一不小心捕獲MBR rootkit

一不小心捕獲MBR rootkit

  話說前兩天早上一開機，發現IE自動打開N個網頁(好家夥)，有程式修改regedit，哥一看哈哈有的玩了(寂寞好久啦！！！)。二話沒說，拔網線，插上俺的U盤(BT5的)，解壓哥的Anti-hacker工具箱，然後打開process explorer,(見鬼)沒什麼異常，然後Fireup Process Hacker啟用Kernel Model驅動，啟用所有監控，記錄日志，檢視隐藏程序(使用暴力方式),乖乖看到了---好家夥，看樣子不是簡單的病毒，接着哥用上了終極武器Anti-Rootkit工具集，先試了幾個(什麼都木發現)，在使用gxxx(還是不說是麼子了)，報發現MBR Rootkit類型的行為(截圖都丢了，這是後話)，感染了MBR，Sector55/56。立馬關機---U盤引導(bt5 stealth模式)---，先dd備份MBR及前63個sector;(dd if=/dev/sda of=/xxx/mbr512 bs=512 count=1,dd if=/dev/sda of=/xxx/mbr63sec bs=32256 count=1)拷貝到另一台電腦備份下(想不到這樣還是杯具了)，然後再另一台電腦(一樣的)上對比了下MBR代碼(winhex)确實不一樣(乖乖)，回到中招的那台電腦(隔離了)，插上網線開始驗證，先是用winhex将正确的MBR代碼嘗試覆寫，提示不能寫入(暈啊！這個可是winhex 16.0 sr-5的Specialist license軟體應該沒問題)，看樣子這個rootkit确實起來了，再重新開機，BT5下将正常的MBR dd進去，重新開機進系統，繼續覆寫MBR還是拒絕寫入(我倒)，看來這個和一般的MBR rootkit還不一樣哦，應該是已加載了自己的驅動，讀取sector55/56重新控制系統改寫MBR(猜的)，幹脆将這兩個地方都dd掉算了，唉！！！！！！！！！！！悲劇就這樣發生了！！！！！！！！----------------完