高防CDN_国外_云服务器解除ddos-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 高防CDN_国外_云服务器解除ddos

高防CDN_国外_云服务器解除ddos

小墨安全管家 2021-04-08 19:08 DDOS防御 89 ℃
DDoS防御
脸谱网linkedin推特阅读时刻:~6最小值马可朱利安尼上周三,微软公布了一篇重要的恶意软件更新文章。该恶意软件会将代码添加到主引导记录(MBR)中,MBR是硬盘的一具区域,在操作系统启动之前,PC会读取该区域。研究人员有时将这类恶意软件称为bootkit,或者是rootkit,它在引导过程中以特别低的级别加载,操作系统看不到它,所以特别难删除。微软研究员Chun Feng详细介绍了Popureb.E的一些新功能,其中包括一具很低级的钩子到负责磁盘读写的Windows驱动程序中。当试图在Windows系统中有效地对被感染的工具举行修改时,尝试将其写进一具被感染的工具中,试图对其举行修改。(更新2011-07-08:我们公布了一具免费的命令行工具,能够从受感染计算机的主引导记录中删除Popureb.E。)微软最初对Popureb.E的清理指导相当激烈,而且有些吓人:彻底删除bootkit需要彻底重新安装Windows,清除硬盘上当前的所有内容。我们不以为这是事实,微软的人也许基本缓和了他们的建议,包括一些使用恢复操纵台的手动修复。尽管特洛伊木马背后的整个概念是有效的,技术上强大,但恶意软件的实际实现并不如其背后的理念有效。下面是一篇相当技术性的文章,它既描述了咨询题,也描述了我们提出的一具解决方案。大约五年前,我们看到第一具针对主引导记录的恶意软件在特别久没有浮上之后又出如今野外。MBR病毒II在DOS病毒时代之后几乎消逝了,但在2007年末,Mebroot MBR感染者浮上了。在这几年中,Bootkit的开辟有了显著的进步,从高级内核模式的rootkit(如TDL4)到Whistler Bootkit,再到加密原始主引导记录的勒索软件,并将计算机扣为人质直到你付清为止。挑选命中主引导记录意味着将战场转移到操作系统之外,绕过安全软件在操作系统内部实施的各种安全对策。这算是为啥越来越多的恶意软件以主引导记录为目标:在操作系统允许恶意软件对系统举行修补而不受干扰之前启动的机遇。与TDL4一样,Popureb也以主引导记录为目标,防止在Windows中运行的应用程序覆盖甚至触摸感染。特洛伊木马程序不大概试图将其代码躲藏在主引导记录中;相反,它不过阻挠各种安全软件修复或覆盖它。这就像一具虐待狂的游戏,安全软件勇敢地一次又一次地尝试修复主引导记录,但永久都不大概成功。也算是讲,Popureb并不像大多数当代的rootkit。首先,它不大概试图使用通用rootkits实现的一种常用想法在系统中躲藏自个儿。它也不大概在MBR上躲藏它的代码,然而允许每个人读取它的MBR代码。可能作者以一种错误的安全感假设,DDoS防御,没有人可以修复它。他错了。我们看到的Popureb.E的示例与windowsvista或windows7不兼容,于是它目前也许只阻碍windowsxp和windows2003操作系统。在执行传递Popureb的dropper之后,Popureb计算硬盘上存储其有效负载的扇区。特洛伊木马程序经过调用一具低级函数来猎取正确的扇区地址,该函数返回硬盘驱动器的参数(如柱面、每个柱面的磁道和每个扇区的字节),接着使用这些参数计算存储代码的地址。接着,特洛伊木马读取原始主引导记录,并复制分区表,将其集成到受感染的MBR中。Popureb用受感染的MBR覆盖扇区0,但它也保留原始MBR的副本。可是,DDoS防御,Popureb使用了一种解码很简单的想法,使得原始的MBR数据无法使用,以至于称Popureb的技术加密几乎是对整个加密概念的侮辱。Popureb只需将原始MBR代码的每个字节向一具方向旋转73个字符。它几乎类似于加密的隐秘解码器环想法,不过假如创建者使用了一具实际的隐秘解码器环,就更难恢复原来的MBR。尽管这种修改会使MBR无法被系统读取,然而,比方讲,向相反的方向旋转数据73个字符并恢复它并不艰难,CC防御,非常是假如您懂要寻找啥以及在哪里能够找到数据的话。Popureb感染MBR后,特洛伊木马会加载自个儿的内核模式驱动程序,并即将开始爱护修改后的MBR。磁盘I/O爱护是经过遍历磁盘驱动程序堆栈并挂接最低的微型端口驱动程序来实现的,通常是atapi.sys公司,尽管这不是唯一一具能够钩住的驱动程序。特洛伊木马程序挂接驱动程序的StartIo例程并保存原始StartIo指针以供将来使用。过滤例程分析传入的输入/输出请求包(IRP),寻觅IRP_MJ_内部设备\ u操纵包。当Popureb截获一具SCSI包时,它会检查它是否是正在执行的SRB_FUNCTION_EXECUTE_SCSI操作,并将SCSIOP_write更改为SCSIOP_read。该特洛伊木马还会检查它是CDB10、CDB12依旧CDB16数据包,以便设置正确的操作代码。接着将包转发到原始StartIo函数,该函数完成IRP请求。这种技术将返回成功编写代码的结果,而它却将整个过程强制为一具读取操作,从而产生强大的磁盘爱护——或者作者是那样想的。为了消除特洛伊木马的有效负载,我们恢复Popureb存储其代码的磁盘偏移量,运行一些操作来寻找原始(如今已混淆)MBR数据的位置,并用恢复的原始MBR数据覆盖修改后的MBR。关于那些在您的调试器中,在受感染的MBR中,在偏移量74h处有一具磁盘扇区,我们需要乘以每个扇区的字节数。结果将是所需的驱动偏移。Popureb将原始MBR存储在偏移量+2400h处,需要使用ROR 0x73循环对其举行解码,DDoS防御,ROR 0x73循环与上述ROL 0x73循环相反。特洛伊木马不实现任何类型的看门狗线程来爱护其内核模式挂钩,这使得恢复工作更加容易。感谢,Popureb的作者。最终,我们懂rootkit存储原始MBR的位置,懂怎么禁用rootkit过滤引擎,以及怎么恢复原始StartIo例程。在我们成功地运行了一些内部测试之后,我们将公布一具针对这种感染的移除工具。真正的噩梦是特洛伊木马看起来有缺陷,有时会在重新启动时期挂起系统。这大概会成为一具咨询题,需要您执行完整的系统重新安装。否则,即使那个恶意软件显示出特别好的潜力,我们发觉当前版本实际上能够在没有任何重大咨询题的事情下被击败。TDL rootkit背后的罪犯不应该担心Popureb:他们的TDL生物仍然是最先进、最令人讨厌的内核模式bootkit感染。对于作者博客职员Webroot博客提供专家对最新网络安全趋势的见解和分析。不管您是家庭用户依旧企业用户,我们都致力于为您提供在当今网络威胁面前保持率先所需的意识和知识。脸谱网linkedin推特

高防CDN_国外_云服务器解除ddos


DDoS防御

当前位置:主页 > DDOS防御 > 高防CDN_国外_云服务器解除ddos

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119