android基于MBR的bootkit病毒学习笔记

OX1 基于MBR的bootkit

MBR(master boot record)主引导扇区,位于磁盘的第一个扇区,开机bios自检后被加载的第一个扇区。

基于MBR的bootkit的特点是无文件,无进程,无模块,存在于运行的内存和操作系统之外的磁盘扇区空间,重装系统,格式化磁盘都无法清理干净。

0X2 Android oldboot恶意程序

在android系统中,根目录和/sin目录位于RAM DISK中,是一个只读的内存文件系统,从磁盘的boot分区加载而来,但运行时发生的变化不会物理写回磁盘上,在系统运行时,将根目录和/sin挂载为可写,如果删除其中的文件(格式化磁盘或重装系统),但由于删除不会真正的写回磁盘,在设备重启后攻击者的数据又再次从磁盘的boot分区中被加载到以上文件。

 

0X3 如何将恶意程序oldboot的关键数据写入到boot分区?

M1:攻击者物理接触被感染的设备,并将恶意文件刷到设备的boot分区,及物理刷机所致。

M2:在系统运行期间,获取root权限后通过dd工具将恶意文件强行的写入磁盘的boot分区中。

oldboot才用的是方式一。

OX4 参考文献

http://blogs.360.cn/360mobile/2014/01/18/oldboot-the-first-bootkit-on-android_cn/

 

posted @ 2014-02-14 17:26  mickeyontheway  阅读(423)  评论(0编辑  收藏  举报