探秘Win64/Rovnix:强大而隐蔽的Volume Boot Record Bootkit

最新推荐文章于 2024-09-14 08:47:42 发布
最新推荐文章于 2024-09-14 08:47:42 发布
阅读量456 收藏 4
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00083/article/details/139433681

探秘Win64/Rovnix:强大而隐蔽的Volume Boot Record Bootkit

去发现同类优质开源项目:https://gitcode.com/

项目介绍

Win64/Rovnix是一个高度复杂的Volume Boot Record(VBR)引导工具包,它允许在操作系统启动期间加载特殊设计的驱动程序,这些驱动程序在NT内核初始化和PatchGuard开始之前就已经运行,因此它可以对任何内核代码进行修补。其技术的精妙之处在于,驱动无需数字签名即可工作,支持从Windows XP到Windows 8的各种系统,并兼容x86和AMD64两种架构。

项目技术分析

这个项目的核心是初始程序加载器(IPL),它是变形态的,由多个可随机混合的块组成。每次编译时,块的顺序都会变化,且代码在执行前会动态解密,确保了代码的安全性。此外,驱动程序在磁盘上加密,由IPL在启动时解密。由于IPL的工作方式,驱动的大小被限制在100KB以内。

项目还包含了以下组件:

  • 虚拟文件系统管理器:创建加密的虚拟文件系统(VFS),隐藏于未格式化的硬盘区域。
  • 磁盘访问过滤器:阻止对外部对IPL和VFS存储位置的访问,隐藏VFS。
  • DLL注入器:允许进程加载VFS或驱动附带的DLL。
  • 驱动加载器:提供接口加载未经签名的驱动。
  • TCP/IP堆栈:包括ARP、ICMP和DNS,使得驱动和用户模式应用能通过BSD套接字进行网络访问。

项目及技术应用场景

Win64/Rovnix的设计和实现非常适用于安全研究,学习引导级恶意软件的技术以及防御策略。它也可用于开发先进的系统监控工具,需要在操作系统启动前加载并影响系统行为的应用,或者对于那些希望深入理解操作系统启动过程和驱动加载机制的人。

项目特点

  • 高隐蔽性:IPL代码的随机性和加密性使其难以检测。
  • 跨平台:支持Windows XP至Windows 8,兼容x86和AMD64架构。
  • 驱动加载灵活性:无需签名,可以在操作系统启动前加载任意驱动。
  • 强大的附加功能:如虚拟文件系统、网络访问支持和驱动加载等。
  • 资源保护:通过过滤器防止VFS和IPL被修改。

总结来说,Win64/Rovnix不仅仅是一个技术演示,更是一种深入了解操作系统底层工作原理,特别是引导区感染和防护策略的独特学习资源。无论你是安全研究人员还是系统开发者,都值得深入研究这个开源项目,从中获取灵感和洞见。

去发现同类优质开源项目:https://gitcode.com/

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

[Bootkit]开源Bootkit技术(一)目录&引言
BraveWinds B10G
03-20 4943
Bootkit作为更高级的Rootkit,通过感染磁盘主引导记录(MBR)方式,实现绕过内核检查和启动隐身。博主将会在《开源Bootkit技术》系列文章中陆续介绍四款开源Bootkit的基本情况,并对Stoned Bootkit的反病毒软件响应情况进行了测试和总结。开源Bootkit技术(一)引言 开源Bootkit技术(二)eEyeBootRoot 开源Bootkit技术(三)vBootkit
计算机的启动过程
蛋卷的小世界
05-04 601
当你按下计算机的电源按钮,你有没有想过其内部发生了什么奇奇怪怪的复杂的事情呢? 计算机的启动用英语说就是boot。这个词的来源也很有意思。在发明计算机的早期,工程师们有这么一个很矛盾的问题:要运行程序,就必须先启动计算机;但是要启动计算机,又要先运行程序。那时候要启动计算机真的是一件非常困难的事情。于是工程师们就用一句谚语来比喻计算机启动的过程:“Pull oneself up by o
Win64-Rovnix-VBR-Bootkit:Win64Rovnix-批量启动记录启动包
05-18
Win64 / Rovnix-卷启动记录启动包(Rovnix) 驱动程序的引导加载程序 允许在操作系统启动期间加载特制的驱动程序。 该驱动程序是在NT内核初始化之前和PatchGuard启动之前加载的,因此它可以修补任何内核代码。 在加载任何其他驱动程序(包括所有引导加载驱动程序)之前,已对该驱动程序进行控制,因此它可以监视其加载过程并与之交互。 不需要驱动程序的数字签名。 支持所有Windows操作系统,从XP到Windows 8(包括XP)。 支持2种CPU体系结构:x86和AMD64(EM64T)。 引导加载程序可在任何NTFS类型下工作。 组装项目具有三个主要组成部分: 初始程序加载(IPL); 在NT内核之前加载的特制驱动程序; 安装程序(或安装库(DLL)); IPL代码是变质的,由许多块组成。 在每个项目期间,编译块按随机顺序混合。 IPL代码仅在执行期间被加密
Rovnix bootkit改装版
04-06
Rovnix bootkit感染的是VBR引导代码。本人吸取了Gapz bootkit的技术简单的改装了下,只感染VBR4个字节就可以实现启动! http://www.welivesecurity.com/2012/07/13/rovnix-bootkit-framework-updated/ http://www.welivesecurity.com/2012/12/27/win32gapz-new-bootkit-technique/
[Bootkit]开源Bootkit技术(六)反病毒软件响应测试
BraveWinds B10G
03-22 1350
反病毒软件响应测试为了更全面了解Bootkit情况,博主对开源Bootkits感染OS时反病毒软件的响应进行了一定测试。利用编译完成的Stoned Bootkit v2 alpha4版本,手动感染Windows XP SP3,观察KAV、KIS、Avira和Avast在实时保护、快速扫描两种情况下的响应情况。
计算机启动过程分析
最新发布
m0_63526467的博客
09-14 2216
计算机启动过程分析
Win64-Rovnix引导加载器: 穿透PatchGuard的安全漏洞
标题中的“Win64-Rovnix-VBR-Bootkit”指的是一个恶意软件,特别是针对Windows 64位操作系统的启动引导区(VBR, Volume Boot Record)的木马程序,命名为“Rovnix”。此恶意软件在计算机安全领域内属于“Bootkit”类...
Rovnix bootkit改装版:VBR引导代码的新攻击技术
Rovnix bootkit是一种恶意软件,它的攻击方式是通过感染计算机的主引导记录(VBR,即Volume Boot Record)来实现的。在计算机启动过程中,BIOS会加载并执行位于硬盘最开始部分的VBR代码,进而引导操作系统启动。如果...
TDL4生成器:支持Win XP/Win 7的bootkit下载工具
#### 实测为提供一个下载地址链接,可以支持win xp和win 7的32位及64位 - **支持操作系统**:TDL4生成器生成的TDL4-bootkit能够兼容Windows XP和Windows 7的32位及64位版本,这显示了其广泛的兼容性。在安全领域,...
64windows系统的PatchGuard
lionzl的专栏
07-27 2709
作 者: carlcarl 时 间: 2012-03-26,17:35:21 链 接: http://bbs.pediy.com/showthread.php?t=148451 【说明】 1.  本文是意译,加之本人英文水平有限、windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵。 2.  由于内容较多,从word拷贝过来排版就乱了。故你也可以下载附件。 3.  如
Stoned Bootkit v2源代码
09-08
Stoned Bootkit v2源代码 附送Antivirus Tracker complete 从官网上下载的就是这个zip了,原汁原味. 官网http://www.stoned-vienna.com/不知道为什么上不了了.这里算是个存档吧 一个分,大家懂的..
绕过微软内核系统PG_PatchGuard 在WIN7x64测试通过
追逐光芒,追随内心
10-28 1469
#include "struct.h" ULONG64 GetProcAddress(PSTR funcstr); PVOID sale_hook( IN PVOID hook_addr, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT PDWORD PatchSize); VOID sale_unhook(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSiz.
Windows PatchGuard学习
bcbobo21cn的专栏
10-23 3245
打开Win64AST工具,看一下 Rootkit Functions 里面,有些什么功能;rootkit,肯定是些很底层的功能,和安全相关; 看下有一项 禁止PatchGuard; PatchGuard是什么,禁止了会如何?下面来学习; 1 PatchGuard PatchGuard是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 作用是:有效防止内核模式驱动改动 PatchGuard为Windows Vis.
Win64 驱动内核编程-10.突破WIN7的PatchGuard
墨鱼菜鸡
12-18 368
突破WIN7的PatchGuard WIN64有两个内核保护机制,KPP和DSE。KPP阻止我们PATCH内核,DSE拦截我们加载驱动。当然KPP和DSE并不是不可战胜的,WIN7X64出来不久,FYYRE就发布了破解内核的工具,后来有个叫做Feryno的人又公开了源...
ObRegisterCallbacks的运用
sanqiuai的博客
08-05 5840
ObRegisterCallbacks()有什么用? 继从Windows Vista以后的64位系统都PG(PatchGuard)的存在,所以应用程序不能随意的通过 HOOK SSDT 等方式来修改内核,因为会触发 PatchGuard 保护造成蓝屏。所以现在的64系统的程序通过内核函数ObRegisterCallbacks来实现对自身的保护 。 本文不会介绍原理之类的,其内部实现可以使用IDA工具查看其反汇编代码,另外,该函数不能运行在XP环境下,且需要在驱动中调用,应用层的程序是调用不了的,并且,如今的
计算机开机启动过程详解
weixin_44984664的博客
02-26 9787
计算机的开机启动过程 (1) 启动过程总揽 (二)详细说明 1、CPU 供电 按下主机的电源键后,计算机开始启动,为主板部分芯片和CPU进行供电。主板上电后开始初始化其固件。固件是一些固化在芯片组上的程序,它会试图去启动 CPU。如果启动失败(例如 CPU 坏了或没插好),计算机就会死机并给出错误提示(如某些版本的主板固件会发出蜂鸣警告)。这种状态称为 “zoombie-with-fans”。 ...
木马核心技术剖析读书笔记之木马驱动加载与启动
不急不躁
03-18 1300
Windows 系统启动过程 基于 UEFI 的启动过程 UEFI 固件接口可以实现 BIOS 固件接口类似的功能,逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务,是在 EFI 1.0 基础上发展起来的新型可扩展固件接口,得到了大多数行业主流企业的支持 UEFI 的几乎所有组件都用 C 语言开发完成,不再使用中断、硬件端口直接操作的方法,而是采用 ...
[Bootkit]开源Bootkit技术(五)DreamBoot
BraveWinds B10G
03-20 2781
DreamBootQuarkslab的Sebastien Kaczmarek在2013年发布了Dreamboot Bootkit,该Bootkit适用于使用UEFI启动的Win8 x64系统上。虽然Dreamboot与其他开源Bootkit基本原理相同,但是解决UEFI启动和绕过64位系统上的多种保护机制对于Bootkit的研究和发展具有非常重要的意义。DreamBoot采取的技术路线如下图所示(图
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黎情卉Desired

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值