طريقة

في الوقت الحاضر، وعدد من نموذج التعليمات البرمجية لإنشاء الجذور الخفية BIOS محدودة للغاية، مع فتح رمز فريد مارس 2009 مع الافراج عن عرض الجذور الخفية BIOS (على حد علمي). هدفي الأول هو دراسة النتائج في عام 2009 لإنتاج الأمن الأساسية، ثم ضعي المهمة الثانية هي دراسة كيفية توسيع نتائجها. هدفي النهائي هو خلق بعض الجذور الخفية المستندة إلى BIOS يمكن أن نشر بسهولة.

في عام 2009، وقد أجريت دراسة مماثلة في مجال الأمن، الذي يقوم على قطاع التمهيد الجذور الخفية. وBIOS الجذور الخفية على أساس التطورات المختلفة في مجال بسرعة كبيرة، مما أدى إلى عدد من الجذور الخفية مختلفة ماجستير سجل الحذاء (MBR) ويجري تطوير وأفرج عنه. ويسمى هذا النوع من الجذور الخفية "Bootkit"، على أساس المقارنة بين الجذور الخفية مماثلة BIOS، والذي يهدف إلى تحميل نفسه قبل أن يتم تحميل نظام التشغيل. وقد أدى هذا التشابه العديد من المطورين bootkit وتجدر الإشارة إلى أن هذا النوع من الهجوم يمكن تنفيذها مباشرة من BIOS، بدلا من تحميل من MBR. وعلى الرغم من هذه الفكرة، ولكن لم أمثلة هذا الكشف التعليمات البرمجية.

الخطوة الأولى في الانتهاء من هذا المشروع هو إقامة BIOS يمكن تعديلها والتكليف من بيئات الاختبار والتطوير. في ورقة على إصابة BIOS المستمر، ساكو واورتيجا يصف بالتفصيل كيف وجدوا وير يتضمن ROM BIOS، ويمكن استخدامها لبدء المصحح GDB تطبيق الملقم من BIOS نفسها. بعد نجاح إم وير، تم الانتهاء من تعديل إم وير BIOS استدار إلى منصات أخرى مثل BIOS، سأكتب في النصف السفلي من هذا الوصف.

تكوين BIOS وير

حسنا، الآن لدينا معلومات أساسية كافية للقيام بذلك بعد الآن!

وتتمثل الخطوة الأولى لاستخراج BIOS المرجوة من برنامج VMware نفسها. في Windows، يمكنك استخدام أي مستخرج من الموارد (الموارد هاكر.) فتح ملف قابل للتنفيذ وير vmx.exe. يتم واحدة هذا التطبيق مع عدد من الموارد ثنائي مختلفة، معرف المورد 6006 (على الأقل في إم وير 7 هو هذه) ذاكرة BIOS. في إصدارات أخرى، وهذا قد يكون مختلفا، ولكن المفتاح هو أن ننظر لحجم ملف المورد من 512KB. يظهر الصورة التالية محتويات الموارد هاكر:

لقد ارتبطت هذه الصورة BIOS إلى تطبيق وير vmx.exe، يمكنك استخدامه وحده، من دون الحاجة إلى تعديل الملف القابل للتنفيذ فمور بعد كل تغيير. إم وير يسمح لك تحديد متعددة الخيار "مخفي" في صورة ملف VMX الإعدادات. في مرحلة ما، وانا ذاهب لتسجيل بعض الملفات الموجودة على "أدوات" صفحة من هذا الموقع، وذلك لأن بعض من وظيفة مفيدة جدا! مفيدة لBIOS لتعديل وتصحيح مثل:

bios440.filename = "BIOS.ROM" debugStub.listen.guest32 = "الحقيقية" debugStub.hideBreakpoint = "الحقيقية" monitor.debugOnStartGuest32 = "الحقيقية"

المجموعة الأولى يسمح مدمج BIOS تحميل مباشرة من ملف بدلا من تطبيق وير-VMX. مكنت السطرين التاليين المدمج في خادم GDB. كلما تم تشغيل صورة، سيقوم الملقم الاستماع للاتصالات على المنفذ 8832. السطر الأخير يشير إلى السطر الأول من رمز لوقف تنفيذ وير صورة ضيف BIOS. وهذا مفيد جدا لأنه يسمح لك لتحديد وفصل أي ذاكرة BIOS قبل التنفيذ. IDA برو اختبار باستخدام GDB كعميل، وتوقف في التعليمة الأولى في BIOS إم وير ضيف الجهاز الظاهري سبيل المثال يمكن أن ينظر إليه في الصورة التالية:

مع هذه البيئة الاختبار الأولية، وهناك مشاكل كبيرة على اتصال مع خادم IDA GDB. وبعد أن تم اختبار عدة محاولات والأخطاء مع عميل GDB مختلفة، وجدت أن المشكلة لإصدار وير. الإصدار 6 و 6.5 لا تبدو جيدة للغاية على المؤسسة الدولية للتنمية، لذلك يمكن استخدام VMware7 لمعظم الاختبارات. يتكون كود BIOS من 16 بت بدلا من التعليمات البرمجية الافتراضية 32 بت المؤسسة الدولية للتنمية، والتي تتطلب تعريف "منطقة الذاكرة اليدوية" في الخيار التصحيح IDA. وهذا يسمح يعرف عنوان الذاكرة باعتبارها رمز 16 بت، بحيث بشكل صحيح بتفريغ.

إعادة إنشاء النتائج السابقة - التعديلات وير BIOS

كما هو موضح أعلاه، ساكو واورتيغا BIOS تم تعديل مرتين، Wojtczuk وTereshkin BIOS كما تم تعديلها. في هذه العروض الثلاثة، إلا ساكو واورتيجا تثبت أنها تحتوي على أي رمز المصدر أو نموذج التعليمات البرمجية وصف التكنولوجيا. وبما أن هذا هو المثال الوحيد الموجود، ويتم استخدامها كنقطة انطلاق لبرامج الجذور الخفية المستندة إلى BIOS.

ساكو واورتيجا الأوراق في وصف الإعداد لها واختبار تكنولوجيا شاملة جدا. برنامج التثبيت إم وير كما هو موضح أعلاه الانتهاء، فإن الخطوة التالية هي أن ندرك أنها توفر BIOS لتعديل التعليمات البرمجية. رمز المقدمة للBIOS ROM المطلوبة لاستخراج كل وحدة. إم وير BIOS ROM الذي يأتي مع BIOS فينيكس. وقد أظهرت الدراسات أن استخدام هذا النوع من BIOS، ودعا "phxdeco" أداة مفتوحة المصدر ويدعى "فينكس BIOS محرر" أداة تجارية فينيكس فينيكس مباشرة، هناك نوعان من الأدوات الرئيسية. ساكو ورقة أورتيغا أوصى فينيكس وتطبيقات BIOS محرر، رمز منها هو استخدامها. وهناك أيضا نسخة تجريبية يمكن تحميلها من صفحة الويب لديه كل الميزات المطلوبة لهذا المشروع. أنا أحاول أن أجد رابط التحميل، ولكن لا يبدو أن العثور على أي شيء حتى نصف المحاكمة المشروعة، ولكن جوجل لا تقدم مجموعة متنوعة من الوصلات. ولكن ما زلت اعتقد، تجد بعض النسخة التجريبية الشرعي لا يزال من السهل جدا. بعد تثبيت الأداة، فإن الخطوة التالية هي لبناء BIOS المخصصة.

أنا أول اختبار في تعديل صغير على الصور BIOS وير التي تم اتخاذها، فإن شعار وير تغيير اللون وتصبح نشطة. بعد ذلك، أركض مترجم بيثون السيناريو التي تقدمها ساكو واورتيجا لتعديلات BIOS. بالإضافة إلى خطأ الطباعة بيثون BIOS النصي التجمع، كل شيء على ما يرام، يتم حفظ BIOS الجديد إلى القرص. ومع ذلك، هذا BIOS لتحميل برنامج VMware لم يكن لديك نفس النجاح، إم وير سيتم عرض رسالة تفيد أن حدث خطأ في خطأ الجهاز الظاهري، ويجري مغلقة. يتم تصحيح هذه المشكلة في المؤسسة الدولية للتنمية وفي GDB، ولكن المشكلة من الصعب تتبع (IDA بالإضافة إلى إصدار لديه مشكلة). من أجل حل بسرعة، وأنا حصلت على نسخة مختلفة من إم وير، وذلك لتتناسب مع البيئة البيئة واختبار ساكو واورتيجا. بعد بعض البحث، الإصدار المفصلة من استخدامهم لوير وجدت بالفعل وتثبيتها. للأسف، وهذا لا يزال لا يحل المشكلة، وأفاد وير نفس حوادث. على الرغم من أنني لم أر BIOS المراجعة كجزء من العرض، فمن الواضح الآن أنها تتطلب نموذج التعليمات البرمجية الإضافية المعدلة للعمل على أي نظام الاختبار.

بواسطة ساكو واورتيجا تصحيح التعليمات البرمجية، تعلم الكثير من الاشياء المختلفة، وفي نهاية المطاف، يتم تقليل المشكلة إلى تعليمات المجمع التي يتم تنفيذ الاتصال عن بعد عنوان مطلق، عنوان مطلق ليس هو العنوان الصحيح المستخدمة من قبل BIOS. بعد إدخال العنوان الصحيح، ويتم تنفيذ كود BIOS بنجاح، بدأ الجذور الخفية للبحث في القرص الصلب إلى تعديل. استغرق هذا الرمز وقتا طويلا لتفحص القرص الثابت (فقط 15GB)، وتشغيل عدة مرات قبل أن يبدأ النظام. دليل من التعليمات البرمجية مفهوم تضم NOTEPAD.EXE وظيفة إصلاح، لذلك أن الرسالة المعروضة عند بدء التشغيل، أو / الخ / ملف باسود على نظام يونيكس تعديل بحيث كلمة مرور الجذر إلى قيمة ثابتة.

اختبار Bootkit

على الرغم من أن المشروع فترة طويلة نسبيا، ولكن أيضا على وظائف من قانون bootkit مختلف تم اختباره وإعادة إنشاء النتائج لتحديد ما هو أفضل مناسبة كما مجرد bootkit، ولكن أيضا الجذور الخفية المستندة إلى BIOS. فحص أربعة برنامج التشغيل المختلفة التي محشش، ويسلر، Vbootkit وVbootkit2 و bootkits. والتصميم و bootkits ويسلر محشش يتميز مثل البرمجيات الخبيثة من وظائف الجذور الخفية، وليس بنية شفرة المصدر بسيط. Vbootkit2 بدء تشغيل أداة مختلفة جدا، لأنها ليست مصممة لتكون البرمجيات الخبيثة، و(نسبة إلى غيرها) لديهم مصدر جيد. تم تصميم bootkit للتشغيل من CD، ولكن فقط اختبار في ويندوز 7 بيتا. عند استخدامها مع ويندوز 7 التجزئة، لأن Windows استخدام التوقيعات الملفات المختلفة، لذلك ليس هناك bootkit الحمل. قضاء بعض الوقت لتحديد ملف توقيع جديد بحيث يمكنك اختبار هذه bootkit، ولكن لا يزال لا يمكن تحميل بنجاح. للسماح Windows بيتا اختبار النسخة 7. عندما Vbootkit2 يعمل البرنامج على نظام ويندوز 7 بيتا، كل شيء يعمل كما هو متوقع. ويشمل البرنامج Vbootkit2 عملية الترقية إلى نظام (فوق المدراء) أذونات مستوى، وضربات المفاتيح التقاط وإعادة تعيين كلمة المرور الخاصة بالمستخدم. وهذه كلها مشاريع جديرة المدرجة في الجذور الخفية، ولكن نقل التطبيقات إلى ويندوز 7 صناعة التجزئة لا تزال مهمة صعبة جدا. ثم التحقق من برنامج Vbootkit، وهو مصمم للعمل مع نظام التشغيل Windows 2003، XP و 2000 معا المستخدمة. على الرغم من عدم تعبئتها، بحيث يمكن تشغيلها من قرص مضغوط، ولكن تعديلها قليلا فقط لإضافة هذه الميزة. وعلى الرغم من هذا البرنامج تشمل القدرة على ترقية حقوق العملية فقط، ولكن هذا هو وظيفة قيمة. يتم تحديد البرنامج bootkit لBIOS الجذور الخفية، والتي سوف تكون مشمولة في القسم التالي. NVLabs bootkit هو المؤلف نفسه، لأنه يقوم على bootkit، لأنها تمثل وظيفة رئيسية من هذا المشروع في نواح كثيرة، فهي في غاية الامتنان لرمز مفتوحة! يبدو شفرة المصدر على موقعهم لم يعد متاحا، ولكن لا يزال بإمكانك تحميل البرنامج من Archive.org

حقن رمز BIOS

قبل أثبتت التجربة أن تكون هشة للغاية، وظيفتها هي لا يجب أن يتم تنفيذ ساكو واورتيجا كود مفهوم نوع الجذور الخفية من العملية. الخطوة الأولى في تطوير الجذور الخفية الجديد هو تطوير وسيلة قوية لجعل BIOS تنفيذ تعليمات برمجية إضافية.

ساكو واورتيجا مصححة BIOS وحدة الضغط، لأنه قد تم ضغط (لذلك يمكن أن يكون كل شيء تفكيك آخر)، ويسمى عند تحميل BIOS. هذا المنطق هو معقول، ولكن الحاجة إلى تعديل دلل. أثناء التشغيل العادي، سيكون موجودا BIOS عن وحدة BIOS تدعو كل وحدة الضغط الضغط مرة واحدة. يتضمن برنامج VMware BIOS 22 وحدة ضغط، لذلك تريد استخراج 22 مرة. وتشمل وحدة برمجية إضافية لدينا، كما أنه يتواجد في مساحة المخزن المؤقت، لذلك من الضروري تعديل تعليمات برمجية إضافية لدينا.

يمكنني استخدام وتشمل عملية الخطوات التالية:

• في بداية حدة الضغط إلى دعوة جديدة إلى رمز إضافي لدينا.
• نسخ كافة تعليمات برمجية إضافية جهدنا لقسم ذاكرة جديدة.
• تحديث وحدة الضغط ودعا للإشارة إلى الموقع الجديد للذكرى يقيم متاحة لدينا في.
• العودة إلى وحدة الضغط والاستمرار.

هذه العملية تسمح كمية كبيرة من تعليمات برمجية إضافية تدرج في ROM BIOS، ورمز ثم يتم نقلها إلى عملية الذاكرة من موقع موثوق بها في الذاكرة. قد تكون الخطوات الأربع على النحو التالي:

(MSPAINT رهيبة)

تنفذ في المجمع قد يكون لهذه المشكلة العديد من الطرق المختلفة، ولكن الهدف هو خلق كرمز مستقل نظام. ولتحقيق ذلك، يتم استخدام كل مطلقة عنونة يتم حذف، إلا دعوة وثيقة أو القفز. والاستثناء هو موقفنا في المراجع الذاكرة المتوفرة، مهما كان من المتوقع أن النظام لأنه هو موقف ثابت. رمز التجميع التالي هو رمز لمعالجة نقل:

start_mover: ، وتعليمات دفع التاليين سيوفر على الوضع الحالي للسجلات على المكدس. PUSHA pushf ، يتم مسح سجلات القطاع ونحن سوف تتحرك كافة التعليمات البرمجية لقطاع 0 XOR الفأس، الفأس، (وهذا قد يكون أو لا يكون واضحا، ولكن xor'ing مجموعات السجل إلى 0). XOR دي، دي XOR الاشتراكية، الاشتراكية دفع خدمات العملاء، دفع جزء التعليمات البرمجية في مقطع البيانات، حتى نتمكن من الكتابة فوق رمز عنوان الدعوة البوب س. (يتم نقل CS لDS هنا) وفاق وسائل التحقق، الفأس، شريحة الوصول (0x0000) وسائل التحقق دي، 0x8000، تعويض الوجهة، عن تشغيل التعليمات البرمجية من 0x8000 وسائل التحقق CX، 0x4fff، حجم رمز لنسخ ويقترب كما نسخ اضافية يفعل أي شيء لا يضر ، المكالمة التالية يخدم أي أغراض تدفق البرنامج، ولكن سوف يسبب عنوان الاستدعاء (أي حيث هذا الرمز ؛ وتنفيذ من) إلى المكدس ويسمح هذا الرمز إلى التصحيح بشكل عام نفسها بغض النظر عن المكان ربما. ؛ كن في الذاكرة إذا لم تستخدم هذه التقنية، ومعرفة مكان في الذاكرة أن وحدة الضغط يكون ، ستكون هناك حاجة مقدما (بحيث يمكن الثابت ترميز)، وهو ليس حلا جيدا لأنه يختلف عن كل نظام المحملة. دعوة ب ب: البوب الاشتراكية؛ وهذا البوب عنواننا الحالي من المكدس (أساسا مثل نسخ السجل EIP) إضافة الاشتراكية، 0x30، كيف متقدما بفارق كبير ونحن بحاجة إلى نسخ الكود movsw ممثل واحد؛ وهذا تكرار الدعوة الأمر movsw حتى يتم decremented CX إلى 0. عندما يكون هذا الأمر ، انتهى، سيتم نسخ كود جهدنا ل0x8000 الفأس وسائل التحقق، كلمة  ، وهذا سوف تحصل على عنوان المتصل لتصحيح هوك الأصلي الفأس الفرعية، 3؛ التراجع إلى بداية عنوان الدعوة، لا من حيث توقفت وسائل التحقق بايت ، 0x9a، وتحتاج وظيفة الدعوة إلى تغيير إلى الأقصى نداء بدلا من الأدنى نداء إضافة الفأس، 1؛ المضي قدما لوضع عنوان جديد ليتم استدعاؤها في المستقبل كلمة موف ، 0x8000، العنوان الجديد لهذا الرمز ليتم استدعاؤها في كلمة موف ، 0x0000، الجزء الجديد (0) ، وقد تم الآن نقل ورمز ومصححة وظيفة الدعوة، لذلك كل شيء يمكن استعادة ويمكن أن نعود. popf بوبا ؛ والكتابة الإرشادات التالية مع التصحيح إلى وحدة DECOMPC0.ROM، لذلك نحن بحاجة لتشغيلها الآن قبل أن يعود. ب س وسائل التحقق، وفاق خ وسائل التحقق، ب س س وسائل التحقق، الفأس متقاعد، تحديث لعودة قريبة

مرة واحدة يتم تنفيذ التعليمات البرمجية، فإنه ينسخ نفسه إلى الذاكرة تعويض 0x8000، وتعديل تعليمات الأولي المكالمة، بحيث يشير الآن إلى 0x8000. للعسل اختبار هذا الرمز، رمز المنقولة هو مجرد روتين، وسوف تظهر "W" (انظر الشاشة بالرصاص أدناه) على الشاشة. ومع ذلك، فإن الهدف النهائي هو استدعاء التعليمات البرمجية الجذور الخفية لدينا، وبالتالي فإن التعديل المقبل هو تحقيق التكامل من التعليمات البرمجية.

الجزء الأمامي من "VBootkit" البرمجيات عازمة على أن تكون أكثر نوع مناسب من وظائف الجذور الخفية يمكن تحميل من BIOS. برنامج VBootkit خلقت في الأصل بحيث يمكن تشغيلها من قرص قابل للتشغيل. في حين أن هذا هو مماثل لنقطة البداية من BIOS إلى المدى، ولكن هناك بعض الاختلافات الرئيسية. وتستند هذه الاختلافات بشكل رئيسي على عملية التمهيد، على النحو التالي:

لدينا BIOS المستندة إلى الأحمال كود الجذور الخفية على BIOS والدخول BIOS في مكان ما المدى بين المراحل. تدير bootkit في المرحلة الأخيرة، بدءا من ذاكرة 0x7C00.

وصمم هذا البرنامج VBootkit ليتم تحميلها إلى عنوان 0x7C00، وفي هذه الحالة سيتم نقلهم إلى عنوان 0x9E000. فإنه سيتم ثم وقف والمقاطعة 0x13، ثم القرص الصلب (MBR) يقرأ قطاع 0x7C00 أولا، بحيث يمكن أن تؤدي كما لو bootkit لم يظهر. يحتاج هذا الإجراء إلى تعديل، بحيث يتم استبدال كل عنوان الثابت تلوينها (لأن bootkit لم يعد القسري 0x7C00). وعلاوة على ذلك، يتم تحميل أي MBR في الذاكرة، لأن BIOS للقيام بذلك بأنفسهم.

VBootkit السنانير برنامج المقاطعة 0x13، وهذا هو، فإنه يستبدل عنوان مقاطعة عادة استخدام عنوان الخاصة بهم، ثم جعل المقاطعة المكالمة بعد العلاجات الأخرى. واتضح أن يتطلب تعديل إضافي، لأنه عندما دعا لدينا كود الجذور الخفية BIOS المقاطعة 0x13 لا يزال غير مهيأ تماما. للتغلب على هذه المشكلة عن طريق حساب عدد المرات المخزنة في تشغيل وحدة الضغط. إذا كان يعمل بالفعل 22 مرات (22 وحدة)، ثم تتم تهيئة BIOS بشكل كامل، ونحن يمكن أن يعلق بأمان المقاطعة 0x13.

برنامج Vbootkit اتباع الإجراءات التالية:

• متى سيتم نقل المكالمة الأولى إلى 0x9E000 في الذاكرة (على غرار BIOS قبل الانتهاء من نقل)
• ثم ربط المقاطعة 0x13، وهذا هو تمت مقاطعة الوصول إلى القرص الصلب
• الشيكات كل نشاط القرص لتحديد البيانات كونها قراءة
• إذا تم قراءة القرص الثابت من محمل التمهيد ويندوز، محمل التمهيد لتعديلها قبل رمز المخزنة في الذاكرة
• سوف تغييرات على محمل الإقلاع يؤدي إلى تعديل نواة ويندوز. سيكون هذا بدوره يسمح حقن تعليمات برمجية عشوائية ويندوز نواة، مما يسمح للارتفاع وظيفة امتياز.

كما حقن BIOS لدينا بالإضافة إلى عملية التحميل bootkit على النحو التالي:

ونتيجة لهذه التغييرات هي لنسخ bootkit لأداء الذاكرة وBIOS، لتحميل نظام التشغيل من القرص الصلب، ثم تنتهي مع نظام التشغيل المعدلة، لذلك سيتم تشغيل العملية بعض الحقوق الإضافية. يظهر الصورة التالية عندما تجد محمل الإقلاع ونواة وبنجاح تعديل bootkit كود يعرض على الرسالة:

هذا الرمز مجموعات لالجذور الخفية للتحقق من أي عملية تسمى "pwn.exe"، وإذا وجدت، يرجى اعطائها مزيدا من الحقوق. ويتم ذلك كل 30 ثانية، وبالتالي فإن الفرق هو السهل أن نرى الامتيازات. ويمكن ملاحظة هذه الميزة في رمز ولقطات يلي:

XOR ECX، ECX وسائل التحقق كلمة CX، CMP الكلمة المزدوجة "PWN"؛ معرفة ما اذا كان يسمى عملية PWN.exe جي patchit JNE donotpatchtoken، أحزاب اللقاء المشترك يستغرق 5 بايت ولكن هذا يستغرق 2 بايت patchit: وسائل التحقق كلمة CX، وسائل التحقق الكلمة المزدوجة ، EBX، استبدالها رمز SERVICES.EXE، ويقابل لرمز ثانية 200

وقد وضعت الجذور الخفية BIOS قد تحتوي على المزيد من الميزات (مثل الواردة Vbootkit2 المحتوى).

BIOS الضغط والترقيع

الآن نحن نعرف كيف يتم حقن الجذور الخفية في BIOS، فإن الخطوة التالية هي استخدام كود الجذور الخفية الترقيع BIOS. تحقيقا لهذه الغاية، ونحن بحاجة لاستخراج كل من وحدة BIOS، وحدة إصلاح الضغط، وإعادة التعبئة والتغليف للجميع المحتوى. Phxdeco يمكن استخدام أداة سطر الأوامر لاستخراج أو وحدة نمطية فينيكس BIOS محرر. مرة واحدة يتم استخراج حدة الضغط، فإن البرمجية التالية استخدام لدينا إصلاح الجذور الخفية:

#! / البيرة / بن / الثعبان السراج الاستيراد، البنية، تميز الكلية ############################################### # BIOS تخفيف الضغط النصي وحدة الترقيع - عن طريق ويسلي ينبرج # # تطبيق فينيكس BIOS محرر (ويندوز) سوف يولد عدد من ملفات وحدة # بما في ذلك وحدة الضغط الذي سيعلن "DECOMPC0.ROM". هذه الملفات هي # حفظ إلى C: ملفات \ برنامج \ فينيكس السير محرر \ TEMP (أو ما شابه) مرة واحدة في ملف BIOS WPH هو # المفتوحة. يمكن تعديل ملف حدة الضغط مع هذا السيناريو. وبمجرد تعديل، # ويمكن إجراء أي تغيير على وحدات BIOS في محرر BIOS بحيث ملف BIOS WPH جديد # يمكن أن تتولد من قبل المحرر BIOS. وحدة الضغط يمكن أن يكون بدلا من ذلك # المستخلصة من phnxdeco.exe، ولكن هذا لا يسمح لإعادة التجميع. يتطلب هذا البرنامج النصي # هذا NASM تكون موجودة على نظام تشغيل عليه. # # INPUT: # هذا السيناريو يتطلب التصحيح اسم ومسار ملف الجذور الخفية ASM BIOS لتمريرها # وحجة على سطر الأوامر. # # OUTPUT: # هذا السيناريو سوف نقوم بتعديل ملف DECOMPC0.ROM تقع في نفس الدليل النصي # حتى أنه سيتم تشغيل BIOS كود الجذور الخفية ASM. # معلومات استخدام العرض إذا ليون (sys.argv) <  2: طباعة "تعديل وإعادة بناء وحدة فينيكس BIOS DECOMP0.ROM. الجذور الخفية ASM كود اسم الملف مطلوب! " الخروج (0) # ابحث عن الاسم الرمزي الجذور الخفية كود القشرة = sys.argv .lower () # تجميع رمز المجمع ليتم حقنه. مطلوب NASM أن تكون موجودة على النظام # أو هذا سوف تفشل! os.system ( 'NASM ق' كود القشرة) # المفتوحة وعرض حجم رمز الجذور الخفية جمعتها shellcodeout = كود القشرة decomphook = مفتوحة (shellcodeout، "م ع"). قراءة () طباعة "مدونة الجذور الخفية تحميل: د بايت" ليون (decomphook) # السطر التالي يحتوي على تعليمات التجميع الخام التي سيتم وضعها 0x23 في الضغط مدمج # ملف يحتوي جمهورية الجبل الأسود الضغط رأس، تليها عدد من تعليمات الدفع ثم التعليمات. سيتم إدراج # A CLD هذا الرمز على الفور بعد، وسوف الكتابة ل عدد # تعليمات وسائل التحقق، وهذه الحاجة ليتم استدعاؤها من قبل رمز الجذور الخفية قبل أن يعود بحيث يمكن # وظائف الضغط العادية تستمر. # التعليمة المجمع الواردة أدناه هو الأدنى نداء الذي سيتم الانتقال إلى نهاية # مدمج تخفيف الضغط حيث تم إدخال رمز الجذور الخفية. ويعقب ذلك ثلاث NOP # التعليمات كما حشو. minihook = '\ \ xe8 X28 X04 \ \ \ X90 X90 X90 \ " # إن يلي يعمل ولكن مكالمة مطلقة، ليست مثالية! # Minihook = '\ \ x9a x5A \ \ X04 xDC \ \ إلى x64 X90' # دعوة حتى الآن + 0x45A # تحميل الملف المضغوط الضغط decorom = مفتوحة ( 'DECOMPC0.ROM'، 'م ع). قراءة () # هوك الموقع 0x23 في إلى ملف، فقط في الماضي تعليمات CLD hookoffset = 0x23 # إدراج محتويات هوك في روم الضغط، الكتابة ما كان هناك سابقا decorom = decorom + + minihook decorom # لوح مدمج الضغط مع 100 تعليمات NOP. ليس هناك حاجة لذلك، ولكن لا تجعل من # أسهل لتحديد حيث اتخذت تعديل مكان. decorom + = "\ X90" * 100 + decomphook # الوسادة إضافي 10 NOP في نهاية. decorom = decorom + '\ X90' * 10 # إعادة حساب حجم ROM، بحيث رأس يمكن تحديثها decorom = decorom + struct.pack ( " < H "، ليون (decorom) -0x1A) + decorom # إنقاذ الضغط مدمج مصححة على النسخة السابقة من = مفتوحة ( 'DECOMPC0.ROM'، 'البنك الدولي') out.write (decorom) out.close () # النتائج الناتج طباعة "تم الآن مصححة الملف DECOMPC0.ROM".

مثال على كيفية استدعاء البرنامج النصي أعلاه هو:

الثعبان patchdecomp.py biosrootkit.asm

إذا سارت الامور بشكل جيد، يجب أن نرى شيئا مشابهة لما يلي:

كود الجذور الخفية تحميل: 1845 بايت

وقد تم الآن مصححة الملف DECOMPC0.ROM.

إعادة هيكلة BIOS

لملف BIOS الأصلي، مثل برنامج VMware عرضية، وفينيكس السير محرر (على شبكة الإنترنت) ويأتي في كثير من المساعدة لسطر الأوامر يمكن استخدامها لإعادة تجميع كل شيء. وفي وقت لاحق، عند اختباره باستخدام جهاز كمبيوتر حقيقي، بل هو نسخة احتياطية BIOS ضروري، وإعادة هيكلة أدوات تستخدم النسخة GUI من فينيكس السير محرر. وهذا يعني أنه لا يمكن أن يكون تطبيق بسيط جدا التي تعمل على نظام مصاب BIOS، على الأقل ليس باستخدام أدوات جاهزة.

وهذا يعني أن عملية العدوى BIOS ينقسم على ثلاث مراحل، يتطلب بعض العمليات اليدوية، وذلك أساسا لإعادة التعبئة. يتم عرض الصورة التالية لفتح BIOS محرر BIOS فينيكس:

ليست مصممة فينيكس BIOS محرر للتبديل وحدات. عندما فتحت صورة BIOS للمرة الأولى، سوف يكون موجودا كل وحدة BIOS لاستخراج C: \ ملفات البرنامج \ فينكس BIOS محرر \ TEMP \ المجلد. وحدة الضغط يمكن نسخها، وإصلاح واستبدال من المجلد. طائر الفينيق BIOS محرر لا يسمح لك بحفظ دون تعديل BIOS من BIOS، فمن الضروري تعديل قيمة السلسلة، ومن ثم تغييره (أو إجازة عادل)، لذلك يمكنك حفظ BIOS.

إذا كنت تريد أن تجرب ذلك بنفسك كل هذه يمكن تحميلها في نهاية BIOS شفرة المصدر الجذور الخفية يستند إلى نص وسيناريو التصحيح.

اختبار آلة البدني

طائر الفينيق BIOS استخدامها مع جميع التنمية القائمة وير، لذلك، يتم تحديده لاختبار باستخدام الكمبيوتر المادية. جميع المادية (وليس الظاهري) اختبارات BIOS تستخدم الكمبيوتر المحمول HP بافيليون ze4400 الانتهاء. وكان الهدف اختبار BIOS أصلا للكمبيوتر بدلا من جهاز كمبيوتر محمول، لأنه إذا اللازمة، والوصول إلى اللوحة الأم PC سيكون من الأسهل لإعادة ترتيب. ومع ذلك، والعثور على الفور جهاز كمبيوتر مع BIOS فينيكس الواضح لا تطير، وذلك باستخدام جهاز كمبيوتر محمول (شكر خاص لديفيد لBIOS بلدي كتب عن غير قصد تحديث الكمبيوتر المحمول عند شفرة المصدر!)

استرجاع PC BIOS

الخطوة الأولى في تعديل نظام حقيقي BIOS هو استخراج نسخة منه. طائر الفينيق اثنين من أدوات مختلفة، فإنها عادة ما توفر أداة لهذا الغرض، ودعا "Phlash16"، وآخر بعنوان "WinPhlash". Phlash16 هو أداة سطر الأوامر (مع وحدة على أساس واجهة المستخدم الرسومية)، ولكن يمكن تشغيل فقط من DOS. WinPhlash، كما يوحي الاسم، تشغيل من ويندوز. ورغم أن هذا هو أداة القائم على واجهة المستخدم الرسومية، فإنه يقبل أيضا خيارات سطر الأوامر التي تسمح لنا لأتمتة عملية استرجاع BIOS. لهذا المشروع، وأخيرا قدمت بعض البرامج النصية لأتمتة BIOS استخراج وإصلاح، ولكن دورها الأساسية جدا ومحدودة.

البرنامج النصي الدفعي التالي لنسخ ملف BIOS اسمه BIOSORIG.WPH، ومن ثم تحقق ما إذا كان قد تم تعديله من قبل. CheckFlash.py بيرل النصي فقط التحقق من محتويات BIOS من اسمي، وليس في أي BIOS غير المصلحة.

rem هذا الملف مقالب السير والشيكات إذا سبق مصححة ذلك. تفريغrem WinPhlash \ WinPhlash.exe /ro=BIOSORIG.WPH rem تحقق مما إذا كان قد تم تصحيحها BIOS بالفعل بيثون \ PortablePython_1.1_py2.6.1 \ التطبيقات \ الثعبان CheckFlash.py WinPhlash \ BIOSORIG.WPH

PC BIOS الضغط والترقيع

بعد استرجاع BIOS، فإن الخطوة التالية هي استخدام إصلاح قانون الجذور الخفية لدينا. هذا قد تستخدم نفس السيناريو في المقطع أعلاه لإكمال. والهدف من هذا المشروع هو تصميم التصحيح وعملية الإصلاح متوافقة وقت ممكن. وأعتقد أنه من الممكن تماما، وأدوات يمكن استخدام نفس لنفس النوع من BIOS، والأجهزة هو آلة مختلفة تماما.

تجميعها PC BIOS

بالرغم من وجود أداة الحرة التي يمكن استخلاصها من الوحدات النمطية في BIOS فينيكس، ولكن يبدو أنه ليس هناك سوى فينيكس السير محرر يمكن إعادة تجميعها على جهاز كمبيوتر نموذجي الحاجة. أدوات WinPhlash BIOS المطلوبة لتقديم معلومات إضافية، يتم تخزين BIOS في ملف WPH جنبا إلى جنب مع BIOS الأصلي. بعد الطريقة الوحيدة لاختبار عدد من الخيارات المختلفة، ويبدو النجاح لإعادة تجميع ملف WPH هو استخدام واجهة المستخدم الرسومية فينيكس السير محرر. وهذا يعني ليس فقط لديها التطبيقات التي يمكن تشغيلها على BIOS سوف تصيب الجهاز، على الأقل ليس باستخدام أدوات جاهزة.

من الناحية النظرية، ينبغي أن تكون قادرة على عكس تنسيق الملف WPH وخلق BIOS مخصصة أداة إعادة الهيكلة، ولكن ليس ضمن نطاق المشروع. بدلا من ذلك، إصابة BIOS هو عملية من ثلاث مراحل، يتطلب يستخدم بعض العمليات اليدوية أساسا لإعادة التجميع.

إم وير BIOS وإصلاح كما فينكس BIOS محرر يمكن استخدامها لتقنيات وحدة تجميع إعادة التصحيح. عندما فتحت صورة BIOS للمرة الأولى، سوف يكون موجودا كل وحدة BIOS لاستخراج C: \ ملفات البرنامج \ فينكس BIOS محرر \ TEMP \ المجلد. وحدة الضغط يمكن نسخها، وإصلاح واستبدال من المجلد. سوف فينيكس BIOS محرر لا تسمح لك بحفظ دون تعديل BIOS من BIOS، فمن الضروري تعديل قيمة السلسلة، ومن ثم تغييره (أو إجازة عادل)، لذلك يمكنك حفظ BIOS.

BIOS اللمعان

تجميعها مرة واحدة إعادة في ملف BIOS WPH، والسيناريو الدفعة التالية إلى صورة BIOS جديدة لتحديث BIOS EEPROM، ثم قم بإعادة تشغيل جهاز الكمبيوتر، لتصبح نافذة المفعول:

rem هذا الملف بتحميل ملف يسمى "BIOSPATCHED.WPH" إلى BIOS. هل إعادة تشغيل النظام عند الانتهاء. WinPhlash \ WinPhlash.exe /bu=BIOSBACKUP.WPH / I BIOSPATCHED.WPH

النتائج تعديل دفتر

سنضع معا كل الأشياء المبينة أدناه يظهر وميض رمز BIOS لجهاز كمبيوتر محمول (infect.bat المدى النصي من المفصلة أعلاه):

بعد الانتهاء من ذاكرة فلاش، BIOS الجذور الخفية تشغيل بنجاح وتحميلها في نواة ويندوز. يظهر الصورة التالية بداية الأولي كما موجه الأوامر المستخدم العادي، ومن ثم رفع مستوى كفاءتهم بعد 30 ثانية:

هذا يشير إلى أن BIOS الجذور الخفية السهل بما فيه الكفاية للعمل على أنظمة متعددة (أجهزة الكمبيوتر المحمولة وير، HP)، وآلية الإصابة العادية ويعمل بشكل صحيح.

تطوير "الجذور الخفية" مشروع لتحقيق فقط مهمة بسيطة، ولكن ملاحظة على البرنامج Vbootkit2، ويمكننا أن نضيف وظائف إضافية. طائر الفينيق BIOS يمكن استنساخها من قبل الإنتاجية للمشروع، وهناك العديد من أوجه الشبه بين طائر الفينيق BIOS BIOS وغيرها من البائعين. على الرغم من أنها قد تحتاج إلى إنشاء لكل رمز الشركة المصنعة الفردية، ولكن ليس هناك الكثير من البائعين BIOS مختلفة، لذلك هذا سوف تمتد إلى جميع وظائف الجذور الخفية المشتركة يجب أن تكون الشركة المصنعة ممكن.

في المقدمة، أشرت إلى أن BIOS الجديد ميزات، مثل التوقيع على تحديث BIOS، من الناحية الأمنية، أكثر بكثير من هذه المسألة. ولكن من الجدير بالذكر أن هناك أكثر من جهاز كمبيوتر "الجديد" أكثر "إرث" جهاز الكمبيوتر، لذلك هذا النوع من الهجوم لا يزال يمثل مشكلة لفترة طويلة.

إم وير BIOS شفرة المصدر وتجريبي

رمز المصدر التالية وكدليل على مفهوم بقع BIOS. أنا لا أريد الناس لاستخدامه لأي غرض من الأغراض الخبيثة، وإنما يدل على أن الهجوم على تكوين BIOS السن أمر ممكن تماما. أنا لا أريد الناس بشكلها الحالي سوف تنشر على الانترنت I هذا الرمز هو داخل أي برامج ضارة مفيدة.

كما هو الحال في الجزء السابق، يجب أن يكون رمز قادرة على إصلاح معظم BIOS "فينكس". النصي إصلاح يمكن تحميلها من هنا: BIOS_Based_Rootkit_Patch_Scripts.zip

BIOS شفرة المصدر الجذور الخفية يمكن تحميلها من هنا: biosrootkit.asm

إذا كنت تستخدم التعليمات البرمجية النصية / المصدر أعلاه، تحتاج إلى ترجمة التعليمات البرمجية لNASM PACH في BIOS. وينبغي أن يضاف إلى NASM مسار متغير، أو إذا كان يجب عليك تحديث البرنامج النصي لجعلها ناجحة أعمال الترميم. سوف تحتاج أيضا نسخة من محرر فينكس BIOS، أو ما يعادلها تركيبة لحدة الضغط على BIOS الكامل لتحصل على أدوات مجانية

إذا كنت لا تريد أن تجمع كل شيء، نريد فقط أن تحاول ذلك يمكن تحميل للاستخدام مع برنامج VMware BIOS: BIOS_rootkit_demo.ROM

استخدام اضغط لتتحدث والتعليقات

إذا كنت لا تحب قراءة المادة المذكورة أعلاه، وهنا ملخص لكيفية استخدامها، فضلا عن دورها.

• أولا، تحميل الصور BIOS_rootkit_demo.ROM BIOS من الرابط أعلاه.
• تحتاج إلى تثبيت نسخة من نظام التشغيل ويندوز XP وير وعميل لاختبار. لقد اختبرت ذلك من خلال سلسلة من الإصدارات المختلفة من أحدث نسخة من محطة إم وير VMware لاعب و(مجانا).
• قبل فتح العميل الخاص بك ويندوز إكس بي VM، يرجى تصفح للموقع على جهاز الكمبيوتر الخاص بك لتخزين الجهاز الظاهري وفتح ملف .vmx (أي WindowsXP.vmx أو أي ملف VM الخاص بك) في المفكرة. إضافة هذا الخط في النهاية:

bios440.filename = "BIOS_rootkit_demo.ROM"

• تأكد سوف BIOS_rootkit_demo.ROM نسخ إلى هذا المجلد عند المجلد.
• الآن فتح وبدء VM، ومن ثم سيقوم البرنامج إعادة تسمية pwn.exe (على سبيل المثال CMD.EXE).
• انتظر 30 ثانية، ثم بدء تشغيل إدارة المهام. يجب تشغيل Pwn.exe في شكل المستخدم "النظام" بدلا من المستخدم تسجيل الدخول إلى أي XP.

وهناك قائمة من الخطوات المذكورة أعلاه تعمل في بيئة مثالية. وأظهرت الاختبارات الاحتياطات التالية!

• تعمل عدم استقرار النظام. في بعض الأحيان بداية أو ببساطة إغلاق التطبيقات pwn.exe ل Windows سوف الموت الزرقاء.
• إذا كنت فتحه قبل تصعيد 30 ثانية امتياز، يمكنك استخدام شيء من هذا القبيل whoami للتحقق الأذونات الخاصة بك.
• على الرغم من أنني قد تمكنت من تحميله على جهاز كمبيوتر حقيقي، ولكن إذا قمت بذلك، وأنا لن تكون مسؤولة عن النتائج. إذا كنت في طريقة رهيبة لوضع اندلعت اللوحة الأم، أنا سعيد، على أي حال، لا أستطيع مساعدتك! أنفسهم على مسؤوليتك الخاصة!
• إذا كنت ترغب فقط لمشاهدة هذا الفيديو، وضعت كولن وعلى موقع يوتيوب:
•  

* المصدر: n0where، وأعيد طبعه من MottoIN

  المادة الأصلية، كاتب: جاري، مستنسخة من: HTTP: //www.mottoin.com/article/terminal/101307.html