2013年末，第一款安卓平臺Bootkit，Oldboot的出現，給安全廠商帶來了不少挑戰。在本屆SyScan360國際前瞻信息安全會議上，來自360公司陳章琪和申迪為大家帶來Andriod平臺Bootkit高級攻擊技術。據申迪介紹，惡意文件全部存儲于ramdisk當中，它需要root權限，無法借助文件系統直接刪除。第二，挑戰感染init.rc優先起動，它早于殺毒軟件啟動。第三，它注入system_server，沒有APK程序。因為Oldboot沒有做過任何的自我隱藏，它很好檢測，但難以清除。

[[116387]]

360公司申迪

[[116388]]

360公司陳章琪

可以預見，Android平臺惡意程序采用更早啟動、更強的自我保護技術將成為一種趨勢。對此，申迪認為安卓平臺木馬將有以下一系列變化：

◆模塊不再僅僅局限于Apk格式

◆反逆向工程

◆利用手機預裝或者內核漏洞獲取root權限

◆試圖更早啟動

◆更強的自我保護機制

◆更為隱蔽

面對如此嚴峻的形式，他表示：“我們希望做出比Oldboot更進一步的東西，一個是我們希望動態感染Boot分區，無需預裝到rom中。利用LKM系統加載內核模塊，這是linux系統提供的加載模塊的內容。在內核當中完成自己的隱藏和保護。”

此外，陳章琪還介紹一套強兼容性的內核模塊加載技術，開發內核模塊并非易事，拿不到設備源代碼、內核對模塊的檢查以及內核版本差別都讓開發內核模塊十分困難。然而，采用繞過內核檢查等手段，并通過隱藏bootkit蹤跡、驅動模塊以及被感染的部分可以讓編譯出來的內核模塊正常運行。

最后，申迪通過視頻展示了內核模塊加載的視頻，引起了與會者的極大興趣，并就bootkit攻擊技術、防御隱藏技術等問題和與會者進行了討論。

[[116389]]

視頻演示截圖1

視頻演示截圖2