Bootkit是更高級的Rootkit木馬后門。該概念最早于2005年被eEyeDigital公司在他們的“BootRoot"項(xiàng)目中提及，該項(xiàng)目通過感染MBR(磁盤主引記錄)的方式，實(shí)現(xiàn)繞過系統(tǒng)內(nèi)核檢查和啟動隱身。所有在開機(jī)時比Windows內(nèi)核更早加載，實(shí)現(xiàn)內(nèi)核劫持的技術(shù)，都可以稱之為Bootkit。例如后來木馬BIOS Rootkit、VBootkit、SMM Rootkit等。

小實(shí)驗(yàn)

下面是一張經(jīng)典的機(jī)器開機(jī)啟動順序圖

如上圖所示，第一個組件被稱做是主引導(dǎo)記錄(MBR)，也就是咱們常說硬盤中的0扇區(qū)。MBR描述了邏輯分區(qū)的一些信息，包含文件系統(tǒng)以及組織方式

在引導(dǎo)程序執(zhí)行幾個檢查過后，程序就跳轉(zhuǎn)到VBR引導(dǎo)分區(qū)(同樣在0扇區(qū)中)。同樣的，VBR也在分區(qū)中定義了一些東西。VBR包含了bootstrap和bootloader兩部分。

在嵌入式操作系統(tǒng)中，BootLoader是在操作系統(tǒng)內(nèi)核運(yùn)行之前運(yùn)行。

Bootkit一般都是感染MBR或者是VBR，將代碼復(fù)制到內(nèi)存中，然后執(zhí)行惡意代碼。有時候，他們還會hook INT 13/15中斷處理程序來過濾內(nèi)存和磁盤的訪問，保護(hù)收到感染的MBR/VBR以及內(nèi)核驅(qū)動。

一旦完成，惡意驅(qū)動程序就會注入到用戶進(jìn)程，然后用一個Payload(攻擊負(fù)載)執(zhí)行惡意操作，比如進(jìn)行釣魚攻擊啥的。

關(guān)于RogueKiller

流氓軟件殺手(roguekiller)是一款免費(fèi)的進(jìn)程掃描程序，能夠針對電腦正在運(yùn)行的軟件程序、系統(tǒng)文件、hosts、代理、dns、檔案、mbr、驅(qū)動程序等進(jìn)行全面安全的掃描檢測，一旦發(fā)現(xiàn)惡意程序即可中止或清除，從而保護(hù)用戶的計(jì)算機(jī)安全。

RogueKiller這款軟件可以檢測到注入進(jìn)程，見下面截圖：

RogueKiller不僅僅能夠檢測到，還能夠自動移除染。只需簡單的掃描操作，就可以輕松刪除受感染的文件了。

移除TDL4的演示

移除Rovnix的演示

相關(guān)閱讀：針對蘋果電腦的ROM級惡意程序Thunderstrike

近日，安全研究人員發(fā)現(xiàn)一種讓蘋果電腦感染ROM級惡意程序的方法。這個攻擊由編程專家Trammell Hudson在德國漢堡舉辦的年度混沌計(jì)算機(jī)大會上展現(xiàn)，他證明這將使重寫蘋果Mac計(jì)算機(jī)固件成為可能。

這種攻擊被命名為“Thunderstrike”。它實(shí)際上利用了一個在ThunderboltOption ROM中有些歷史的漏洞，該漏洞在2012年首次被發(fā)現(xiàn)但仍未修補(bǔ)。通過受感染的Thunderbolt設(shè)備在蘋果電腦的boot ROM中分配一段惡意程序，Thunderstrike 將可以感染蘋果可擴(kuò)展固件接口(EFI)。

參考來源：http://www.adlice.com/bootkit-removal-roguekiller/