微点交流论坛

标题: 【killvxk】惊现Bios Downloader (图) [打印本页]

作者: 点饭的百度空间 时间: 2008-4-30 22:44 标题: 【killvxk】惊现Bios Downloader (图)

给一个朋友修机器不论重装多少次，硬盘都换了，还是会被装上盗号木马，系统里总有一个诡异的DL*(数字).sys驱动，该驱动插APC到explorer.exe下载一个EXE文件并执行...

安装盘换了5张都还有...

最后无奈分析了下那个EXE，EXE没干啥，就是下载几个木马，然后起一个驱动，然后用SMI读BIOS出来，检查
BIOS里是否有一个特殊的模块(ISA)，如果没有就释放资源中的一个bin,然后合入bios的dump中，然后写回bios...
看得惊心~

妈的现在不穿还原了，开始搞bios了~~

ps:
此物品下载列表里有JAV和msdos机器狗

作者killvxk (过卡巴7主动防御的内核级byshell木马就是他参与合作开发的玩意)

【killvxk】只要在硬件控制范围内的计算机都会被搞 Doppelganer Project的一些简单介绍
http://bbs.micropoint.com.cn/showthread.asp?tid=36958&fpage=1

[ Last edited by 点饭的百度空间 on 2008-9-9 at 08:58 ]

作者: 点饭的百度空间 时间: 2008-4-30 22:55
reflashbios 这样的病毒流行起来很可怕和CIH病毒一样

作者: lotei 时间: 2008-4-30 22:56
早前就看到过BIOS事实是穿还原的另一路径，并且有人公布了部分代码！没想到很快就有人写出来了！好想弄个样本瞧瞧！

作者: lotei 时间: 2008-4-30 23:01
其实也不要太担心，bios自己规范的接口，可能不同的硬件不完全相同，比较影响传播，另外禁止对BIOS闪存重新刷新可以比较有效的压制此类病毒。

作者: gudan 时间: 2008-5-1 08:07
原来是大牛vxk，dump映射很牛很暴力

作者: simonfour 时间: 2008-5-1 08:55
只能说太强悍了！！！！！！！！

作者: 100000 时间: 2008-5-1 09:02
越来越牛，看来中国的安软可以走向世界了

作者: 囚中城 时间: 2008-5-1 09:23
永远打不完的战争

作者: qihui 时间: 2008-5-5 09:48
希望微点能够防住

作者: keyoushi 时间: 2008-5-8 18:41
禁写bios会怎样？

作者: 点饭的百度空间 时间: 2008-7-8 10:09

Quote:

Originally posted by keyoushi at 2008-5-8 18:41:
禁写bios会怎样？

现在都不允许win下写bios

作者: 471795251 时间: 2008-7-8 13:59
我靠……
CIH是可以使用影子防住的！！
这个……
郁闷死我了……
看来我以后不敢上网了……

作者: aeno 时间: 2008-11-19 01:16
过个KAV算什么
还SMI
一看就知道是AWARD的
AMI和PHOENIX都不支持SMI了
是killvxk在意淫吧
呵呵
现在还没有能用的BIOS rootkit呢

作者: yurong7777777 时间: 2008-11-19 08:19
很可怕的

作者: 点饭的百度空间 时间: 2008-11-19 09:52 标题: 黑客来了

Quote:

Originally posted by aeno at 2008-11-19 01:16:
#13
过个KAV算什么
还SMI
一看就知道是AWARD的
AMI和PHOENIX都不支持SMI了
是killvxk在意淫吧
呵呵
现在还没有能用的BIOS rootkit呢

“微软SLP 2.0认证机制缺陷分析及突破验证演示Phoenix部分2.10.pdf”

2007年1月30日，Vista零售版正式发布。就在Vista发布的一周之后，两位华人工程师aeno与BinBin对外正式公布，他们已经通过修改主板BIOS，使得系统获得与品牌电脑OEM正版授权完全一样的免激活效果，Vista再度告破！

作为首位成功进行突破验证的工程师以及SLP2.0技术弱点的发现者，Binbin这样说到：“技术是没有正邪之分的，关键看使用的人出于什么目的使用该技术。我们分析SLP 2.0技术的弱点及公开突破验证演示，完全处于技术研讨的目的。我们认为突破试验验证的演示仅使用于实验室环境。我本人和合作人aeno都在使用预装 Windows Vista的品牌机，从而有机会研究这项技术。Windows Vista是一个优秀的操作系统，我也是热爱微软产品的技术人员。”

2007年1月30日Vista发布后，已成为全球黑客密切关注的对象

　　就在破解消息从论坛中散播出之后，在短短的一个月之内，网络上关于利用修改BIOS而破解Vista系统的资料早已铺天盖地，当然也有很多网友在论坛上发帖炫耀着他们所谓的战绩。微软产品激活部门负责人Allen Nieman坦诚，“任何产品保护技术都会最终被破，这只是时间问题”。是谁胆敢在微软视窗下破“窗”而入?满身“防盗网”的Vista为何再遭破解?为了让破解真相尽快浮出水面，以及证实所存在漏洞的消息的真实性，我们展开了为期半个月的调查与深入思考。

　　● 一个微软所“承认”的盗版Vista诞生

　　自从微软在Windows XP中开始引入产品激活保护之后，各国技术人员便开始以攻克微软的激活保护为荣。微软新一代的桌面操作系统Windows Vista面世之后，各种破解激活保护的方法更是层出不穷。先是用于批量激活的非法KMS 服务器遍布网络，然后是俄罗斯方式的时间停止法等等。

　　利用修改BIOS的方法激活后的盗版，之所以说这是微软所承认的盗版Vista，原因在于成功激活后的盗版的系统也一样可以在微软的官方网站上通过正版认证。这是微软官方网站上所承认的“正版”。

利用BIOS破解操作系统已经不是第一次。早在2005年的WindowsXP时代，网络上便一再流传通过Aawrd DMI Configuration Utility工具，在BIOS中加入OEM厂商信息，可免费激活OEM版本的Windows XP系统。转入2007年，修改BIOS的方法，OEM版本VISTA认证信息被成功伪造在非原生支持SLIC段的BIOS里，再次使得大打安全牌的 Vista系统陷入尴尬的境况。一位已经修改成功的网友向泡泡网透露：“前提是要改好BIOS。有MSDN版本Vista，使用ASUS CD KEY安装后导入证书就能免激活，而且还可以得到微软的认证。”
　　
本文来源【学网】网站链接是http://www.xue5.com/itedu/200704/17360.html

作者: 顶 时间: 2009-2-24 17:28
有些软件是可以直接刷bios的，至少我的华硕板就可以用华硕的软件在win下直接刷bios

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn