自启动在木马中起着很大的作用,如果实现了自启动,不仅可以每次自动运行代码,如果启动时机很早,还可以拥有root权限并干掉其他安全软件。
劫持系统NativeC级应用程序,例如.so等,上面提到的Android BootKit就是通过这种方式实现自启动,在系统没有完全启动完成的时候,BootKit就已经获得了CPU,由于是劫持系统.so等,所以运行时已经拥有root权限,此时执行二进制完成恶意功能。
另外可以大胆妄想另外一种更加厉害的BootKit,其实手机也有Bootloader,对应于普通PC的Bios,现在少数几款手机的Bootloader已经被破解,例如HTC HD2,它最初运行Windows Mobile系统,在破解Bootloader后,可以引导启动Android,WP7,WM,megoo,甚至linux。如果将自启动代码感染bootloader,那么就可以在Android启动之前运行恶意代码,提前进一步感染Android本身,最终化身rootkit运行在Kernel层。另一个更好的理由是,即使用户刷机,也不会将恶意代码抹去,除非用户冲刷bootloader,恶意代码永远存在。在普通PC已经使用类似技术实现了BootKit,例如感染BIOS等任何可以在操作系统加载前执行的代码。

分类: java/android技术

发表评论

电子邮件地址不会被公开。