android基于MBR的bootkit病毒学习笔记

OX1 基于MBR的bootkit

MBR(master boot record)主引导扇区，位于磁盘的第一个扇区，开机bios自检后被加载的第一个扇区。

基于MBR的bootkit的特点是无文件，无进程，无模块，存在于运行的内存和操作系统之外的磁盘扇区空间，重装系统，格式化磁盘都无法清理干净。

0X2 Android oldboot恶意程序

在android系统中，根目录和/sin目录位于RAM DISK中，是一个只读的内存文件系统，从磁盘的boot分区加载而来，但运行时发生的变化不会物理写回磁盘上，在系统运行时，将根目录和/sin挂载为可写，如果删除其中的文件（格式化磁盘或重装系统），但由于删除不会真正的写回磁盘，在设备重启后攻击者的数据又再次从磁盘的boot分区中被加载到以上文件。

 

0X3 如何将恶意程序oldboot的关键数据写入到boot分区？

M1：攻击者物理接触被感染的设备，并将恶意文件刷到设备的boot分区，及物理刷机所致。

M2：在系统运行期间，获取root权限后通过dd工具将恶意文件强行的写入磁盘的boot分区中。

oldboot才用的是方式一。

OX4 参考文献

http://blogs.360.cn/360mobile/2014/01/18/oldboot-the-first-bootkit-on-android_cn/