2

[原创]发一个老物,一份可编译执行带注释的mbr感染源码

ReturnsMe 2012-9-2 19:19 14657
翻硬盘出的老物啊~

一份xp only的mbr感染,只是以前无聊时写着玩的。

引导代码是从样本A来再改的,引导后期跟鬼影略不同。驱动的5kb代码是自己写的。

也参考了V大的http://bbs.pediy.com/showthread.php?t=138978,以及http://blog.csdn.net/gaa_ra 大牛的几篇文章,在此表示感谢。

注释比较详细,简单写一下原理:

        hook int 13 , hook BlOsLoader,call hook IoInitSystem - > load fake pcidump.sys
       
        dr0 hook AtapiDeviceInternalDispatch,隐藏驱动,伪造系统线程
       
        XT看不到什么东西,PowerTool可以检测到调试函数被钩,强力检测可以检测到mbr被感染。就不去和PT对抗了
       
        在我的两台虚拟机里面都可以成功执行,流程上应该没什么问题。但是不保证在所有xp下完美运行,就是这样~

纯分享代码,不要用于不法用途~

详见附件,拜谢~
最新回复 (26)
靴子 2012-9-2 20:23
2
xp sp2虚拟机运行了一下   重启后 卡在windows登录界面不动了。。 进入不了系统
ReturnsMe 2012-9-2 21:03
3
我是sp3...可能是特征码问题,这个没测因为引导是A的。。。
XiaosanAiq 2012-9-3 11:18
4
有码都得火。。。
yuansunxue 2012-9-3 12:06
5
感谢分享 这逻辑跟之前分析的感染mbr病毒大体一样
mumaren 2012-9-3 14:11
6
分享就3q
分享就3q
watchsky 2012-9-3 15:22
7
xp sp3,刚起就蓝屏
seny 2012-9-3 17:18
8
太深奥了。。这代码看的头很大啊。。大侠,能不能指点下啊。
ReturnsMe 2012-9-3 18:57
9
我觉得前面汇编代码注释的挺多了。。先看看我给出的连接比较有帮助~

至于后面那个驱动随便看看就得了不是重点。。。就是把驱动里的东西全抹掉然后又hook了调试函数隐藏磁盘数据,写的比较乱
goddkiller 2012-9-4 08:13
10
感谢分享
tihty 2012-9-4 16:30
11
Thanks for share : )
xnop 2012-9-4 21:59
12
有码都得火。。。
comewisdom 2012-9-5 18:35
13
来看看,学习了..
vitha 2012-9-6 08:54
14
虽然有点老,但是也值得研究下,先收藏下。
lapcca 2012-9-6 12:32
15
Thanks for sharing!!!!
hnr 2012-9-7 13:17
16
分享   就   3Q
SDKMFC 2012-11-17 13:44
17
谢谢共享,超级厉害!
蓝冰love 2012-11-17 14:05
18
谢谢分享 学习了
evilHex 2012-12-4 21:54
19
谢谢分享呀,精神可嘉
MixDebug 2012-12-12 11:20
20
XP SP3 无法进入系统了
MixDebug 2012-12-12 16:20
21
求解?
虚拟机:XP SP3 SCSI硬盘,直接启动不了。
虚拟机:XP SP3 IDE硬盘,启动后windows动画界面过后,就蓝了。
上传的附件:
  • 1.png (222.75kb,7次下载)
Tensm 2013-5-23 09:29
22
下载有空研究下,谢谢分享。。。
CRoot 2013-5-23 13:09
23
学习,收藏,赞
fresharp 2014-1-27 08:51
24
没有见到附件在哪?
wx_want 2018-2-1 05:36
25
暴女你从
joker陈 2018-2-1 08:31
26
楼上的洛阳铲可以啊
pbshu 2018-2-13 23:11
27
xuexi
返回