- 博客(4)
- 收藏
- 关注
RSS订阅原创 小小Bootkit(4)
BootKit之感染磁盘部分Sjtujg这部分代码实际上就是最后的病毒,负责将病毒字节内容写到磁盘上一块隐蔽的区域,每次开机启动的时候就从该磁盘区域中将病毒读入内存中。这部分代码与VirusMbr和PmVirus相比要简单的多,主要是C代码结合一些windows api。下面结合一些关键部分进行解释。待写入磁盘的病毒内容已经转换成了unsigned char型数组VirusMbr[
2012-06-01 12:05:38
649
原创 小小Bootkit(3)
BootKit之PmVirussjtujgPmVirus部分的代码完成的工作很多,所涉及的知识内容也是很多,所以要花较多的篇幅。PmVirus的代码分出许多部分,各部分在不同的时候被调用,但是又依赖于之前执行的代码,所以一开始读的时候会很吃力,现在先来讲一下这部分代码的主要组成部分,然后结合具体代码解释一下。注:这部分除了参考了GaA_Ra的文章外,还参考了看雪论坛大神V校的文章,下面
2012-06-01 12:04:42
1177
1
原创 小小Bootkit(2)
BootKit之VirusMbrSjtujg先介绍一些关于MBR的基础知识,Bios加电之后选择引导介质(一般是磁盘),如果选择了磁盘,就将磁盘的第一个扇区的内容读入到内存中,然后流程转向执行这部分代码,磁盘的第一个扇区就是我们所说的MBR.MBR的内容有512个字节,其中可执行的代码内容只有400多字节,还有64个字节是磁盘分区表,计算机凭借分区表来选择引导分区,并将其第一个扇区(引导扇
2012-06-01 12:01:57
1093
原创 小小Bootkit
BootKit之总体概述sjtujg最近参照GhostShadow3的开源逆向版本实现了一个最简单的bootkit原型,姑且叫他simple-boot。功能就是在计算机开机引导至最终进入操作系统之间用自己的一个驱动去替换windows会自动加载的beep.sys驱动程序。这也是许多病毒采取的方法,即用一个有“恶意”的驱动去替换beep.sys,而后被windows自动加载获得ring0
2012-06-01 12:00:55
944
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人