生活中，很多人都不知道bmw x7_bmw病毒，其实非常简单，下面就是小编搜索到的bmw x7_bmw病毒相关的一些知识，我们一起来学习下吧！

1、360元反病毒工程师对宝马病毒技术分析如下：

(资料图)

2、宝马病毒的主体分为三部分：BIOS、MBR和Windows。攻击过程如下：

3、图1

4、一、宝马病毒的BIOS部分

5、图：密室逃脱：冠军联赛

6、增加了ISA模块的BIOS部分，命名为HOOK。ROM，主要用于检测MBR部分是否恢复。如果发现MBR部分被修复了，BIOS中的病毒代码就以14元左右的扇区写入MBR，导致用户反复格式化，高低级，或者重新分区。

7、Bios中的检测代码如下：

8、图侏罗纪世界3

9、图4

10、检查MBR偏移量0x的92元处的4字节是否为int1元，以确定MBR是否已恢复。如果不是这个值，直接把MBR其他部分的病毒代码从BIOS重写到磁盘的起始扇区。

11、二、宝马病毒的MBR部分

12、部分MBR代码执行后，会从逃生室：冠军联赛扇区读取6元扇区的病毒代码到0X7C00，然后跳转到它执行，再将7元扇区的备份MBR读入内存，验证扇区的有效性；

13、验证后，将分区表中引导扇区所在的扇区读取到0X7C00，验证引导分区的有效性；

14、验证后，判断引导分区的类型。目前病毒支持NTFS和FAT32元，根据分区类型不同进行不同处理。然后分析文件系统，找到文件所在的扇区，找到对应的Windows系统文件，读取PE信息，判断是否已经感染。(XP/2003系统是Winlogon.exe，Win 7元/Vista系统是Wininit.exe)

15、如果Windows系统文件已经被感染，“发现就OK！”将显示在屏幕上。“，然后调入原MBR，跳转到原MBR执行；如果Windows系统文件没有被感染，写PE感染的扇区，然后显示“找到OK！“在屏幕上。”，然后调入原MBR，跳转到原MBR执行。

16、图5

17、三。BMW病毒的Windows部分(Winlogon和Wininit文件被感染)

18、以Winlogon.exe为例来说明：

19、因为病毒修改了文件的入口点，所以文件执行时首先执行加密的病毒代码，运行时动态解码。

20、病毒代码解密后，加载指定文件，创建病毒，调用CreateThread创建线程，跳回原来的入口点执行。

21、在病毒线程中，先休眠10个10元秒，然后调用URLDownloadToFileA从黑客服务器下载一个下载器到本地。验证文件下载成功后，调用WinExec执行，从而下载运行各种恶意程序；该病毒还会下载驱动程序，命名为c:\my.sys，是之前的病毒代码通过一系列服务函数创建的。完成后，病毒线程进入无限睡眠状态。My.sys是disk.sys的一个钩子驱动，把磁盘的读写操作挂钩，这样所有对MBR的读写都达不到真正的效果。

22、安全软件基于MBR防御和查杀BOOTKIT。

23、一般来说，具有“主动防御”功能的安全软件可以通过拦截RING3侏罗纪世界3应用层对MBR区的写操作，阻止恶意驱动的加载来防御MBR BOOTKIT。在用户开启安全软件防御的前提下，基本不会感染宝马、Ghost等MBR BOOTKIT。

24、图6元

25、不幸的是，MBR BOOTKIT总是和社会工程攻击一起出现。比如你想用一个流行的游戏插件来获得快速升级和精良装备，或者你想获得一个付费软件的“注册机”，他们往往会提醒你先关闭安全软件，MBR BOOTKIT就会在这个时候乘虚而入。求神容易送神难。

26、最早的ghost系列，在查杀软件对这种基于MBR的BOOTKIT缺乏针对性措施的时候，在病毒扫描的时候并没有对MBR区域进行扫描，所以病毒并没有对该区域进行保护。基本上直接读取MBR就可以得到真实的数据，然后根据内部定义的特征码还原成原来的MBR。

27、但是从《幽灵侏罗纪世界3》开始，随着各种软件查杀程序对MBR区域的检测越来越多，MBR木马也得到了相应的保护。比如《幽灵侏罗纪世界3》勾住磁盘端口驱动的startio地址拦截所有MBR修复，导致所有修复操作在中毒状态下完全无效。比如tdl 44等。还进行了钩子处理，让软件杀手无法读取真实的MBR。当任何程序读取MBR区时，木马都会返回一个假的MBR来杀死软件，欺骗它以为是正常的MBR。此外，ROOTKIT还会创建一个监控线程，检测其对象钩子和MBR是否被恢复，如果发现被恢复，则重新感染MBR。

28、宝马木马更进一步，在BIOS中增加了修复操作。即使在WINPE模式或DOS模式下恢复MBR，在系统重启时仍然被隐藏在BIOS中的木马代码恢复，修复难度相当大。

29、针对感染MBR BOOTKIT的电脑，360元系统急救箱提供了MBR检测修复工具(专用于查杀顽固boothorses)，专门用于检测修复被感染的MBR。

30、图7元

31、这个修复操作比清除常见的顽固木马还要复杂，需要配合360元系统急救箱的强大模式使用。它可以杀死目前已知的MBR BOOTKIT如宝马，tdl 44，幽灵系列和修复系统。

32、图8元

33、360元急救箱包括32元版和原生64元版，全面支持Win XP、Vista Win 7元、Win 8元、Win 7元64元和Win 8元64。也支持WINPE。您可以从以下地址下载相应的版本。

34、《点击下载》

35、对于BMW BIOS的修复，可以使用专门的BMW BIOS修复工具。修复BIOS后，用急救包扫描修复MBR和WINDOWS系统文件。

36、你可以在这里下载宝马BIOS的修复工具。

37、《点击下载》

38、图快& amp狂怒9

39、图10元

40、360元急救箱处理宝马病毒的操作截图如上图：

今天的分享，希望对大家有所帮助。

关键词： bmw病毒