上游究通大学 SHANGHAI JIAO TONG UNIVERSITY ©3、成功格式化后的结果如图所示。 This disk cannot be QuickFormatted Proceed with Unconditional Format (Y/N)?y Formatting 1.44M Format complete. General failure reading drive A Abort,Retry,Fail?r Volume label (11 characters,ENTER for none)? General failure reading drive A Abort,Retry,Fail?r 1,024 bytes total disk space 1,024 bytes available on disk 512 bytes in each allocation unit. 2 allocation units available on disk. Volume Serial Number is 0A74-1415 QuickFormat another (Y/N)?n C:\> 网络空间安全学院
3、成功格式化后的结果如图所示
上游充通大警 SHANGHAI JIAO TONG UNIVERSITY 4、不要取出虚拟软盘,重新启动虚拟机,这时是从empty.img引导, 可以看到病毒的画面,如左图所示。按任意键进入如右图画面。可 见,病毒已经成功由硬盘传染给了软盘
4、不要取出虚拟软盘,重新启动虚拟机,这时是从empty.img引导, 可以看到病毒的画面,如左图所示。按任意键进入如右图画面。可 见,病毒已经成功由硬盘传染给了软盘
上游充通大警 二、BOS和UEF引固件引导病毒简介 SHANGHAI JIAO TONG UNIVERSITY 著名的情报组织“方程式”就具有其在硬盘控制 芯片中植入恶意代码的能力,并在我国多个重要 部门陆续发现相关样本。 ©其它还可被植入恶意代码的硬件还包括BOS、 网卡、显卡、声卡,甚至包括CPU、WIFI模块都 存在被植入恶意代码的可能性。 网络空间安全学院
二、 BIOS和UEFI固件引导病毒简介 著名的情报组织“方程式”就具有其在硬盘控制 芯片中植入恶意代码的能力,并在我国多个重要 部门陆续发现相关样本。 其它还可被植入恶意代码的硬件还包括BIOS、 网卡、显卡、声卡,甚至包括CPU、WIFI模块都 存在被植入恶意代码的可能性
上海充通大¥ BIOS/UEFI加载最早 SHANGHAI JIAO TONG UNIVERSITY BIOS和UEF1,不同的启动过程 传筑的日口5和箭兴UE可.相同的是.它们都是连接生板上硬件和领作系镇的 界菌:不问的是.EF相当智能.能够大大加快启动速度.麦持的应用更为广泛, 启动 B1oS初烛化 Nindows启动 g@+为 y BO5使用汇编语直给查异有的组件.例如CPU.内存和显示卡,然后.B05会搜家能一个 windows 动别去寻找启动盘, 菊款没备图动 程序, 启动 UEF1初始化 Nindows.启动 UEF口果用独立的翼动在 UE中界直 UEFI Windows可 CPU和内存中拉始化硬件设 可以启动各种 知道可以直 以支接调用UE门 备,这些设备相够密司一时间 软数作。如数据 接找到启动 之前激活的设备 完量初地化, 备份工具, 唐的位置, 里动程序。 网络空间安全学院
BIOS/UEFI加载最早
上海文通大学 固件病毒的特点 SHANGHAI JIAO TONG UNIVERSITY BIOS是开机后执行的第一段程序,比MBR更加 底层,BIOS一旦被感染,即便是重装系统,格 式化硬盘也无济于事,因此BOS感染后的驻留 能力是最强的,具有不易清除等特性,适用于长 期潜伏。 斯诺登泄漏的材料显示,美国国家安全局(NSA )核心部门TAO小组所使用的ANT PRODUCTS 的清单中包括两款对于B1OS进行植入的工具: SWAP和DEITYBOUNCE。更新时间为2008年6 月20日。 网络空间安全学院
固件病毒的特点 BIOS是开机后执行的第一段程序,比MBR更加 底层,BIOS一旦被感染,即便是重装系统,格 式化硬盘也无济于事,因此BIOS感染后的驻留 能力是最强的,具有不易清除等特性,适用于长 期潜伏。 斯诺登泄漏的材料显示,美国国家安全局(NSA )核心部门TAO小组所使用的ANT PRODUCTS 的清单中包括两款对于BIOS进行植入的工具: SWAP和DEITYBOUNCE。更新时间为2008年6 月20日