[原创]初级修改硬盘扇区，感染记事本-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]初级修改硬盘扇区，感染记事本

发表于: 2010-5-26 21:30 9633

[原创]初级修改硬盘扇区，感染记事本

hearmecryle 活跃值

2010-5-26 21:30

9633

初级修改硬盘扇区，感染记事本
目的：
学习了西方失败的漏洞分析技术和借鉴了天易love的直接写磁盘扇区的思路，参阅了NTFS文件格式。决定动手实践，为记事本添加Welcome提示框，并进行扇区级修改。算是对学习的一个总结性练习。也为看雪尽点绵薄之力。
知识要点：
（1）OD应用，分析记事本PE文件可插入代码位置；Dependency手动找所需要的API地址。
（2）WinHex应用，手动修改记事本在磁盘扇区二进制代码。
（3）用VC++6.0写出感染通用程序。分析NFTS磁盘格式，利用文件$MFT的文件名属性$FILE_NAME，直接遍历磁盘找到记事本文件的具体偏移。（只给出算偏移的部分代码）
（4）为人要本份。建议学习密码学版主rockinuk大大近期关注的法律与道德相关内容。

运行与记事本关联的文件后,都会弹出以下

运行效果

修改硬盘扇区感染记事本.rar 文档
InjectNotepad.rar InjectNotepad.exe
goto.rar goto.h

参考资料：
西方失败漏洞分析技术
http://bbs.pediy.com/showthread.php?t=56445
天易love直接写盘思路
http://bbs.pediy.com/showthread.php?t=110997
NTFS格式介绍
http://hi.baidu.com/%B7%B3%B2%BB%B7%B3/blog/item/54ceb06f6725ead280cb4a62.html

[课程]Android-CTF解题方法汇总！

上传的附件：

修改硬盘扇区感染记事本.rar （563.33kb，93次下载）
InjectNotepad.rar （26.09kb，98次下载）
goto.rar （2.96kb，96次下载）
1.JPG （3.84kb，461次下载）
18.JPG （13.29kb，408次下载）
17.JPG （12.51kb，406次下载）

收藏・9

免费・7

支持

最新回复 (14)
qinmiaozn 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 59 粉丝 0 关注私信	qinmiaozn 2 楼顶了学习。只会DELPHI的路过! C++的代码看着蛋疼! 2010-5-26 22:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 3 楼直接磁盘被banned的好多年了，话说先得有个驱动，然后才能直接，这样子就跟那啥一样了~ 2010-5-27 04:26 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 4 楼谢谢你的提醒，看来我在研究的很老的过时技术。那驱动是必须要学了。 2010-5-27 07:34 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 5 楼读写扇区已不是什么秘密。。。。。。。。 2010-5-27 10:36 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 6 楼 WINHEX直接写硬盘是突破了驱动的拦截？ 2010-5-27 11:25 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 7 楼初级学习and练手，or 科普的工作还是要有人做。 or菜鸟学飞。 2010-5-27 13:26 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 8 楼好像没什么问题，谢谢你从前提供的思路。本文主要是通过对磁盘格式的理解后，用C++编程的一个练习。为了通用，其实这部分花了我很长时间。所以发在了编程板块 2010-5-27 13:29 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 9 楼不错...下下来学习一下...很早以前就有这个想法..一直做不来... 2010-5-27 16:41 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼不错，写病毒的基础，杀病毒的基础 2010-5-27 18:05 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 11 楼我的意思是WINHEX能直接写硬盘，楼主的程序也应该可以，除非保护程序能分得清。所以楼上有人说必须用驱动，obviously making a mistake by taking it for granted. 2010-5-27 18:45 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 12 楼我也是在学了NTFS后突然有这个想法的的，理论的东西必须动手实践才知道啥回事。 2010-5-27 19:23 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 13 楼完完全全是最基本最基本的知识。融汇贯通。 2010-5-27 19:25 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 14 楼我对驱动一点都不了解。我想驱动也是低级程序代码。能调试能修改？（不要笑菜鸟）很多人提到驱动，驱动是大势所趋了。下一步必须学驱动，活到老学到老。 2010-5-27 19:36 0
kusky 雪币： 466 活跃值： (165) 能力值： ( LV9，RANK：190 ) 在线值：发帖 36 回帖 271 粉丝 1 关注私信	kusky 4 15 楼标签之~~~~ 2010-5-27 23:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hearmecryle

发帖

340

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
qinmiaozn 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 59 粉丝 0 关注私信	qinmiaozn 2 楼顶了学习。只会DELPHI的路过! C++的代码看着蛋疼! 2010-5-26 22:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 3 楼直接磁盘被banned的好多年了，话说先得有个驱动，然后才能直接，这样子就跟那啥一样了~ 2010-5-27 04:26 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 4 楼谢谢你的提醒，看来我在研究的很老的过时技术。那驱动是必须要学了。 2010-5-27 07:34 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 5 楼读写扇区已不是什么秘密。。。。。。。。 2010-5-27 10:36 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 6 楼 WINHEX直接写硬盘是突破了驱动的拦截？ 2010-5-27 11:25 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 7 楼初级学习and练手，or 科普的工作还是要有人做。 or菜鸟学飞。 2010-5-27 13:26 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 8 楼好像没什么问题，谢谢你从前提供的思路。本文主要是通过对磁盘格式的理解后，用C++编程的一个练习。为了通用，其实这部分花了我很长时间。所以发在了编程板块 2010-5-27 13:29 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 9 楼不错...下下来学习一下...很早以前就有这个想法..一直做不来... 2010-5-27 16:41 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼不错，写病毒的基础，杀病毒的基础 2010-5-27 18:05 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 11 楼我的意思是WINHEX能直接写硬盘，楼主的程序也应该可以，除非保护程序能分得清。所以楼上有人说必须用驱动，obviously making a mistake by taking it for granted. 2010-5-27 18:45 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 12 楼我也是在学了NTFS后突然有这个想法的的，理论的东西必须动手实践才知道啥回事。 2010-5-27 19:23 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 13 楼完完全全是最基本最基本的知识。融汇贯通。 2010-5-27 19:25 0
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 36 回帖 340 粉丝 0 关注私信	hearmecryle 1 14 楼我对驱动一点都不了解。我想驱动也是低级程序代码。能调试能修改？（不要笑菜鸟）很多人提到驱动，驱动是大势所趋了。下一步必须学驱动，活到老学到老。 2010-5-27 19:36 0
kusky 雪币： 466 活跃值： (165) 能力值： ( LV9，RANK：190 ) 在线值：发帖 36 回帖 271 粉丝 1 关注私信	kusky 4 15 楼标签之~~~~ 2010-5-27 23:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复