逆向工程是一种技术手段,主要用于探究软件的工作原理,通过对可执行程序的解密、反汇编、系统分析和程序理解,还原软件的源代码、设计思路、架构、算法和执行流程。在本实验报告中,重点是分析基于MBR(主引导扇区)的Bootkit,这是一种恶意软件技术,它在操作系统启动前驻留内存,隐藏自身和其它恶意程序,以达到控制或监控系统的目的。
Bootkit的概念最早出现在2005年,它通过加载特殊驱动修改系统内核,使得攻击者能够隐藏踪迹并保持对系统的非法访问权限。与Rootkit不同,Bootkit主要通过感染MBR,即硬盘上的第一个扇区,来实现更早的系统控制。MBR包含了硬盘分区信息和启动指令,确保系统启动时能正确加载操作系统。
本实验的目标是对MBR Bootkit的启动模块代码进行逆向分析,特别是感染后的第1、第61和62扇区。逆向过程中涉及的知识点包括:
1. **保护模式下的汇编语言**:在现代操作系统中,保护模式提供了内存管理和安全特性,需要理解这部分汇编语言以解析Bootkit代码。
2. **实模式下的汇编语言**:早期的80x86处理器工作在实模式,此模式下的汇编语言对于理解MBR的原始引导过程至关重要。
3. **BIOS中断服务**:Bootkit可能利用BIOS的中断服务来执行特定操作,如加载和启动操作系统。
4. **多级HOOK技术**:Bootkit通过HOOK技术拦截关键系统调用,本实验中提到的三级HOOK包括HOOK INT13h、HOOK NTLDR特征码和HOOK内核特征码。
5. **计算机系统内核原理**:理解内核的工作机制有助于分析Bootkit如何修改内核并隐藏自身。
6. **NTLDR**:NTLDR是Windows XP和2003等版本的系统加载程序,Bootkit可能对其进行篡改以实现启动过程中的控制。
实验中使用的工具包括:
- **IDA**:是一款强大的静态分析工具,用于反汇编和理解Bootkit代码。
- **Windbg**:是微软的调试工具,可以对Bootkit进行动态调试,追踪其运行过程。
- **Bochs**:这是一个开源的IA-32架构模拟器,可以模拟硬件环境,便于动态调试Bootkit。
- **Winhex**:是一个十六进制编辑器,可以查看硬盘的原始数据,帮助发现被隐藏的Bootkit组件。
实验中,Bootkit的行为包括直接写入硬盘驱动,生成DLL并运行,然后在10分钟后自动关机。通过Winhex观察到MBR的三个感染扇区,分别对应实模式和保护模式的汇编代码。分析工作集中在理解Bootkit的三级HOOK机制,尤其是HOOK INT13h,这是系统启动过程中的关键中断,Bootkit通过篡改该中断服务来影响系统的正常启动流程。
逆向工程实验报告涉及了多个高级技术,包括汇编语言、系统内核和恶意软件分析。通过深入理解和分析,可以揭示Bootkit的隐蔽操作,这对于安全研究和防御策略的制定具有重要意义。
