病毒利用MBR的原理和C++编程

王娅婷 · 发表于 2010-6-9 13:06:29


	本帖最后由王娅婷于 2010-6-9 13:11 编辑游客，如果您要查看本帖隐藏内容请回复最近找了些资料，结合简单的编程，实现了读mbr,不涉及ring0和内核，只为了让大家看懂和了解些知识。看到论坛上有人在谈rootkit，这里就大略的说一下mbr rootkit,MBR的rootkit又叫做Mebroot,最早产生于07年底，而不是某杀毒软件所谓的最新病毒，大家可以去搜索Trojan.Anserin,出于GMER之手，它利用了微软当时的内核漏洞，安装驱动到计算机，算是成功完成了一次攻击。当然这不是我们菜鸟一天所能学会的，我下面就来介绍一下访问mbr的2种方式：游客，如果您要查看本帖隐藏内容请回复可以看到生成的文件为512kb，是符合我们的设计要求的，也就读出了mbr。 2）第二种方法，也是最头疼，这次病毒用到的方法，个人在研究中，但貌似完全不懂，还是拿出来随便说说吧： Disk.sys驱动封装和setwinEventhook()技术，它完全取代了刚才所使用的上层api createfile()函数，它们直接操纵了用户底层，可以随意穿透hips，它发送irp来执行读写操作游客，如果您要查看本帖隐藏内容请回复 [/hide][/hide]

000405 · 发表于 2010-6-9 15:42:14

xdx133 · 发表于 2010-6-15 14:41:32

zeuson · 发表于 2010-7-3 17:07:59

xuelang · 发表于 2010-7-13 15:44:33

449301836 · 发表于 2010-7-14 22:18:42

zwxjcj · 发表于 2010-7-19 22:57:30

sns06 · 发表于 2010-8-29 14:02:48

xx5546 · 发表于 2010-8-30 18:28:55

pzhshun · 发表于 2010-8-30 19:09:43

songyg1732 · 发表于 2011-6-15 07:47:32

si_Bear · 发表于 2011-9-22 02:05:52

堂堂 · 发表于 2011-9-24 16:54:54

reslstfy · 发表于 2011-10-31 21:25:25

评论 13