Глава 11. Буткиты IPL Bootkits: Rovnix и Carberp
Содержание
Глава 11. Буткиты IPL Bootkits: Rovnix и Carberp
Развитие Rovnix
Архитектура самого буткита
Заражение системы
Процесс загрузки и IPL после заражения
Реализация полиморфного дешифратора
Дешифрация начального загрузчика Robnix с применением VMWare и IDA Pro
Захват управления посредством исправления начального загрузчика Windows
Загрузка самого вредоносного драйвера режима ядра
Функциональность драйвера режима ядра
Модуль внедрения полезной нагрузки
Механизмы самообороны невидимостью
Скрытая файловая система
Форматирование имеющегося раздела в качестве виртуальной системы FAT
Шифрование скрытой файловой системы
Доступ к скрытой файловой системе
Канал скрытого взаимодействия
История ситуации: соединение Carberp
Разработка Carberp
Расширение Дроппер
Утечка исходного кода
Заключение
Развитие Rovnix
Архитектура самого буткита
Заражение системы
Процесс загрузки и IPL после заражения
Реализация полиморфного дешифратора
Дешифрация начального загрузчика Robnix с применением VMWare и IDA Pro
Захват управления посредством исправления начального загрузчика Windows
Загрузка самого вредоносного драйвера режима ядра
Функциональность драйвера режима ядра
Модуль внедрения полезной нагрузки
Механизмы самообороны невидимостью
Скрытая файловая система
Форматирование имеющегося раздела в качестве виртуальной системы FAT
Шифрование скрытой файловой системы
Доступ к скрытой файловой системе
Канал скрытого взаимодействия
История ситуации: соединение Carberp
Разработка Carberp
Расширение Дроппер
Утечка исходного кода
Заключение