c++编程之MBR利用原理分析

硬盘爱好者 · 发表于 2012-4-20 09:09:45

前段时间网上有个感染mbr的病毒，听说很厉害，那么什么是mbr呢，这个可能大家已经有所了解了，我在说具体点：

MBR（Master Boot Record）就是我们经常说的“硬盘主引导记录”，它是由FDISK等磁盘分区命令写在硬盘绝对0扇区的一段数据，它由主引导程序、硬盘分区表及扇区结束标志字（55AA）这3个部分组成。

简单一点说就是你打开电源先有主板上BIOS程序引导硬件初始化然后交由系统（如XP/2000/LINUX等）引导而系统的这块引导程序就在MBR—硬盘的第一分区第一扇区上的前512字节这个可以用我生成的dat文件来证实，大家常见的命令就是FDISK/MBR 可以修复WIN引导，装完Linux的如果想卸载重装windows的同学可能就要用这个命令来修复引导区。

最近找了些资料，结合简单的编程，实现了读mbr,不涉及ring0和内核，只为了让大家看懂和了解些知识。

有人在谈rootkit，这里就大略的说一下mbr rootkit,MBR的rootkit又叫做Mebroot,最早产生于07年底，而不是某杀毒软件所谓的最新病毒，大家可以去搜索Trojan.Anserin,出于GMER之手，它利用了微软当时的内核漏洞，安装驱动到计算机，算是成功完成了一次攻击。当然这不是我们菜鸟一天所能学会的，我下面就来介绍一下访问mbr的2种方式：

1）. 最简单的方式是我这次所重要介绍的，大家都能理解的，利用CreatFile()函数访问，在ring3下，用户是可以以用户态的方式访问mbr的，但在Vista和windows7下要使用管理员权限，这点大家在UAC机制中理解，我这里简单的实现了读mbr功能，程序在visual stdio 2008 调试，之前遇到了些问题，但也解决了，建议大家以后用stdio 2008,2010 来编译程序，不是因为美观，而是为了代码的安全。

#include "stdafx.h"
#include"windows.h"
#include"stdlib.h"
#include"TCHAR.h"
//头文件，在编译时别忘了审查代码
LPTSTR ReadMBR(BYTE* pMBR,UINT nLen,int Num)
{
LPTSTR errMSG="";
HANDLE hDevice;
TCHAR szDevicename[64];
LPTSTR szBuff;
DISK_GEOMETRY Geometry;
BOOL bRet;
DWORD bytes,bread,count;
char drive;
itoa(Num,&drive,10); //获得硬盘名
wsprintf(szDevicename,"\\\\.\\PHYSICALDRIVE%c",drive); //获得设备句柄，共享读写
hDevice = CreateFile(szDevicename,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING,0,NULL);
/************************解释下createfile这个函数**********************
HANDLE CreateFile(
　　 LPCTSTR lpFileName, //指向文件名的指针
　　 DWORD dwDesiredAccess, //访问模式（写/读）
　　 DWORD dwShareMode, //共享模式
　　 LPSECURITY_ATTRIBUTES lpSecurityAttributes, //指向安全属性的指针
　　 DWORD dwCreationDisposition, //如何创建
　　 DWORD dwFlagsAndAttributes, //文件属性
　　 HANDLE hTemplateFile //用于复制文件句柄
　　);
具体参数大家百度吧：http://baike.baidu.com/view/1288759.htm?fr=ala0_1_1
*******************************************************************/
if(hDevice==INVALID_HANDLE_VALUE)
{
errMSG="the device open error";
exit(1);
}
/****************************下面简单说明下deviceiocontrol这个函数******************************
BOOL DeviceIoControl( HANDLE hDevice, DWORD dwIoControlCode, LPVOID lpInBuffer, DWORD nInBufferSize, LPVOID lpOutBuffer, DWORD nOutBufferSize, LPDWORD lpBytesReturned, LPOVERLAPPED lpOverlapped );
参数表
　　参数类型及说明
　　hDevice Long，设备句柄
　　dwIoControlCode Long，带有 FSCTL_ 前缀的常数。参考设备控制选项的部分列表
　　lpInBuffer Any，具体取决于dwIoControlCode参数。参考设备控制选项的部分列表
　　nInBufferSize Long，输入缓冲区的长度
　　lpOutBuffer Any，具体取决于dwIoControlCode参数。参考设备控制选项的部分列表
　　nOutBufferSize Long，输出缓冲区的长度
　　lpBytesReturned Long，实际装载到输出缓冲区的字节数量
　　lpOverlapped OVERLAPPED，这个结构用于重叠操作。针对同步操作，请用ByVal As Long传递零值
*****************************************************************************/
DeviceIoControl(hDevice,FSCTL_LOCK_VOLUME,NULL,0,NULL,0,&count,NULL); //锁定硬盘
DeviceIoControl(hDevice,IOCTL_DISK_GET_DRIVE_GEOMETRY,NULL,0,&Geometry,sizeof(DISK_GEOMETRY),&count,NULL);
szBuff = (LPSTR)HeapAlloc(GetProcessHeap(),HEAP_ZERO_MEMORY,Geometry.BytesPerSector);
if(szBuff==NULL)
{
errMSG="Allocate memory errors";
exit(1);
} //读取硬盘数据控制码
bytes=512; //读硬盘头512字节，mbr所在位置
bRet = ReadFile(hDevice,szBuff,bytes,&bread,NULL);
if(bRet==FALSE||bread<512)
{
errMSG="Reading mbr error";
exit(1);
}
for(int n=0;n<512;n++)
{
pMBR[n]=szBuff[n];
}
//解锁硬盘，释放句柄
DeviceIoControl(hDevice,FSCTL_UNLOCK_VOLUME,NULL,0,NULL,0,&count,NULL);
CloseHandle(hDevice);
return errMSG;
}
//以上完成了读mbr，通过对代码的分析，相信大家明白了读取mbr有多简单了吧。
void WriteMBR(BYTE *pMBR,UINT nLen,int Num)
{
HANDLE hDevice;
char drive;
DWORD bread,count;
TCHAR szDeviceName[64];
DISK_GEOMETRY Geometry;
itoa(Num,&drive,10);
wsprintf(szDeviceName,"\\\\.\\PHYSICALDRIVE%c",drive);
hDevice = CreateFile(szDeviceName,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING,0,NULL);
if(hDevice==INVALID_HANDLE_VALUE)
{
printf("the device open error\n");
exit(1);
}
DeviceIoControl(hDevice,FSCTL_LOCK_VOLUME,NULL,0,NULL,0,&count,NULL);
DeviceIoControl(hDevice,IOCTL_DISK_GET_DRIVE_GEOMETRY,NULL,0,&Geometry,sizeof(DISK_GEOMETRY),&count,NULL);
if(WriteFile(hDevice,pMBR,512,&bread,NULL)==TRUE)
{
printf("write ok\n");
}
else
{
printf("write error\n");
}
DeviceIoControl(hDevice,FSCTL_UNLOCK_VOLUME,NULL,0,NULL,0,&count,NULL);
CloseHandle(hDevice);
}
//这是写mbr，和读mbr差不多，理解起来也不是那么难吧！
//我们就来测试一下：
void main( )
{
BYTE MBR[512];
ReadMBR(MBR,512,0);
LPTSTR path="d:\\mbr.dat";
FILE *fp;
if((fp=fopen(path,"wb+"))!=NULL)
{
fwrite(MBR,1,512,fp);
fclose(fp);
printf(" 读取成功在mbr.dat\n");
}
else
{
printf("creat file false!\n");
}
} //主函数完成读mbr

复制代码

可以看到生成的文件为512kb，是符合我们的设计要求的，也就读出了mbr。

2）第二种方法，也是最头疼，这次病毒用到的方法，个人在研究中，但貌似屁都不懂，还是拿出来随便说说吧：

Disk.sys驱动封装和setwinEventhook()技术，它完全取代了刚才所使用的上层api createfile()函数，它们直接操纵了用户底层，可以随意穿透hips，它发送irp来执行读写操作

首先ld.exe 在系统重启后完场自删除，将可执行文件1.tmp文件放入我们熟悉的%temp%中然后运行，第二个程序在用户层下感染mbr组件，创建\readharddisk不存在设备，当安装1.Tmp时，文件ld.exe以参数cp 2.tmp运行，文件ld.exe 复制到2.tmp中，user32.dll 是被ld.exe 所读取的，并执行。同时检测setwineventHook()的前5个字节是否与磁盘相匹配，过滤api (在一些安全软件中，SetWinEventHook函数会被hips和安全程序hook掉），这个特殊的过滤API函数将DLL文件注入到explorer进程的文件中，此安装文件将会调用SetWinEventHook所需的3个重要传递参数：explorer.EXE id,2.mp,dll文件路径和导出例程wep()指针。这样rootkit就完全运行在explorer.exe中了。

剩下的注册表和开启服务功能，然后感染mbr ，删除自身所有文件和服务。但这部分我还没搞懂，大家能理解过程就行了，和一般的内核病毒差不多。