前两天玩了一下mbr

最新推荐文章于 2022-11-08 20:49:50 发布
最新推荐文章于 2022-11-08 20:49:50 发布
阅读量1.4k 收藏
点赞数
分类专栏: log 文章标签: hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7725812
版权

还挺有意思……


hook int 13 , hook BlOsLoader,call hook IoInitSystem - > load fake pcidump.sys

dr0 hook AtapiDeviceInternalDispatch,隐藏驱动,伪造系统线程

XT看不到什么东西,PowerTool可以检测到调试函数被钩,强力检测可以检测到mbr被感染。不想和PT去对抗了……体力活

http://115.com/file/dpudryrp#mbrInfected.zip

Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windows 内核原理与实现读书笔记之驱动程序初始化
maomao171314的专栏
11-06 899
I/O系统的初始化是在内核的阶段1初始化过程中完成的。主要函数是Phase1InitializationDiscard,它调用IoInitSystem 来初始化I/O系统。 IoInitSystem 初始化工作: 调用IopCreateObjectTypes ,创建7种类型对象:Adapter、DeviceHandler、Controller、Device、Driver、IoCompletion、File,并存放在相应的全局变量中。 WRK中的全局类型对象变量,如下表: CmpKeyObjec
[Windows内核源码分析4] 引导过程(Phase1部分分析)
輚至消亡
10-10 842
后查看当处理器的线程链表中是否有需要运行的线程,如果没有就让当处理器运行Idle线程。接着就返回准备执行阶段1的初始化工作线程。后首先调用HalAllProcessorsStarted通过HAL硬件抽象层所有处理器已经初始化完,接着就对对象管理器, 执行体管理器, 调试器管理器, 安全管理器的阶段1的初始化以及调用。下面来继续分析,首先来看看现在的调用栈, 当我们从Phase0的初始化返回时的调用栈如下。由于阶段1的初始化内容比较多,这里仅做对整体的流程分析,其中的细节之后会写文章继续分析。
reactos操作系统实现(71)
anjichan4261的博客
08-26 80
I/O管理器是管理着整个计算机的输入和输出的操作,因此它是一个基本的组成部份。I/O管理器的初始化调用是在文件reactos/ntoskrnl/ex/init.c里,它主要调用I/O管理器的函数IoInitSystem()来实现,这个函数在文件reactos/ntoskrnl/io/iomgr/iomgr.c里。这个函数的实现代码如下: #001 BOOLEAN #002 I...
文件系统驱动编程基础篇之5——注册表与Inf (转)
tempname866的专栏
06-01 1954
注册表以树形方式存储配置信息,树节点称为键(key),键可以包含子键(subkey)和称为值(value)的数据项。 一)需要关注的几种键(注:硬件键、类键、设备接口类应是所列位置下的子键): 二)第3点中的服务键的写法与其他键有所不同,它以\REGISTRY打头,这是内核模式下根键的规定写法。 User-mode Handle Co
Windows——关于service
qq_44745063的博客
11-08 763
Windows service相关内容
Linux硬盘GPT分区和MBR分区.docx
09-26
最近几天,笔者又一次掉入坑中,折腾了两天才从坑中爬出来。经过多方查询资料,终于弄明白了硬盘分区的一些概念。下面将其记录下来,以警示来者。 硬盘分区可以分为两种:MBR 分区和 GPT 分区。MBR 分区是传统的 ...
刚Windows xp读出来的MBR代码详细分析
07-15
花了两天时间,查了上百篇资料,终于彻底地完成了从我电脑里读出来的MBR的代码注释,接下来准备分析DBR代码。
2000吨垃圾渗滤液两级DTRO方案及对策解析.doc
10-03
总结,2000吨垃圾渗滤液两级DTRO方案旨在通过高效的DTRO技术,实现垃圾渗滤液的达标排放或资源化利用,同时考虑系统的经济性和可持续性。该方案的实施需要结合实际工程条件,不断优化和完善,以确保环境和经济效益的...
解决预装win8系统重装win7后无法进入系统
01-10
这两天同学重装系统时候问到我这个问题。由于我以遇到过 就给他说了一下。今天贴出来,供大家参考 我们买的电脑通常都是预装的win8系统,磁盘为GPT格式的,如果我们要重装win7系统,就需要把GPT格式改为mbr格式,...
污水处理监控管理平台解决方案.docx
05-30
- **现状分析**:工业园区污水处理设施主要采用膜生物反应器(MBR)和人工生态湿地两种工艺,其中MBR工艺为主。目约有170座污水处理设施需要纳入远程监控管理,一期项目将重点接入MBR模式的设施。 - **运维管理...
关于文件系统设备堆栈的说明
峥嵘岁月
02-04 7797
若干关于 file system driver stack写这个文章的初衷是想知道究竟一个读写文件的irp都是怎样被处理的..... 大家都知道这样的一个读写文件irp是发送给file system的driver的file system把这个irp交给了下层的device 这个device叫logical volume device,它由device的vbp里面的realdevice指
Sinowal Bootkit 分析-中国红客网络技术联盟 - Powered by Discuz!
weixin_30679823的博客
07-07 126
訪问原文 (一)模块组成 感染过Sinowal的电脑,Sinaowal在硬盘中的分布例如以下图: ; Sector Offset Size Name ; -------------------------------------------...
《Windows内核原理与实现笔记》(三)Windows引导过程
kernweak的博客
12-26 830
内核加载 在Intel x86系统上,Windows操作系统获得控制首先从硬盘的主引导记录(MBR,MasterBoot Record)开始,Windows Setup程序在安装Windows时填充MBR(其他的磁盘管理程序也可能填充MBR)。MBR包含代码和数据,其代码称为引导代码,在系统引导时首先获得控制;MBR中的数据是一张分区表,指定了每个分区在磁盘上的位置和大小,以及分区的类型。当...
系统初始化函数SystemInit讲解
热门推荐
BraveWangDev
08-24 1万+
要求置技能: 需了解系统时钟源相关知识:STM32时钟系统  本文以HSE外接8MHz晶振,PLL倍频9倍得到72MHz的系统时钟为讲解背景一,系统初始化函数SystemInit: 文件路径:USER->system_stm32f10x.c->头文件system_stm32f10x.h中SystemInit(void) 在system_stm32f10x.c文件中找到SystemInit(voi
分享一个之写的mbr的分析过程
被遗弃的庸才博客
12-08 460
一、概述(言) 修改MBR,挂钩13号中断,继续挂钩BlLoaderBlock结构得到内核基址,完成对IoInitSystem挂钩执行样本的驱动文件,为防止MBR被修复又挂钩了磁盘的IRP读写。 流程图 图一 二、技术细节详细分析 脱壳 首先查壳,显示为ASPack(2.12-2.42),方法就是直接esp定律。od会帮你断,之后一个大跳到达oep,脱壳结束,如下图二所示。 图二 脱壳之后的样本 脱壳结束之后看看样本做了些什么事情,f5之后可以发现一个被标红的地址(0x7FFE0
设置驱动程序开机启动
ALCAT的专栏
12-21 1万+
开发驱动程序时,每次都用INF文件安装再加载实在是很麻烦,就写个程序来实现。 但是在实现驱动程序开机启动时却遇到了问题。 函数原型如下: CreateService Function Creates a service object and adds it to the specified service control manager database. SC_
全球互联网最强木马:Sinowal被曝光
weixin_34111790的博客
10-08 160
  近日,美国RSA FraudAction研究实验室发布报告表示,根据对Sinowal木马(也称为Torpig和Mebroot)进行的跟踪和研究,结果表明,这可能是黑客组织创建的最普遍和最先进的犯罪软件。   事实上,追溯到2006年2月,Sinowal木马已经破坏并窃取了大约30万个网上银行账户的登录凭证,以及相同数量的信用卡和借记卡。其他如电子邮件和众多网站的FTP账户等信息,也受到了损害...
拿到offer后又拒签了
u010978990的专栏
10-16 4989
昨天晚上上海微创在1
网络技术论坛
weixin_34077371的博客
06-16 123
我找了一些网络技术的论坛网址,想和大家分享! 转载于:https://blog.51cto.com/ciscolj/82306
windows mbr
最新发布
08-19
MBR是Master Boot Record(主引导记录)的缩写,是位于硬盘的第一个扇区的特殊区域。它包含了启动计算机所需的引导程序和分区表信息。当计算机启动时,BIOS会加载MBR到内存中,并执行其中的引导程序,从而启动操作系统。 对于Windows操作系统,它的MBR会包含Windows的引导程序ntldr。当启动计算机时,BIOS会读取MBR的地址,并执行其中的引导程序,从而加载Windows操作系统。 另外,MBR还可以存储其他引导程序,例如Linux的GRUB2。如果在MBR中安装了GRUB2,它会提供一个菜单让用户选择启动哪个操作系统,包括Windows和其他安装在同一硬盘上的系统。然后,GRUB2会负责加载相应的操作系统。 需要注意的是,MBR是一个关键的硬盘区域,它也容易受到病毒的攻击。恶意软件可以修改MBR,导致计算机无法正常启动。因此,保护MBR的安全性非常重要。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [windows XP MBR](https://download.csdn.net/download/cleefow/2045589)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [MBR及linux下grub执行原理浅析](https://blog.csdn.net/zhongjin616/article/details/17630357)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Windows启动过程(MBR引导过程分析)](https://blog.csdn.net/weixin_34247155/article/details/85902191)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值