除被系统记录的入侵痕迹，会重新汇编一些软件工具（术语称为kit），例如ps、netstat、w、passwd等等，这些软件即称作Rootkit。其后类似的入侵技术或概念在其他的操作系统上也被发展出来，主要是文件、进程、系统记录的隐藏技术，以及网络数据包、键盘输入的拦截窃听技术等，许多木马程序都使用了这些技术，因此木马程序也可视为Rootkit的一种。 Rootkit主要功能为： 隐藏其他程序进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。在今天，Rootkit一词更多地是指被作为驱动程序，加载到操作系统内核中的恶意软件。因为其代码运行在特权模式之下，从而能造成意料之外的危险。最早Rootkit用于善意用途，但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的杀毒软件归类为具危害性的恶意软件。 Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。 分类：应用级-内核级-硬件级 内核级rootkit又可分为lkm rootkit、非lkm rootkit。 lkm rootkit主要基于lkm技术，通过系统提供的接口加载到内核空间，成为内核的一部分，进而通过hook系统调用等技术实现隐藏、后门功能。 鬼影病毒的传播途径 鬼影病毒是通过一些不良网站下载的一些文件，捆绑传播 的。 还有一部分是网页挂马传播的。目前只发现了这两个传播途径。 鬼影病毒伪装为某共享软件，欺骗用户下载安装。 鬼影病毒处理方法 DOS下手动查杀方法 第一步：找专杀工具：这里推荐使用“一键GHOST“，其中的DOS工具箱自带的小工具DISKRW就可以完美解决