一不小心捕获MBR rootkit

一不小心捕获MBR rootkit

  话说前两天早上一开机，发现IE自动打开N个网页(好家伙)，有程序修改regedit，哥一看哈哈有的玩了(寂寞好久啦！！！)。二话没说，拔网线，插上俺的U盘(BT5的)，解压哥的Anti-hacker工具箱，然后打开process explorer,(见鬼)没什么异常，然后Fireup Process Hacker启用Kernel Model驱动，启用所有监控，记录日志，查看隐藏进程(使用暴力方式),乖乖看到了---好家伙，看样子不是简单的病毒，接着哥用上了终极武器Anti-Rootkit工具集，先试了几个(什么都木发现)，在使用gxxx(还是不说是么子了)，报发现MBR Rootkit类型的行为(截图都丢了，这是后话)，感染了MBR，Sector55/56。立马关机---U盘引导(bt5 stealth模式)---，先dd备份MBR及前63个sector;(dd if=/dev/sda of=/xxx/mbr512 bs=512 count=1,dd if=/dev/sda of=/xxx/mbr63sec bs=32256 count=1)拷贝到另一台电脑备份下(想不到这样还是杯具了)，然后再另一台电脑(一样的)上对比了下MBR代码(winhex)确实不一样(乖乖)，回到中招的那台电脑(隔离了)，插上网线开始取证，先是用winhex将正确的MBR代码尝试覆写，提示不能写入(晕啊！这个可是winhex 16.0 sr-5的Specialist license软件应该没问题)，看样子这个rootkit确实起来了，再重启，BT5下将正常的MBR dd进去，重启进系统，继续覆写MBR还是拒绝写入(我倒)，看来这个和一般的MBR rootkit还不一样哦，应该是已加载了自己的驱动，读取sector55/56重新控制系统改写MBR(猜的)，干脆将这两个地方都dd掉算了，唉！！！！！！！！！！！悲剧就这样发生了！！！！！！！！----------------完

 

本文出自 “漫步Hacking时空” 博客，谢绝转载！