[原创]发一个老物，一份可编译执行带注释的mbr感染源码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]发一个老物，一份可编译执行带注释的mbr感染源码

发表于: 2012-9-2 19:19 19556

[原创]发一个老物，一份可编译执行带注释的mbr感染源码

ReturnsMe

2012-9-2 19:19

19556

翻硬盘出的老物啊~

一份xp only的mbr感染，只是以前无聊时写着玩的。

引导代码是从样本A来再改的，引导后期跟鬼影略不同。驱动的5kb代码是自己写的。

也参考了V大的http://bbs.pediy.com/showthread.php?t=138978，以及http://blog.csdn.net/gaa_ra 大牛的几篇文章，在此表示感谢。

注释比较详细，简单写一下原理：

hook int 13 , hook BlOsLoader,call hook IoInitSystem - > load fake pcidump.sys

dr0 hook AtapiDeviceInternalDispatch，隐藏驱动，伪造系统线程

XT看不到什么东西，PowerTool可以检测到调试函数被钩，强力检测可以检测到mbr被感染。就不去和PT对抗了

在我的两台虚拟机里面都可以成功执行，流程上应该没什么问题。但是不保证在所有xp下完美运行，就是这样~

纯分享代码，不要用于不法用途~

详见附件，拜谢~

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・60

免费・6

支持

最新回复 (26) 1 2 ▶
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼 xp sp2虚拟机运行了一下重启后卡在windows登录界面不动了。。进入不了系统 2012-9-2 20:23 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 3 楼我是sp3...可能是特征码问题，这个没测因为引导是A的。。。 2012-9-2 21:03 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 4 楼有码都得火。。。 2012-9-3 11:18 0
yuansunxue 雪币： 1025 活跃值： (225) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 5 楼感谢分享这逻辑跟之前分析的感染mbr病毒大体一样 2012-9-3 12:06 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 6 楼分享就3q 分享就3q 2012-9-3 14:11 0
watchsky 雪币： 2620 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 42 粉丝 0 关注私信	watchsky 7 楼 xp sp3,刚起就蓝屏 2012-9-3 15:22 0
seny 雪币： 227 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 71 粉丝 0 关注私信	seny 8 楼太深奥了。。这代码看的头很大啊。。大侠，能不能指点下啊。 2012-9-3 17:18 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 9 楼我觉得前面汇编代码注释的挺多了。。先看看我给出的连接比较有帮助~ 至于后面那个驱动随便看看就得了不是重点。。。就是把驱动里的东西全抹掉然后又hook了调试函数隐藏磁盘数据，写的比较乱 2012-9-3 18:57 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 10 楼感谢分享 2012-9-4 08:13 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 11 楼 Thanks for share : ) 2012-9-4 16:30 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 12 楼有码都得火。。。 2012-9-4 21:59 0
comewisdom 雪币： 473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 130 粉丝 0 关注私信	comewisdom 13 楼来看看,学习了.. 2012-9-5 18:35 0
vitha 雪币： 106 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	vitha 14 楼虽然有点老，但是也值得研究下，先收藏下。 2012-9-6 08:54 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 15 楼 Thanks for sharing!!!! 2012-9-6 12:32 0
hnr 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	hnr 16 楼分享就 3Q 2012-9-7 13:17 0
SDKMFC 雪币： 1358 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	SDKMFC 17 楼谢谢共享，超级厉害！ 2012-11-17 13:44 0
蓝冰love 雪币： 146 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	蓝冰love 18 楼谢谢分享学习了 2012-11-17 14:05 0
evilHex 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	evilHex 19 楼谢谢分享呀，精神可嘉 2012-12-4 21:54 0
MixDebug 雪币： 143 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 76 粉丝 0 关注私信	MixDebug 1 20 楼 XP SP3 无法进入系统了 2012-12-12 11:20 0
MixDebug 雪币： 143 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 76 粉丝 0 关注私信	MixDebug 1 21 楼求解？虚拟机：XP SP3 SCSI硬盘，直接启动不了。虚拟机：XP SP3 IDE硬盘，启动后windows动画界面过后，就蓝了。上传的附件： 1.png （222.75kb，7次下载） 2012-12-12 16:20 0
Tensm 雪币： 111 活跃值： (113) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 135 粉丝 3 关注私信	Tensm 1 22 楼下载有空研究下，谢谢分享。。。 2013-5-23 09:29 0
CRoot 雪币： 3343 活跃值： (1243) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 23 楼学习，收藏，赞 2013-5-23 13:09 0
fresharp 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	fresharp 24 楼没有见到附件在哪？ 2014-1-27 08:51 0
计算机李白雪币： 61 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	计算机李白 25 楼 6666 最后于 2019-5-22 12:53 被计算机李白编辑，原因： 2018-2-1 05:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ReturnsMe

发帖

162

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼 xp sp2虚拟机运行了一下重启后卡在windows登录界面不动了。。进入不了系统 2012-9-2 20:23 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 3 楼我是sp3...可能是特征码问题，这个没测因为引导是A的。。。 2012-9-2 21:03 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 4 楼有码都得火。。。 2012-9-3 11:18 0
yuansunxue 雪币： 1025 活跃值： (225) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 5 楼感谢分享这逻辑跟之前分析的感染mbr病毒大体一样 2012-9-3 12:06 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 6 楼分享就3q 分享就3q 2012-9-3 14:11 0
watchsky 雪币： 2620 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 42 粉丝 0 关注私信	watchsky 7 楼 xp sp3,刚起就蓝屏 2012-9-3 15:22 0
seny 雪币： 227 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 71 粉丝 0 关注私信	seny 8 楼太深奥了。。这代码看的头很大啊。。大侠，能不能指点下啊。 2012-9-3 17:18 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 9 楼我觉得前面汇编代码注释的挺多了。。先看看我给出的连接比较有帮助~ 至于后面那个驱动随便看看就得了不是重点。。。就是把驱动里的东西全抹掉然后又hook了调试函数隐藏磁盘数据，写的比较乱 2012-9-3 18:57 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 10 楼感谢分享 2012-9-4 08:13 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 11 楼 Thanks for share : ) 2012-9-4 16:30 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 12 楼有码都得火。。。 2012-9-4 21:59 0
comewisdom 雪币： 473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 130 粉丝 0 关注私信	comewisdom 13 楼来看看,学习了.. 2012-9-5 18:35 0
vitha 雪币： 106 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	vitha 14 楼虽然有点老，但是也值得研究下，先收藏下。 2012-9-6 08:54 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 15 楼 Thanks for sharing!!!! 2012-9-6 12:32 0
hnr 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	hnr 16 楼分享就 3Q 2012-9-7 13:17 0
SDKMFC 雪币： 1358 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	SDKMFC 17 楼谢谢共享，超级厉害！ 2012-11-17 13:44 0
蓝冰love 雪币： 146 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	蓝冰love 18 楼谢谢分享学习了 2012-11-17 14:05 0
evilHex 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	evilHex 19 楼谢谢分享呀，精神可嘉 2012-12-4 21:54 0
MixDebug 雪币： 143 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 76 粉丝 0 关注私信	MixDebug 1 20 楼 XP SP3 无法进入系统了 2012-12-12 11:20 0
MixDebug 雪币： 143 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 76 粉丝 0 关注私信	MixDebug 1 21 楼求解？虚拟机：XP SP3 SCSI硬盘，直接启动不了。虚拟机：XP SP3 IDE硬盘，启动后windows动画界面过后，就蓝了。上传的附件： 1.png （222.75kb，7次下载） 2012-12-12 16:20 0
Tensm 雪币： 111 活跃值： (113) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 135 粉丝 3 关注私信	Tensm 1 22 楼下载有空研究下，谢谢分享。。。 2013-5-23 09:29 0
CRoot 雪币： 3343 活跃值： (1243) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 23 楼学习，收藏，赞 2013-5-23 13:09 0
fresharp 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	fresharp 24 楼没有见到附件在哪？ 2014-1-27 08:51 0
计算机李白雪币： 61 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	计算机李白 25 楼 6666 最后于 2019-5-22 12:53 被计算机李白编辑，原因： 2018-2-1 05:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复