前两天玩了一下mbr

最新推荐文章于 2022-11-08 20:49:50 发布
最新推荐文章于 2022-11-08 20:49:50 发布
阅读量1.4k 收藏
点赞数
分类专栏: log 文章标签: hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7725812
版权

还挺有意思……


hook int 13 , hook BlOsLoader,call hook IoInitSystem - > load fake pcidump.sys

dr0 hook AtapiDeviceInternalDispatch,隐藏驱动,伪造系统线程

XT看不到什么东西,PowerTool可以检测到调试函数被钩,强力检测可以检测到mbr被感染。不想和PT去对抗了……体力活

http://115.com/file/dpudryrp#mbrInfected.zip

Shevacoming
关注
专栏目录
MBR与GPT的区别(来自zyx)
qq_34028001的博客
06-20 3035
前言 想要了解MBR和GPT就说明已经知道了其目的是要将磁盘分区,那什么是磁盘分区?为什么要磁盘分区?怎么进行磁盘分区?而MBR和GPT又是什么?两者又有什么区别?BIOS与UEFI又是什么? 以下的内容将围绕其展开。
windows 内核原理与实现读书笔记之驱动程序初始化
maomao171314的专栏
11-06 964
I/O系统的初始化是在内核的阶段1初始化过程中完成的。主要函数是Phase1InitializationDiscard,它调用IoInitSystem 来初始化I/O系统。 IoInitSystem 初始化工作: 调用IopCreateObjectTypes ,创建7种类型对象:Adapter、DeviceHandler、Controller、Device、Driver、IoCompletion、File,并存放在相应的全局变量中。 WRK中的全局类型对象变量,如下表: CmpKeyObjec
[Windows内核源码分析4] 引导过程(Phase1部分分析)
輚至消亡
10-10 861
后查看当前处理器的线程链表中是否有需要运行的线程,如果没有就让当前处理器运行Idle线程。接着就返回准备执行阶段1的初始化工作线程。后首先调用HalAllProcessorsStarted通过HAL硬件抽象层所有处理器已经初始化完,接着就对对象管理器, 执行体管理器, 调试器管理器, 安全管理器的阶段1的初始化以及调用。下面来继续分析,首先来看看现在的调用栈, 当我们从Phase0的初始化返回时的调用栈如下。由于阶段1的初始化内容比较多,这里仅做对整体的流程分析,其中的细节之后会写文章继续分析。
reactos操作系统实现(71)
anjichan4261的博客
08-26 92
I/O管理器是管理着整个计算机的输入和输出的操作,因此它是一个基本的组成部份。I/O管理器的初始化调用是在文件reactos/ntoskrnl/ex/init.c里,它主要调用I/O管理器的函数IoInitSystem()来实现,这个函数在文件reactos/ntoskrnl/io/iomgr/iomgr.c里。这个函数的实现代码如下: #001 BOOLEAN #002 I...
文件系统驱动编程基础篇之5——注册表与Inf (转)
tempname866的专栏
06-01 1993
注册表以树形方式存储配置信息,树节点称为键(key),键可以包含子键(subkey)和称为值(value)的数据项。 一)需要关注的几种键(注:硬件键、类键、设备接口类应是所列位置下的子键): 二)第3点中的服务键的写法与其他键有所不同,它以\REGISTRY打头,这是内核模式下根键的规定写法。 User-mode Handle Co
Windows——关于service
最新发布
qq_44745063的博客
11-08 995
Windows service相关内容
曝气强度对MBR活性污泥性质和膜污染的影响
02-05
曝气强度为0.6立方米每小时的MBR-B在运行前20天膜污染较MBR-A(曝气强度为0.2立方米每小时)严重,而在20天后,MBR-A的膜污染速率开始高于MBR-B。 活性污泥的性质,尤其是活性污泥粘度和结合态胞外聚合物(EPS)的...
MBR膜生物反应器.pdf
10-30
由于膜组件能够截留活性污泥和大分子有机物,MBR系统内的污泥浓度可以达到8000~10000mg/L,污泥龄可延长至30天以上,这对于慢生长的微生物如硝化菌的繁殖非常有利,有助于提高系统的硝化能力和深度除磷脱氮效果。...
Linux硬盘GPT分区和MBR分区.docx
09-26
最近几天,笔者又一次掉入坑中,折腾了两天才从坑中爬出来。经过多方查询资料,终于弄明白了硬盘分区的一些概念。下面将其记录下来,以警示来者。 硬盘分区可以分为两种:MBR 分区和 GPT 分区。MBR 分区是传统的 ...
MBR计算书.pdf
12-24
4. **MBR膜计算**:考虑了天津膜天和浙江捷滤两个供应商的膜产品,根据膜面积、过水通量、气水比等参数计算膜池大小和膜帘数量。 在MBR膜计算中: - 对于天津膜天的产品,每帘实际产水量约为3m³/d,气水比取18:1,...
关于文件系统设备堆栈的说明
峥嵘岁月
02-04 7850
若干关于 file system driver stack写这个文章的初衷是想知道究竟一个读写文件的irp都是怎样被处理的..... 大家都知道这样的一个读写文件irp是发送给file system的driver的file system把这个irp交给了下层的device 这个device叫logical volume device,它由device的vbp里面的realdevice指
Sinowal Bootkit 分析-中国红客网络技术联盟 - Powered by Discuz!
weixin_30679823的博客
07-07 137
訪问原文 (一)模块组成 感染过Sinowal的电脑,Sinaowal在硬盘中的分布例如以下图: ; Sector Offset Size Name ; -------------------------------------------...
《Windows内核原理与实现笔记》(三)Windows引导过程
kernweak的博客
12-26 892
内核加载 在Intel x86系统上,Windows操作系统获得控制首先从硬盘的主引导记录(MBR,MasterBoot Record)开始,Windows Setup程序在安装Windows时填充MBR(其他的磁盘管理程序也可能填充MBR)。MBR包含代码和数据,其代码称为引导代码,在系统引导时首先获得控制;MBR中的数据是一张分区表,指定了每个分区在磁盘上的位置和大小,以及分区的类型。当...
系统初始化函数SystemInit讲解
热门推荐
BraveWangDev
08-24 1万+
要求前置技能: 需了解系统时钟源相关知识:STM32时钟系统  本文以HSE外接8MHz晶振,PLL倍频9倍得到72MHz的系统时钟为讲解背景一,系统初始化函数SystemInit: 文件路径:USER->system_stm32f10x.c->头文件system_stm32f10x.h中SystemInit(void) 在system_stm32f10x.c文件中找到SystemInit(voi
设置驱动程序开机启动
ALCAT的专栏
12-21 1万+
开发驱动程序时,每次都用INF文件安装再加载实在是很麻烦,就写个程序来实现。 但是在实现驱动程序开机启动时却遇到了问题。 函数原型如下: CreateService Function Creates a service object and adds it to the specified service control manager database. SC_
分享一个之前写的mbr的分析过程
被遗弃的庸才博客
12-08 498
一、概述(前言) 修改MBR,挂钩13号中断,继续挂钩BlLoaderBlock结构得到内核基址,完成对IoInitSystem挂钩执行样本的驱动文件,为防止MBR被修复又挂钩了磁盘的IRP读写。 流程图 图一 二、技术细节详细分析 脱壳 首先查壳,显示为ASPack(2.12-2.42),方法就是直接esp定律。od会帮你断,之后一个大跳到达oep,脱壳结束,如下图二所示。 图二 脱壳之后的样本 脱壳结束之后看看样本做了些什么事情,f5之后可以发现一个被标红的地址(0x7FFE0
全球互联网最强木马:Sinowal被曝光
weixin_34111790的博客
10-08 172
  近日,美国RSA FraudAction研究实验室发布报告表示,根据对Sinowal木马(也称为Torpig和Mebroot)进行的跟踪和研究,结果表明,这可能是黑客组织创建的最普遍和最先进的犯罪软件。   事实上,追溯到2006年2月,Sinowal木马已经破坏并窃取了大约30万个网上银行账户的登录凭证,以及相同数量的信用卡和借记卡。其他如电子邮件和众多网站的FTP账户等信息,也受到了损害...
拿到offer后又拒签了
u010978990的专栏
10-16 5009
昨天晚上上海微创在1
网络技术论坛
weixin_34077371的博客
06-16 136
我找了一些网络技术的论坛网址,想和大家分享! 转载于:https://blog.51cto.com/ciscolj/82306
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值