Глава 11. Буткиты IPL Bootkits: Rovnix и Carberp

Развитие Rovnix

Архитектура самого буткита

Заражение системы

Процесс загрузки и IPL после заражения

Реализация полиморфного дешифратора

Дешифрация начального загрузчика Robnix с применением VMWare и IDA Pro

Захват управления посредством исправления начального загрузчика Windows

Загрузка самого вредоносного драйвера режима ядра

Функциональность драйвера режима ядра

Модуль внедрения полезной нагрузки

Механизмы самообороны невидимостью

Скрытая файловая система

Форматирование имеющегося раздела в качестве виртуальной системы FAT

Шифрование скрытой файловой системы

Доступ к скрытой файловой системе

Канал скрытого взаимодействия

История ситуации: соединение Carberp

Разработка Carberp

Расширение Дроппер

Утечка исходного кода

Заключение