图:64位Win10感染谍影木马触发微软PATCHGUARD导致反复蓝屏
据了解,李先生是由网店购买的此二手主板。根据网络搜索谍影木马的中招现象,李先生的遭遇也并非个例。
从现有样本推测,恶意代码可能是由编程器刷入主板BIOS,通过电商渠道贩卖流通。
鉴于主板结构的复杂性和特殊性,现阶段只有重刷BIOS才能够彻底清除谍影木马。以下是对谍影木马技术原
理的详细分析。
0x01BIOS与UEFI
BIOS是英文"BasicInputOutputSystem"的缩略词,直译过来后中文名称就是"基本输入输出系统"。其实,它
是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、系统设置
信息、开机后自检程序和系统自启动程序。优先于操作系统执行,负责加载执行MBR代码,其主要功能是为计算
机提供最底层的、最直接的硬件设置和控制。
UEFI(UnifiedExtensibleFirmwareInterface)全称“统一的可扩展固件接口”,是一种新的主板引导项,正被
看成是有近20多年历史的BIOS的继任者,自Win8以来得到了微软的力推。UEFI号称通过保护预启动或预引导进
程,可以抵御Bootkit攻击,相比BIOS具有更高的安全性。
0x02技术分析
2.1CSM模块分析
木马位于BIOS文件中 ,主板为ASUS华硕的B85MGASUS0904。和
正常的BIOS不同之处,在于木马主板的CSMCORE模块比正常的要大。应该只能在LEGACYMODE下有效,而通过UEFI
启动的应该无效。(CSM(CompatibilitysupportModule)表示兼容模块,该选项专为兼容只能在legacy模式下工作的设
备以及不支持或不能完全支持UEFI的操作系统而设置。)
木马在该BIOS模块中,加入了自己的功能,挂钩系统了正常函数来执行。
正常的函数如下:
木马挂钩了该函数改为:
评论0
最新资源