初窥卡巴斯基ARK读取MBR

*本文原创作者：wrmsr，本文属FreeBuf原创奖励计划，未经许可禁止转载

背景

LONG LONG LONG AGO就发现通过Hook磁盘端口驱动程序中的IRP_MJ_SCSI派遣函数方式过不了KB了，最近又遇到这个问题就想借此机会分析一下，看看万能的KB是如何绕过Hook读取MBR的。

作为一款商用软件的KB，出于兼容性、稳定性等原因应该不会使用太特殊的方法，初步猜想会通过重载磁盘端口驱动，自建I/O通道来绕过我们读取MBR，至此我们就有了研究方向，下面来开始我们的研究。

为了验证猜想，我搭建了双机调试环境，编写了两个Windbg脚本，编译了FakeMBR驱动程序。至于双机调试环境的搭建和Windbg脚本语法在这里就不说了，具体内容可以在网上找到资料，FakeMbr的编译和一般的驱动程序编译过程无异，在这里也不说了。对了FakeMbr的代码可以在Github找到，具体链接在文章的末尾。

如果有些朋友对文章中说的相关内容不太了解，可以参考文章末尾给出的参考链接，学习相关内容。

环境

虚拟机 ：VMware Workstation 12

操作系统：Microsoft Windows 7 Ultimate 6.1.7600 Build 7600 X86

调试工具：Windbg 10.0.10586.567 X86

杀毒软件：卡巴斯基全方位安全软件 18.0.0.405(h)

脚本

HelloKB.txt

HelloKBC.txt

分析

首先，如果能在内存中找到重载的磁盘端口驱动程序镜像，猜想就算成功了一大半，如果找不到猜想也就算失败了，所以这一步很重要。可惜的是，这一步我一直没有太好的方法，只能用愚蠢的方法去暴力搜索物理内存。结果还被我给搜索到了，⊙﹏⊙‖∣，下面是我的具体操作过程。

其次，我们已经在内存中找到了重载的磁盘端口驱动程序镜像，接下来就要继续验证我们的猜想，去确认该程序镜像是由KB加载并调用的，这里就用到了我之前编写的两个Windbg脚本，让系统在读取MBR的时候断下来，通过查看调用堆栈以及读取到的MBR内容来验证我们的猜想。具体过程如下。

最后，通过上面的分析，我们已经验证了我们的猜想，现在让我们来进一步确认我们的猜想，接下来我们要通过手工修改内存中的MBR内容，看看KB是否可以检测到病毒。十分抱歉这里我偷懒了，没有完善我的脚本。

结语

至此我们的分析工作就已经告一段落了，KB会先通过普通方式读取MBR，如果检测结果为病毒的话就不会使用高级方式继续检测MBR了。如果检测结果为非病毒的话就会使用高级方式就检测MBR，就是我们上面分析的方式。

由于时间的关系我没有对KB进行更详细的分析，感兴趣的朋友可以继续完善脚本，直接修改KB读取到的MBR内容，看看KB是否还能检测到病毒。也可以根据回溯调用堆栈，具体分析一下KB的逻辑。

资料

https://www.malwaretech.com/2015/01/using-kernel-rootkits-to-concea.html

https://www.malwaretech.com/2015/02/bootkit-disk-forensics-part-1.html

https://www.malwaretech.com/2015/03/bootkit-disk-forensics-part-2.html

https://www.malwaretech.com/2015/03/bootkit-disk-forensics-part-3.html

https://github.com/MalwareTech/FakeMBR

https://www.seagate.com/staticfiles/support/disc/manuals/scsi/100293068a.pdf

*本文原创作者：wrmsr，本文属FreeBuf原创奖励计划，未经许可禁止转载