一不小心捕获MBR rootkit

一不小心捕获MBR rootkit

  话说前两天早上一开机,发现IE自动打开N个网页(好家伙),有程序修改regedit,哥一看哈哈有的玩了(寂寞好久啦!!!)。二话没说,拔网线,插上俺的U盘(BT5的),解压哥的Anti-hacker工具箱,然后打开process explorer,(见鬼)没什么异常,然后Fireup Process Hacker启用Kernel Model驱动,启用所有监控,记录日志,查看隐藏进程(使用暴力方式),乖乖看到了---好家伙,看样子不是简单的病毒,接着哥用上了终极武器Anti-Rootkit工具集,先试了几个(什么都木发现),在使用gxxx(还是不说是么子了),报发现MBR Rootkit类型的行为(截图都丢了,这是后话),感染了MBR,Sector55/56。立马关机---U盘引导(bt5 stealth模式)---,先dd备份MBR及前63个sector;(dd if=/dev/sda of=/xxx/mbr512 bs=512 count=1,dd if=/dev/sda of=/xxx/mbr63sec bs=32256 count=1)拷贝到另一台电脑备份下(想不到这样还是杯具了),然后再另一台电脑(一样的)上对比了下MBR代码(winhex)确实不一样(乖乖),回到中招的那台电脑(隔离了),插上网线开始取证,先是用winhex将正确的MBR代码尝试覆写,提示不能写入(晕啊!这个可是winhex 16.0 sr-5的Specialist license软件应该没问题),看样子这个rootkit确实起来了,再重启,BT5下将正常的MBR dd进去,重启进系统,继续覆写MBR还是拒绝写入(我倒),看来这个和一般的MBR rootkit还不一样哦,应该是已加载了自己的驱动,读取sector55/56重新控制系统改写MBR(猜的),干脆将这两个地方都dd掉算了,唉!!!!!!!!!!!悲剧就这样发生了!!!!!!!!----------------完

 

本文出自 “漫步Hacking时空” 博客,谢绝转载!

你可能感兴趣的:(职场,MBR,休闲,rootkit)