能力值:
( LV2,RANK:10 )
|
-
-
76 楼
其实亮点是在如何绕过HIPS写入MBR的过程。可惜楼主没分析
|
能力值:
( LV4,RANK:50 )
|
-
-
77 楼
其实这个样本还是不能绕过目前很多安全软件而去实现改写MBR,分析这个样本主要是想普及下Bootkit的实现过程,而不是如何去改写MBR,改写MBR有很多种方法。
|
能力值:
( LV2,RANK:10 )
|
-
-
78 楼
在虚拟机里可以释放dll,但是对比了运行前后第1、61、62扇区,没变化啊。
|
能力值:
( LV4,RANK:50 )
|
-
-
79 楼
有变化的,你感染后直接用WinHex工具就可以查看到。
|
能力值:
( LV2,RANK:10 )
|
-
-
80 楼
不好意思,我是用在运行样本前后用winhex打开磁盘比较的,将前63个扇区都对比了下,没有不同啊。水平太菜,还请指教啊!
|
能力值:
( LV4,RANK:50 )
|
-
-
81 楼
可以感染MBR,你是不是装了还原软件?或者是不是Win7 的系统,这个样本我没有在Win7 下跑过,不知道能不能在Win7 感染成功。
|
能力值:
( LV2,RANK:10 )
|
-
-
82 楼
我虚拟机是干净的系统,XP sp2。
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
000000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 隦怤TFS .....
000000010 00 00 00 00 00 F8 00 00 3F 00 FF 00 3F 00 00 00 .....?.?..?...
000000020 00 00 00 00 80 00 80 00 13 AC FF 00 00 00 00 00 ....€.€..?.....
000000030 00 00 0C 00 00 00 00 00 C1 FA 0F 00 00 00 00 00 ........龙......
000000040 F6 00 00 00 01 00 00 00 22 A0 89 A8 CE 89 A8 E4 ?......"爥ㄎ墾?
000000050 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB B8 C0 07 ....?缼屑.|?
000000060 8E D8 E8 16 00 B8 00 0D 8E C0 33 DB C6 06 0E 00 庁?.?.幚3燮...
000000070 10 E8 53 00 68 00 0D 68 6A 02 CB 8A 16 24 00 B4 .鑃.h..hj.藠.$.?
000000080 08 CD 13 73 05 B9 FF FF 8A F1 66 0F B6 C6 40 66 .?s.?婑f.镀@f
000000090 0F B6 D1 80 E2 3F F7 E2 86 CD C0 ED 06 41 66 0F .堆€?麾喭理.Af.
0000000A0 B7 C9 66 F7 E1 66 A3 20 00 C3 B4 41 BB AA 55 8A 飞f麽f?.么A华U?
0000000B0 16 24 00 CD 13 72 0F 81 FB 55 AA 75 09 F6 C1 01 .$.?r.侞U猽.隽.
0000000C0 74 04 FE 06 14 00 C3 66 60 1E 06 66 A1 10 00 66 t.?..胒`..f?.f
0000000D0 03 06 1C 00 66 3B 06 20 00 0F 82 3A 00 1E 66 6A ....f;. ..?..fj
0000000E0 00 66 50 06 53 66 68 10 00 01 00 80 3E 14 00 00 .fP.Sfh....€>...
0000000F0 0F 85 0C 00 E8 B3 FF 80 3E 14 00 00 0F 84 61 00 .?.璩€>....刟.
000000100 B4 42 8A 16 24 00 16 1F 8B F4 CD 13 66 58 5B 07 碆?$...嬼?fX[.
000000110 66 58 66 58 1F EB 2D 66 33 D2 66 0F B7 0E 18 00 fXfX.?f3襢.?..
000000120 66 F7 F1 FE C2 8A CA 66 8B D0 66 C1 EA 10 F7 36 f黢娛f嬓f陵.?
000000130 1A 00 86 D6 8A 16 24 00 8A E8 C0 E4 06 0A CC B8 ..喼?$.婅冷..谈
000000140 01 02 CD 13 0F 82 19 00 8C C0 05 20 00 8E C0 66 ..?.?.尷. .幚f
000000150 FF 06 10 00 FF 0E 0E 00 0F 85 6F FF 07 1F 66 61 .......卭..fa
000000160 C3 A0 F8 01 E8 09 00 A0 FB 01 E8 03 00 FB EB FE 脿??.狖.?.?
000000170 B4 01 8B F0 AC 3C 00 74 09 B4 0E BB 07 00 CD 10 ?嬸?.t.??.?
000000180 EB F2 C3 0D 0A 41 20 64 69 73 6B 20 72 65 61 64 腧?.A disk read
000000190 20 65 72 72 6F 72 20 6F 63 63 75 72 72 65 64 00 error occurred.
0000001A0 0D 0A 4E 54 4C 44 52 20 69 73 20 6D 69 73 73 69 ..NTLDR is missi
0000001B0 6E 67 00 0D 0A 4E 54 4C 44 52 20 69 73 20 63 6F ng...NTLDR is co
0000001C0 6D 70 72 65 73 73 65 64 00 0D 0A 50 72 65 73 73 mpressed...Press
0000001D0 20 43 74 72 6C 2B 41 6C 74 2B 44 65 6C 20 74 6F Ctrl+Alt+Del to
0000001E0 20 72 65 73 74 61 72 74 0D 0A 00 00 00 00 00 00 restart........
0000001F0 00 00 00 00 00 00 00 00 83 A0 B3 C9 00 00 55 AA ........儬成..U
第一个扇区的数据。贴不上图,有点乱。抱歉啊!
|
能力值:
( LV4,RANK:50 )
|
-
-
83 楼
这不是MBR的数据,是Bootable Sectors第一个扇区的数据。
|
能力值:
( LV2,RANK:10 )
|
-
-
84 楼
谢谢分享!~~
|
能力值:
( LV2,RANK:10 )
|
-
-
85 楼
谢谢楼主的分享!~
|
能力值:
( LV2,RANK:10 )
|
-
-
86 楼
强人,这么牛X的帖子还真少见
|
能力值:
( LV2,RANK:10 )
|
-
-
87 楼
关注中
楼主 分析了 exe的 行为吗?
写入mbr的过程
|
能力值:
( LV4,RANK:50 )
|
-
-
88 楼
这个写入MBR的过程没有详细分析,实现写入MBR的方法有很多中,可以Ring3直接写入,也可以驱动如直接磁盘穿透之类写入。这篇文章主要是分析Bootkit代码的实现过程,普及一下Bootkit技术,至于楼上说的写入MBR过程感兴趣的可以分析一下。
|
能力值:
( LV2,RANK:10 )
|
-
-
89 楼
下了..留名..thx..
|
能力值:
( LV6,RANK:80 )
|
-
-
90 楼
强悍呀,等以后有时间了,再来研究~~~谢谢楼主分享!
|
能力值:
( LV2,RANK:10 )
|
-
-
92 楼
呵呵好久没用的账号居然能上来
|
能力值:
( LV2,RANK:10 )
|
-
-
93 楼
一直没有关注过这方面的内容,
今天看后有所启发。
|
能力值:
( LV2,RANK:10 )
|
-
-
94 楼
精华啊
.
|
能力值:
( LV2,RANK:10 )
|
-
-
95 楼
膜拜一下楼主 我心里的神 
|
能力值:
( LV2,RANK:10 )
|
-
-
96 楼
下载了 慢慢看哈
|
能力值:
( LV13,RANK:970 )
|
-
-
97 楼
我也想的这个事
|
能力值:
( LV2,RANK:10 )
|
-
-
98 楼
菜鸟来学习了!
|
能力值:
( LV2,RANK:10 )
|
-
-
99 楼
我是来顶贴的
|
能力值:
( LV2,RANK:10 )
|
-
-
100 楼
先留下 以后有用再看!
|
|
|
|
