|
|
|---|---|
|
|
|
|
|
除了DOS还有很多地方是实模式的,比如传统的BIOS和MBR。本文中例子的勒索病毒Petya就是一个寄居在MBR的病毒。麒麟框架作为一个模拟分析框架,只要是有分析价值的东西都乐于实现的。 |
|
|
16位实模式下读取MBR并运行,只需模拟传统BIOS中断调用,用不着模拟DOS?DOS调用中断是从int20h到int2?h,其中绝大分调用是int21h。当然作为入门练手,模拟DOS也未偿不可。毕竟模拟windows的难度是模拟DOS的n倍。 |
|
|
|
|
|
多谢提醒。已经换了。 |
|
|
事情要比你想象的复杂。首先实现传统BIOS中断调用就不是一件简单的事情,毕竟那个年代BIOS由于历史原因有各种奇葩的坑,其次计算机硬件是有很多周边硬件的,比如RTC硬件8253/8254,中断芯片8259,这些都需要软件实现的,看一看bochs或者qemu hardware目录下的代码量就知道这也不是简单的事情。 另外我刚才就强调过了,MBR也好,DOS也好,Windows也是,只要是有分析价值的东西麒麟都是乐于实现的,这才叫框架。 至于你一直心心念念的Windows,我们的确已经在做了,有兴趣可以来提交你的第一个PR。:) |
|
|
楼主是京东安全的吗? |
|
|
是。 |
|
|
|
