如何清除Bootkit木馬后門

簡介

Bootkit是更高級的Rootkit木馬后門。該概念最早于2005年被eEyeDigital公司在他們的“BootRoot"項目中提及，該項目通過感染MBR（磁盤主引記錄）的方式，實現繞過系統內核檢查和啟動隱身。所有在開機時比Windows內核更早加載，實現內核劫持的技術，都可以稱之為Bootkit。例如后來木馬BIOS Rootkit、VBootkit、SMM Rootkit等。

小實驗

下面是一張經典的機器開機啟動順序圖

如上圖所示，第一個組件被稱做是主引導記錄(MBR)，也就是咱們常說硬盤中的0扇區。MBR描述了邏輯分區的一些信息，包含文件系統以及組織方式

在引導程序執行幾個檢查過后，程序就跳轉到VBR引導分區(同樣在0扇區中)。同樣的，VBR也在分區中定義了一些東西。VBR包含了bootstrap和bootloader兩部分。

在嵌入式操作系統中，BootLoader是在操作系統內核運行之前運行。

Bootkit一般都是感染MBR或者是VBR，將代碼復制到內存中，然后執行惡意代碼。有時候，他們還會hook INT 13/15中斷處理程序來過濾內存和磁盤的訪問，保護收到感染的MBR/VBR以及內核驅動。

一旦完成，惡意驅動程序就會注入到用戶進程，然后用一個Payload（攻擊負載）執行惡意操作，比如進行釣魚攻擊啥的。

關于RogueKiller

流氓軟件殺手(roguekiller)是一款免費的進程掃描程序，能夠針對電腦正在運行的軟件程序、系統文件、hosts、代理、dns、檔案、mbr、驅動程序等進行全面安全的掃描檢測，一旦發現惡意程序即可中止或清除，從而保護用戶的計算機安全。

RogueKiller這款軟件可以檢測到注入進程，見下面截圖：

RogueKiller不僅僅能夠檢測到，還能夠自動移除染。只需簡單的掃描操作，就可以輕松刪除受感染的文件了。

移除TDL4的演示

移除Rovnix的演示

相關閱讀：針對蘋果電腦的ROM級惡意程序Thunderstrike

近日，安全研究人員發現一種讓蘋果電腦感染ROM級惡意程序的方法。這個攻擊由編程專家Trammell Hudson在德國漢堡舉辦的年度混沌計算機大會上展現，他證明這將使重寫蘋果Mac計算機固件成為可能。

這種攻擊被命名為“Thunderstrike”。它實際上利用了一個在ThunderboltOption ROM中有些歷史的漏洞，該漏洞在2012年首次被發現但仍未修補。通過受感染的Thunderbolt設備在蘋果電腦的boot ROM中分配一段惡意程序，Thunderstrike 將可以感染蘋果可擴展固件接口（EFI）。點我查看更多內容

[參考來源 AdlICE ，翻譯/鳶尾，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）]