ブートコードの解析はBochsを使え
ブレークポイントを設定する さて、ブートコードは0x7c00番地に読み込まれてから実行されるのであった。そこでブレークポイントをブートコードの開始番地である0x7c00に設定する。 Next at t=0 (0) [0x000ffff0] f000:fff0 (unk. ctxt): jmp f000:e05b ; ea5be000f0 <bochs:1> lb 0x7c00 そしてブレークポイントまで実行を進める。 <bochs:2> c こうすることでブートプロセスにおけるBIOSコードの実行を一気に済まして、0x7c00番地に読み込まれたブートコードの入口で止まることができる。このときのbochsコンソールは以下のようになっている。 (0) Breakpoint 1, 0x7c00 in ?? () Next at t=485348 (0) [0x00007c00] 0000:7c0
ブートストラップローダの詳細
2001/07/29 概要 [マスターブートレコードの構造] マスターブートレコード(MBR)の中でも、その前方446バイトのプログラム領域は、その位置付けを明確にするのが難しい部分だ。現在ではこの領域は、いろいろなOSが自分のブートコードを自由に書くフリーな領域の如く扱われている。 現在は、LinuxのLILO、FreeBSDのboot0、Solarisのブートコードなど、各OSが比較的自由に使っているが、本来PC/AT互換機の一般仕様としては、ここにはIBMとMicrosoftで作成したブートストラップローダというプログラムが書かれることになっている。元来このプログラムはDOSの起動のために作らており、パーティションテーブルなども、このプログラムの仕様の一部として設計されている。 従って、PC/AT互換機に別のアークテクチャからOSが移植されたり、新たに設計されたりするにあた
Endpoint Protection - Symantec Enterprise
しばらく前に、シマンテックは W32.Xpaj.B ウイルスの新しい亜種を確認し、その新機能に関する初期段階の詳細と、感染第 1 号の爆発的感染の状況について以前のブログで報告しました。その後さらに解析を進めましたが、結論として爆発的な感染はなく、少なくとも当面の間は W32.Xpaj.B の再来もないと考えるに至っています。 解析から明らかになったのは、以下の点です。 第 1 号に感染したサンプルは、他のサンプルに感染する機能を持っていない。 64 ビットカーネルモードのペイロードは、標的とするプロセスに DLL(ダイナミックリンクライブラリ)をインジェクトするが、その DLL は空である。 感染したサンプルは第 1 号からウイルス本体のコピーを引き継いでおらず、それよりはるかに小さいウイルスによって感染している。 こうしたすべての事実から、この感染第 1 号は単なるテストサンプルであっ
Defeating x64: Modern Trends of Kernel-Mode Rootkits
Versions of Microsoft Windows 64 bits were considered resistant against kernel mode rootkits because integrity checks performed by the system code. However, today there are examples of malware that use methods to bypass the security mechanisms Implemented. This presentation focuses on issues x64 acquitectura security, specifically in the signature policies kernel mode code and the techniques used
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Identity and Access Security | BeyondTrust
BIOS Data Area - BIOS Central
About – peterkleissner.com
pastebin - China Bootkit Source - post number 1886370
Windows 7, 8 or 10 Master Boot Record (MBR)
Loading...
MBR Parser
Develop your master boot record and debug it with IDA Pro and the Bochs debugger plugin – Hex Rays)
literateprograms.org
자동등록방지를 위해 보안절차를 거치고 있습니다.
Debug TDL4 bootkit part via IDA + Bochs
http://www.takedowncon.com/Portals/3/documents/presentation_slides/Your-Master-Boot-Record-Held-Hostage-Nicolas-Brulez.pdf
Bootkit threats: in-depth reverse engineering & defense
[PDF] Sinowal: the evolution of MBR Rootkit continues
TDL4 rebooted
セキュリティ通信|セキュリティ関連ニュース サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況
