부트킷

부트킷이란?

- 시스템에 설치된 OS로 제어권이 넘어오기전에 MBR코드를 감염시켜 OS의 부트제어 코드를 패치시키도록 하는 악성코드

MBR(Master Boot Record)를 조작하는 악성코드

MBR이란?

- 하드디스크의 맨 앞에 기록되어있는 512바이트의 시스템 기동용 영역이다.

하드 - MBR - 부트섹터 - Ntlddr(NTFS.sys,Ntoskrnl.exe) - OS -  App

부트킷의 종류

스미트닛 부트킷(Smitnyl Bootkit)

- 부트섹터를 감염시킴으로써 백신이 진단,치료를 어렵게만듬

파괴형 부트킷(Destroyer Bootkit)

-MBR을 아무의미없는 문자열로 채워 부팅을 불가능하게만든다.

스미트닛 부트킷분석

-ZwConnectPort()푸킹, 메모리를 할당해 DLL이미지를 로드하기위해 AddPrintProvider() 함수를 이용해 Sppolve.exe에 인젝션시킴.

파괴형 부트킷 분석

-mbr에 아무 의미없는 문자열을 뒤덮은후에 shutdown명령으로 재부팅을유도