MBR学习ONE-对某个MBR破坏病毒的小分析

发觉再也拿不起笔了。
今天给大家带来的是，对一个MBR破坏病毒的小分析，大牛飘过。
知识补充区:  mbr - 主引导记录(Master Boot Record)  - 一个系统的启动过程是复杂的，我把它简略到一下几个步骤，如果错误请指出一大家一起学习 ：打开电源- 自检，检查RAM 驱动器等--执行BIOS--将MBR里面的引导代码装入内存--系统启动 。     从系统启动过程可以看出，MBR主引导记录是凌驾于系统之上的。很多病毒都会利用这点。 所以 我们学习下还是有必要的。今天就给大家分析一个修改MBR的病毒。 明了来说是恶意软件。
样本名称:MBR.EXE
病毒行为:修改MBR 让系统无法启动


首先，我们用IDA载入样本
这个程序可以 分为 三块   _MIAN 入口  接着执行 SUB_401000 提升权限 最后 在 SUB_401090 向MBR写入代码
SUB_401000：

1. sub     esp, 14h
   
2. lea     eax, [esp+14h+TokenHandle]
   
3. push    esi
   
4. push    eax             ; TokenHandle
   
5. push    28h             ; DesiredAccess
   
6. mov     esi, 1
   
7. <font color="#ff0000">call    ds:GetCurrentProcess    得到当前进程的ID，为后面提升权限做准备</font>
   
8. push    eax             ; ProcessHandle
   
9. <font color="#ff0000">call    ds:OpenProcessToken    得到进程的令牌句柄</font>
   
10. 
    

复制代码

简单提权的方法 相信学过编程的都知道，在这 我就不做补充了。


SUB_401090:

1. push    0               ; dwFlagsAndAttributes
   
2. push    3               ; dwCreationDisposition
   
3. stosb
   
4. push    0               ; lpSecurityAttributes
   
5. mov     ecx, 0Ch
   
6. mov     esi, offset unk_406030
   
7. lea     edi, [esp+220h+Buffer]
   
8. push    3               ; dwShareMode
   
9. push    0C0000000h      ; dwDesiredAccess
   
10. rep movsd
    
11. push    offset FileName ; "\\\\.\\PHYSICALDRIVE0"  
    
12. mov     [esp+22Ch+var_2], 55h
    
13. mov     [esp+22Ch+var_1], 0AAh
    
14. <font color="#ff0000">call    ds:CreateFileA         <span style="line-height: 1.5;">用CreateFile  函数 打开硬盘  因为MBR 在硬盘上嘛</span></font>

复制代码

当病毒执行完后，我们用WINHEX 打开MBR看一下，下面我会介绍如何用WINHEX操作。


打开WINHEX 在工具条上找到  工具-打开磁盘   

因为 我是在 虚拟机里面测试的  所以 我选择 20GB的虚拟硬盘

打开后， 因为是 被病毒修改过的 MBR  所以我们隐约的看到了 一个 单词 VIRUS 病毒的意思。。。

因为MBR引导记录也是 代码 80x86的汇编语法， 所以我们要将他拷贝出来 。 WINHEX的操作方法
右键-- 编辑 -- 复制选块--至新文件--保存到桌面就可以了，不要添加什么后缀名，但也无妨。


接下来，我们就要分析这段小代码。  XP用户可以直接用 DEBUG  其他用户用 IDA吧，注意要勾选上X86的 。





回车 用 D命令查看下 内存 在用 U命令 转换为汇编代码。


到LOOP执行时 LOOP下面的代码 就不是代码了 是 数据， 这段代码的作用是 在屏幕上打印一段字符串。



MOV     AX,0012   中断号 0x12 显示器配置
  INT     10              INT 10 中断
  MOV     BP,7C18    ES:BP 要显示字符串的 段地址：偏移
  MOV     CX,0018    字符串的长度
  MOV     AX,1301   AL是显示模式  AH是0X13 INT10 显示字符串
  MOV     BX,000C   
  MOV     DX,0E1D  DX存放着  显示的 行号和列号
  INT     10            CALL DOS



当执行完这段代码后。我们可以惊奇的发现。。 电脑就会一直停在这个页面。而不会进入系统因为MBR已经被破坏，系统无法启动。


本次教程分析到此结束。 至于 这种 MBR的学习现在只是 第一课，后面 我会进一步发布教程深入学习的，同时我也会跟大家一起学习共同进步， 样本我不知道能不能传。 还是得问过老大方可。
感谢大家支持，     我爱雪坡姐。

样本在下面可下载，大家请在虚拟机调试。

游客，如果您要查看本帖隐藏内容请回复

快告诉我我是不是沙发

我相信这是精华帖子 已经通知老板

虚竹 发表于 2015-8-23 22:02
我相信这是精华帖子 已经通知老板

只是菜鸟的 简单分析

LYQingYe 发表于 2015-8-23 22:04
只是菜鸟的 简单分析

在详细点就好了

虚竹 发表于 2015-8-23 22:08
在详细点就好了

会改进的。谢谢指导

写的挺好的，样本打个压缩包传上来吧，提醒大家在虚拟机打开就好了。

Shark恒 发表于 2015-8-23 22:39
写的挺好的，样本打个压缩包传上来吧，提醒大家在虚拟机打开就好了。

样本我就有

这种病毒挺让人头疼的吧

这东西怎么写