本文详细介绍了Stoned Bootkit v2的infector部分,讲解了其如何感染磁盘,包括MBR的修改、文件在Unpartitioned Space的布局以及FileTableEntry结构的使用。此外,还指出了作者代码中的错误,并给出了修正建议。文章通过实例和图表辅助理解,最后提到了病毒MBR代码的分析和作者在病毒体中留下的歌词彩蛋。
好吧,看着标题SBv2容易让人联想到I社的Sexy Beach,不过此作品已经出了第五部了,宅男们,去ZOD求种子吧,啊哈哈哈哈哈哈
下午例会时间改到3点,mb的这种天气走在路上就是一个悲剧,虽然会议室有空调...老板说等考完试再跟我们说暑假安排,暑假宿舍没有空调啊啊啊啊啊啊啊啊T__T
入正题,今天对infector进行吐槽.关于infector和SBv2编译请猛击下面url:
http://blog.csdn.net/GaA_Ra/archive/2011/06/17/6550254.aspx
单纯编译infector.exe之后需要把要用到的SBv2各个模块用Attach File.exe附加上去,看看附加的批处理文件:
Master Boot Record Loader.bin是SBv2的MBR,之后需要备份原MBR再把这个覆盖过去.
Memory Image RawFS.bin是SBv2的硬盘版本,存在的其他版本还有U盘版本,CD/DVD版本
Cmd.sys和Exe Loader.sys是功能模块.
之前的文章说过,Stoned Bootkit把功能模块写入到磁盘的前63个扇区,在v2的版本里面,换了位置,v2在磁盘前面部分只改写了MBR一个扇区,整个Bootkit往后移,移到很后面,移到Unpartitioned space,就是说,移到硬盘后面未使用的磁盘间隙里面吧,看图来说明一下,图1是MBR结构(偏移)表,图2是分区表信息结构(偏移)表,图3
最低0.47元/天 解锁文章
扫一扫
7876
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
