超级会员免费看
本文探讨了基于MBR(主引导记录)的无文件攻击技术,解释了MBR在计算机启动过程中的作用,以及如何通过篡改或利用MBR实现恶意代码的隐藏与执行。内容涉及MBR的结构、硬盘逻辑结构、MBR引导原理,以及如何暴力擦除和篡改MBR进行攻击。
启动记录是磁盘或卷的第一个扇区,并且包含启动操作系统启动过程所需的可执行代码。 如将 Bootya 等威胁覆盖到恶意代码,可以感染启动记录。 当计算机启动时,恶意软件将立即获得控制权。 启动记录驻留在文件系统外部,但操作系统可以访问它。
MBR是在BIOS完成硬件初始化后首次加载的磁盘部分。它是引导加载程序的位置。对启动驱动器具有原始访问权限的对手可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到对手代码。试想,若病毒隐藏恶意代码于在MBR中,就可以实现先于系统加载,绕过杀软的效果。
硬盘的逻辑结构
机械磁盘在物理结构上是由磁片、马达、磁头、定位系统等部件构成,通常一块磁盘有若干块磁片构成,为了方便定位统一管理,将这些磁片进行了编号。一个盘片的两面各有一个磁头(Heads),每个盘片被划分成若干个同心圆磁道,每个盘片的半径均为固定值R的同心圆形成柱面(Cylinders),从外至里编号为0、1、2……每个盘片上的每个磁道又被划分为若干个扇区,一个扇区通常容量为512byte,并按照一定规则编号为1、2、3……形成Cylinders×Heads×Sector个扇区,这三个参数即可定位一个扇
订阅专栏 解锁全文
扫一扫
6448
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
