BIOS-based rootkits. Part 1



, !

OTUS 2 (-). , (Ex- Kaspersky Lab.) , -, , , . : « » « ».







, 2011 , . CanSecWest 2009 , Core Security «Persistent BIOS Infection», , BIOS, / . . , . , BIOS - .



BIOS , BIOS , UEFI BIOS. , , , BIOS (). , BIOS, BIOS . (, «Attacking Intel BIOS» ). , , , - , , .



, BIOS, , - . , , , . , , BIOS , - , , !



, , , , BIOS .





, BIOS-. , BIOS- 2009 ( ). , Core Security 2009 , , . BIOS-, .



2009 , . BIOS-, , MBR(master boot record)-. «Bootkit», , BIOS-, . , BIOS, MBR. , BIOS, .



, BIOS. BIOS , , VMware BIOS ROM, GDB , , BIOS. VMware BIOS VMware BIOS — .



VMware BIOS



, , !



— BIOS VMware. Windows , vmware-vmx.exe , , Resource Hacker. , BIOS 6006 ( , VMware 7). , 512 . , Resource Hacker:





BIOS- vmware-vmx.exe, , VMware . VMware «» VMX. - Tools , ! , BIOS:



bios440.filename = "BIOS.ROM"
debugStub.listen.guest32 = "TRUE"
debugStub.hideBreakpoint = "TRUE"
monitor.debugOnStartGuest32 = "TRUE"


BIOS ROM vmware-vmx, . GDB . 8832, . VMware BIOS. , , - BIOS. IDA Pro GDB . VMware, BIOS, :





IDA GDB . , GDB , VMware. 6 6.5, , IDA, VMware 7. BIOS 16- , 32- IDA, «Manual Memory Regions» IDA. 16- , .



— VMware BIOS



, BIOS, . - , . , .



. VMware , , BIOS, . BIOS ROM . BIOS ROM, VMware, Phoenix BIOS. , BIOS, «phxdeco», «Phoenix BIOS Editor», Phoenix. Phoenix BIOS Editor — . , , , , . , , , Google . , - . , , BIOS.



, BIOS VMware, ( VMware). Python, BIOS. BIOS , BIOS . BIOS VMware : VMware , - . IDA GDB, ( IDA ). VMware, . ​​ VMware, . , , , VMware . , BIOS , , , , - .



, , far , BIOS. BIOS , . ( 15 ), . notepad.exe, , /etc/passwd Unix, root . , Windows , Linux, .





, , , , , , BIOS-. : Stoned, Whistler, Vbootkit Vbootkit2. Stoned Whistler , , , . Vbootkit2 , () . CD, - Windows 7. Windows 7, , Windows . , , . , - Windows 7. Vbootkit2 Windows 7, , . Vbootkit2 ( ), . , Windows 7 . Vbootkit; Windows 2003, XP 2000. , -, . , . BIOS-, . NVLabs , , , ! , -, Archive.org .



BIOS . !





: «-. », «-»







All Articles