bmw x7，bmw病毒很多人還不知道，樂樂來為大家解答以上問題，現(xiàn)在讓我們一起來看看吧！

1、 360元反病毒工程師對(duì)寶馬病毒技術(shù)分析如下：

2、 寶馬病毒的主體分為三部分：BIOS、MBR和Windows。攻擊過程如下：

3、 圖1

4、 一、寶馬病毒的BIOS部分

5、 圖：密室逃脫：冠軍聯(lián)賽

6、 增加了ISA模塊的BIOS部分，命名為HOOK。ROM，主要用于檢測(cè)MBR部分是否恢復(fù)。如果發(fā)現(xiàn)MBR部分被修復(fù)了，BIOS中的病毒代碼就以14元左右的扇區(qū)寫入MBR，導(dǎo)致用戶反復(fù)格式化，高低級(jí)，或者重新分區(qū)。

7、 Bios中的檢測(cè)代碼如下：

8、 圖侏羅紀(jì)世界3

9、 圖4

10、 檢查MBR偏移量0x的92元處的4字節(jié)是否為int1元，以確定MBR是否已恢復(fù)。如果不是這個(gè)值，直接把MBR其他部分的病毒代碼從BIOS重寫到磁盤的起始扇區(qū)。

11、 二、寶馬病毒的MBR部分

12、 部分MBR代碼執(zhí)行后，會(huì)從逃生室：冠軍聯(lián)賽扇區(qū)讀取6元扇區(qū)的病毒代碼到0X7C00，然后跳轉(zhuǎn)到它執(zhí)行，再將7元扇區(qū)的備份MBR讀入內(nèi)存，驗(yàn)證扇區(qū)的有效性；

13、 驗(yàn)證后，將分區(qū)表中引導(dǎo)扇區(qū)所在的扇區(qū)讀取到0X7C00，驗(yàn)證引導(dǎo)分區(qū)的有效性；

14、 驗(yàn)證后，判斷引導(dǎo)分區(qū)的類型。目前病毒支持NTFS和FAT32元，根據(jù)分區(qū)類型不同進(jìn)行不同處理。然后分析文件系統(tǒng)，找到文件所在的扇區(qū)，找到對(duì)應(yīng)的Windows系統(tǒng)文件，讀取PE信息，判斷是否已經(jīng)感染。(XP/2003系統(tǒng)是Winlogon.exe，Win 7元/Vista系統(tǒng)是Wininit.exe)

15、 如果Windows系統(tǒng)文件已經(jīng)被感染，“發(fā)現(xiàn)就OK！”將顯示在屏幕上?！埃缓笳{(diào)入原MBR，跳轉(zhuǎn)到原MBR執(zhí)行；如果Windows系統(tǒng)文件沒有被感染，寫PE感染的扇區(qū)，然后顯示“找到OK！“在屏幕上?！?，然后調(diào)入原MBR，跳轉(zhuǎn)到原MBR執(zhí)行。

16、 圖5

17、 三。BMW病毒的Windows部分(Winlogon和Wininit文件被感染)

18、 以Winlogon.exe為例來說明：

19、 因?yàn)椴《拘薷牧宋募娜肟邳c(diǎn)，所以文件執(zhí)行時(shí)首先執(zhí)行加密的病毒代碼，運(yùn)行時(shí)動(dòng)態(tài)解碼。

20、 病毒代碼解密后，加載指定文件，創(chuàng)建病毒，調(diào)用CreateThread創(chuàng)建線程，跳回原來的入口點(diǎn)執(zhí)行。

21、 在病毒線程中，先休眠10個(gè)10元秒，然后調(diào)用URLDownloadToFileA從黑客服務(wù)器下載一個(gè)下載器到本地。驗(yàn)證文件下載成功后，調(diào)用WinExec執(zhí)行，從而下載運(yùn)行各種惡意程序；該病毒還會(huì)下載驅(qū)動(dòng)程序，命名為c:\my.sys，是之前的病毒代碼通過一系列服務(wù)函數(shù)創(chuàng)建的。完成后，病毒線程進(jìn)入無限睡眠狀態(tài)。My.sys是disk.sys的一個(gè)鉤子驅(qū)動(dòng)，把磁盤的讀寫操作掛鉤，這樣所有對(duì)MBR的讀寫都達(dá)不到真正的效果。

22、 安全軟件基于MBR防御和查殺BOOTKIT。

23、 一般來說，具有“主動(dòng)防御”功能的安全軟件可以通過攔截RING3侏羅紀(jì)世界3應(yīng)用層對(duì)MBR區(qū)的寫操作，阻止惡意驅(qū)動(dòng)的加載來防御MBR BOOTKIT。在用戶開啟安全軟件防御的前提下，基本不會(huì)感染寶馬、Ghost等MBR BOOTKIT。

24、 圖6元

25、 不幸的是，MBR BOOTKIT總是和社會(huì)工程攻擊一起出現(xiàn)。比如你想用一個(gè)流行的游戲插件來獲得快速升級(jí)和精良裝備，或者你想獲得一個(gè)付費(fèi)軟件的“注冊(cè)機(jī)”，他們往往會(huì)提醒你先關(guān)閉安全軟件，MBR BOOTKIT就會(huì)在這個(gè)時(shí)候乘虛而入。求神容易送神難。

26、 最早的ghost系列，在查殺軟件對(duì)這種基于MBR的BOOTKIT缺乏針對(duì)性措施的時(shí)候，在病毒掃描的時(shí)候并沒有對(duì)MBR區(qū)域進(jìn)行掃描，所以病毒并沒有對(duì)該區(qū)域進(jìn)行保護(hù)?；旧现苯幼x取MBR就可以得到真實(shí)的數(shù)據(jù)，然后根據(jù)內(nèi)部定義的特征碼還原成原來的MBR。

27、 但是從《幽靈侏羅紀(jì)世界3》開始，隨著各種軟件查殺程序?qū)BR區(qū)域的檢測(cè)越來越多，MBR木馬也得到了相應(yīng)的保護(hù)。比如《幽靈侏羅紀(jì)世界3》勾住磁盤端口驅(qū)動(dòng)的startio地址攔截所有MBR修復(fù)，導(dǎo)致所有修復(fù)操作在中毒狀態(tài)下完全無效。比如tdl 44等。還進(jìn)行了鉤子處理，讓軟件殺手無法讀取真實(shí)的MBR。當(dāng)任何程序讀取MBR區(qū)時(shí)，木馬都會(huì)返回一個(gè)假的MBR來殺死軟件，欺騙它以為是正常的MBR。此外，ROOTKIT還會(huì)創(chuàng)建一個(gè)監(jiān)控線程，檢測(cè)其對(duì)象鉤子和MBR是否被恢復(fù)，如果發(fā)現(xiàn)被恢復(fù)，則重新感染MBR。

28、 寶馬木馬更進(jìn)一步，在BIOS中增加了修復(fù)操作。即使在WINPE模式或DOS模式下恢復(fù)MBR，在系統(tǒng)重啟時(shí)仍然被隱藏在BIOS中的木馬代碼恢復(fù)，修復(fù)難度相當(dāng)大。

29、 針對(duì)感染MBR BOOTKIT的電腦，360元系統(tǒng)急救箱提供了MBR檢測(cè)修復(fù)工具(專用于查殺頑固boothorses)，專門用于檢測(cè)修復(fù)被感染的MBR。

30、 圖7元

31、 這個(gè)修復(fù)操作比清除常見的頑固木馬還要復(fù)雜，需要配合360元系統(tǒng)急救箱的強(qiáng)大模式使用。它可以殺死目前已知的MBR BOOTKIT如寶馬，tdl 44，幽靈系列和修復(fù)系統(tǒng)。

32、 圖8元

33、 360元急救箱包括32元版和原生64元版，全面支持Win XP、Vista Win 7元、Win 8元、Win 7元64元和Win 8元64。也支持WINPE。您可以從以下地址下載相應(yīng)的版本。

34、 《點(diǎn)擊下載》

35、 對(duì)于BMW BIOS的修復(fù)，可以使用專門的BMW BIOS修復(fù)工具。修復(fù)BIOS后，用急救包掃描修復(fù)MBR和WINDOWS系統(tǒng)文件。

36、 你可以在這里下載寶馬BIOS的修復(fù)工具。

37、 《點(diǎn)擊下載》

38、 圖快& amp狂怒9

39、 圖10元

40、 360元急救箱處理寶馬病毒的操作截圖如上圖：

今天的分享，希望對(duì)大家有所幫助。

標(biāo)簽：