android基于MBR的bootkit病毒学习笔记
OX1 基于MBR的bootkit
MBR(master boot record)主引导扇区,位于磁盘的第一个扇区,开机bios自检后被加载的第一个扇区。
基于MBR的bootkit的特点是无文件,无进程,无模块,存在于运行的内存和操作系统之外的磁盘扇区空间,重装系统,格式化磁盘都无法清理干净。
0X2 Android oldboot恶意程序
在android系统中,根目录和/sin目录位于RAM DISK中,是一个只读的内存文件系统,从磁盘的boot分区加载而来,但运行时发生的变化不会物理写回磁盘上,在系统运行时,将根目录和/sin挂载为可写,如果删除其中的文件(格式化磁盘或重装系统),但由于删除不会真正的写回磁盘,在设备重启后攻击者的数据又再次从磁盘的boot分区中被加载到以上文件。
0X3 如何将恶意程序oldboot的关键数据写入到boot分区?
M1:攻击者物理接触被感染的设备,并将恶意文件刷到设备的boot分区,及物理刷机所致。
M2:在系统运行期间,获取root权限后通过dd工具将恶意文件强行的写入磁盘的boot分区中。
oldboot才用的是方式一。
OX4 参考文献
http://blogs.360.cn/360mobile/2014/01/18/oldboot-the-first-bootkit-on-android_cn/