恶意代码原理、技术与防范 课件 2-引导型恶意代码.pptx

第二章引导型恶意代码

引言引导型恶意代码运行在系统的底层，加载时机早、抗查杀能力强的特点引得攻击者们对其趋之若鹜。当前计算机的引导方式主要有BIOS固件和UEFI固件两类，本章重点介绍基于这两类的引导型恶意代码。

Windows引导过程引导型病毒

1Windows引导过程Windows引导过程

1.1固件BIOS引导过程BIOS(BasicInputOutputSystem)全称“基本输入输出系统”,它是计算机主板ROM芯片上的一组程序，它保存着计算机最重要的基本输入输出程序、开机后自检程序和系统自启动程序，它可以从CMOS中读写系统设置的具体信息，其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。计算机加电后，系统首先由上电自检程序(PowerOnSelfTest，POST)对各个硬件设备检查，通常包括对CPU、640K基本内存、1M以上扩展内存、ROM、主板等测试，若发现问题，则给出提示信息或鸣笛警告。POST自检完成后，读入并执行引导扇区的主引导记录(MasterBootRecord，MBR)，引导记录找到安装在操作系统的活动分区，将控制权转交给活动分区的引导记录PBR，由该引导记录找到分区上的操作系统启动文件，从而完成操作系统的启动。

1.2固件UEFI引导过程UEFI(UnifiedExtensibleFirmwareInterface)全称“统一的可扩展固件接口”，是一种详细描述全新类型接口的标准，其主要目的为了提供在操作系统加载之前，面向所有平台的一组标准的启动服务。UEFI与传统BIOS引导方法有很大区别，传统的BIOS是与第一批PC兼容的计算机固件一起开发的，随着PC硬件复杂性的增长，需要更复杂的BIOS代码来配置它。而UEFI标准被提出后可以用统一的结构控制固件的复杂性。UEFI固件类似一个小型操作系统，它甚至有自己的网络栈。它包含几百万行代码，实现复杂，能够提供比传统BIOS更多的功能。UEFI具有更好的可编程性、更高的安全性、更强的可扩展性，并且更好的适应64位平台。

1.3Windows操作系统引导过程卷引导记录和初始加载程序bootmgr模块和引导配置数据Windows引导过程视图

Windows引导过程引导型病毒

2引导型病毒9DOSWin9x/meWin2000/XP/Win7…OS的变迁什么技术阻碍了引导型病毒的继续扩张？引导型病毒采用什么技术突破了限制？引导型恶意代码StoneBrainMonkey…PolyBoot…鬼影系列TDL系列…

回顾--硬盘分区结构

--系统启动过程10BIOS启动主机加电OS启动系统启动过程如果用恶意代码替换引导记录，那么…

11什么是引导型病毒？2引导型病毒引导型病毒是指专门寄生在磁盘引导扇区或者主分区的引导扇区的计算机病毒。DOS时代叫病毒，WindowsNT后称为引导型恶意代码，或BootKit。危害：启动早难清除破坏性大

2引导型病毒12MBR的工作流程

2引导型病毒病毒传播：利用软盘和硬盘的引导区进行自我复制。PC1（毒）PC2毒毒毒

2引导型病毒病毒需解决的问题：病毒代码必须能正常引导启动计算机；病毒代码运行后要常驻在内存中；病毒代码要能够识别软盘插入并能够感染其引导区；

2引导型病毒15实现内存驻留常规内存(640KB)高端内存(384KB)DOS内存管理：实模式

2引导型病毒Windows系统常用“事件触发”的消息通知方式；病毒利用DOS系统插入软盘时自动读取软盘引导区的方式进行判断。实现软盘的识别

2引导型病毒17病毒代码为常驻内存开设空间设置传播机制组合完整代码，实现常驻内存？引导型病毒的工作流程病毒的激活病毒的存储病毒的感染

2引导型病毒18BIOS(int13h)读AH=02h，写AH=03hAL=扇区数CH=柱号的低8位CL=低6位为起始扇区号，高2位为柱号高2位DH:DL=磁头号：驱动器实现磁盘读写例：读主引导区所在1号扇区movax,0201hmoval,01hmovcx,0001hmovdx,0h

19NT内核的操作系统安全改进如何对扇区进行读写？1禁止通过BIOS中断对硬件直接访问2由DOS引导启动后交由Windows运行，内存采用保护模式管理2引导型病毒Bootkit

2引导型病毒20Win2000、XP操作系统（1）应用层hDev=CreateFile(\.\PHYSICALDRIVE0,…);ReadFile(hDev,Buffer,512,dwRet,0);（2）驱动层DeviceIoControl(…,IOCTL_OLS_SET_SECTION,…);?IoGetDeviceObje