本帖最后由 王娅婷 于 2010-6-9 13:11 编辑
最近找了些资料,结合简单的编程,实现了读mbr,不涉及ring0和内核,只为了让大家看懂和了解些知识。
看到论坛上有人在谈rootkit,这里就大略的说一下mbr rootkit,MBR的rootkit又叫做Mebroot,最早产生于07年底,而不是某杀毒软件所谓的最新病毒,大家可以去搜索Trojan.Anserin,出于GMER之手,它利用了微软当时的内核漏洞,安装驱动到计算机,算是成功完成了一次攻击。 当然这不是我们菜鸟一天所能学会的,我下面就来介绍一下访问mbr的2种方式:
可以看到生成的文件为512kb,是符合我们的设计要求的,也就读出了mbr。
2)第二种方法,也是最头疼,这次病毒用到的方法,个人在研究中,但貌似完全不懂,还是拿出来随便说说吧:
Disk.sys驱动封装和setwinEventhook()技术,它完全取代了刚才所使用的上层api createfile()函数,它们直接操纵了用户底层,可以随意穿透hips,它发送irp来执行读写操作
[/hide][/hide] |
|
[复制链接]
