Доброго времени суток Уважаемые форумчане.
Недавно наткнулся на интересный экземпляр вируса который смог из под винды изменить мне MBR
Как было дело. Скачал файлик, знал что троян, но все равно нажал) Мелькнуло черное окошко, комп перезагрузился, далее при загрузке you have been pwned by oleg komarnitsky ) Почему пишу в этом разделе потому что полагаю что именно здесь собрались люди которые досканально понимают такие аспекты, и это как никк связано с изменением загрузчика.. То есть как удалось программе из под винды изменить бут сектор и получить управление при загрузке на себя?
Заранее спасибо

А>загрузчика.. То есть как удалось программе из под винды изменить бут сектор и получить управление при загрузке на себя?
А в чем проблема, если админские права имеются? Открываешь диск и пишешь че хошь куда хошь

Здравствуйте, ononim, Вы писали:

А>>загрузчика.. То есть как удалось программе из под винды изменить бут сектор и получить управление при загрузке на себя?
O>А в чем проблема, если админские права имеются? Открываешь диск и пишешь че хошь куда хошь

эм.. в 7c00h нельзя писать, мы же пишем все равно апи функциями винды через драйвер минипорта.. как это сделать? может быть я чего то недопонимаю, недавно начал изучать данный вопрос

А>эм.. в 7c00h нельзя писать, мы же пишем все равно апи функциями винды через драйвер минипорта.. как это сделать? может быть я чего то недопонимаю, недавно начал изучать данный вопрос
Все верно. И апи функции винды позволяют писать на диск на физическом уровне, если прав достаточно

Здравствуйте, ononim, Вы писали:

А>>эм.. в 7c00h нельзя писать, мы же пишем все равно апи функциями винды через драйвер минипорта.. как это сделать? может быть я чего то недопонимаю, недавно начал изучать данный вопрос
O>Все верно. И апи функции винды позволяют писать на диск на физическом уровне, если прав достаточно

а область разве не ограничена? пробовал и результат программа просто не работает.. другие блоки лиска пишет нормально..
может быть вирус инсталирует драйвер и инжектиться в драйвер минипорта неспордственно используя его привелегии?

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, ononim, Вы писали:

А>>>эм.. в 7c00h нельзя писать, мы же пишем все равно апи функциями винды через драйвер минипорта.. как это сделать? может быть я чего то недопонимаю, недавно начал изучать данный вопрос
O>>Все верно. И апи функции винды позволяют писать на диск на физическом уровне, если прав достаточно

А>а область разве не ограничена? пробовал и результат программа просто не работает.. другие блоки лиска пишет нормально..
А>может быть вирус инсталирует драйвер и инжектиться в драйвер минипорта неспордственно используя его привелегии?
Ага, а заодно на балалайке играет и автору минет делает. Аффтар, не тупи, CreateFile() на \\.\PhysicalDrive0 и пиши что хошь...

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, ononim, Вы писали:

А>>>загрузчика.. То есть как удалось программе из под винды изменить бут сектор и получить управление при загрузке на себя?
O>>А в чем проблема, если админские права имеются? Открываешь диск и пишешь че хошь куда хошь

А>эм.. в 7c00h нельзя писать, мы же пишем все равно апи функциями винды через драйвер минипорта.. как это сделать? может быть я чего то недопонимаю, недавно начал изучать данный вопрос

А кто сказал, что именно из под Винды? Запросто мог извлеч из ресурсов exe-шника и запустить на исполнение com-файл. На асме несколькими строками кода MBR переписывается.

Здравствуйте, irrona, Вы писали:

I>А кто сказал, что именно из под Винды? Запросто мог извлеч из ресурсов exe-шника и запустить на исполнение com-файл.
Сам то понял что сказал?

Ну, если не вдаваться в подробности:
1) малварка извлекает из ресурсов com файл
2) запускает его. Винда видя такое дело создает виртуальную машину ntvdm с DOS ом и запускает программу в ней
3) прога лезет к диску через DOS функции
4) далее вопрос переходит в раздел узкоспециальных — как отреагирует виртуальная машина? Чисто принципиально, она может и тупо выполнить, то, что ее попросили, т.е подфиксить MBR. На счет MBR я не уверен, но вот как вариант обходя всяких HIPS защит для дропа файла — вполне себе пригодный варинт.

CC>Сам то понял что сказал?
Сам то понял, над чем посмеялся?

А>4) далее вопрос переходит в раздел узкоспециальных — как отреагирует виртуальная машина? Чисто принципиально, она может и тупо выполнить, то, что ее попросили, т.е подфиксить MBR. На счет MBR я не уверен, но вот как вариант обходя всяких HIPS защит для дропа файла — вполне себе пригодный варинт.
ntvdm не даст прямого доступа к HDD.

Здравствуйте, <Аноним>, Вы писали:

А>Ну, если не вдаваться в подробности:
А>1) малварка извлекает из ресурсов com файл
А>2) запускает его. Винда видя такое дело создает виртуальную машину ntvdm с DOS ом и запускает программу в ней
А>3) прога лезет к диску через DOS функции
А нахрена такие извраты в зоопарке если можно лезть прямо из виндовой программы?

А>4) далее вопрос переходит в раздел узкоспециальных — как отреагирует виртуальная машина? Чисто принципиально, она может и тупо выполнить, то, что ее попросили, т.е подфиксить MBR. На счет MBR я не уверен, но вот как вариант обходя всяких HIPS защит для дропа файла — вполне себе пригодный варинт.
Обломится DOS VM. Нет из под VM прямого доступа к железу, особенно через int 13h

CC>>Сам то понял что сказал?
А>Сам то понял, над чем посмеялся?
Над тем, что человек не понимает как это всё в винде работает.

CC>А нахрена такие извраты в зоопарке если можно лезть прямо из виндовой программы?
Всякие фаерволы-хипсы-антивирусы любят анализировать NtCreateFile и очень радуются, когда видят там обращение к физическому диску.

CC>Обломится DOS VM. Нет из под VM прямого доступа к железу, особенно через int 13h
Это зависит от реализации гипервизора ВМ, который будет обрабатывать виртуальные прерывания. Файловые операции вполне себе проходят. Если инженеры из MS не дали доступ к MBR — дао будет к ним благосклонно. Если дали — дао будет благосклонно к интрудерам. В целом — ничего не меняется.

CC>>Обломится DOS VM. Нет из под VM прямого доступа к железу, особенно через int 13h
А>Это зависит от реализации гипервизора ВМ, который будет обрабатывать виртуальные прерывания. Файловые операции вполне себе проходят. Если инженеры из MS не дали доступ к MBR — дао будет к ним благосклонно. Если дали — дао будет благосклонно к интрудерам. В целом — ничего не меняется.
ntvdm не дает прямого доступа к HDD. Ни к MBR ни к какой либо другой области.
А файловые операции транслируются в NTшные вызовы и все дела.

O>ntvdm не дает прямого доступа к HDD. Ни к MBR ни к какой либо другой области.
O>А файловые операции транслируются в NTшные вызовы и все дела.

ну так транслируются же? По большому счету, ntdll тоже не дает доступа к диску, а все NT запросы транслируются в команды драйверу диска. Да и тот, мерзавец, врядли сам умеет с диском работать, небось еще куда нибудь переправит....

Здравствуйте, Аноним, Вы писали:

А>Доброго времени суток Уважаемые форумчане.
А>Недавно наткнулся на интересный экземпляр вируса который смог из под винды изменить мне MBR
А>Как было дело. Скачал файлик, знал что троян, но все равно нажал) Мелькнуло черное окошко, комп перезагрузился, далее при загрузке you have been pwned by oleg komarnitsky ) Почему пишу в этом разделе потому что полагаю что именно здесь собрались люди которые досканально понимают такие аспекты, и это как никк связано с изменением загрузчика.. То есть как удалось программе из под винды изменить бут сектор и получить управление при загрузке на себя?
А>Заранее спасибо

Love HDD by Vas
Win32 | MASM | 3.68 kb
Можно Всё! Кота Не Трогай!
"Программа демонстрирует низкоуровневое обращения к винчестеру с помощью стпндартного API из usermode. Автор программы обладает определённым чувством юмора, поэтому демонстрация происходит посредством стирания содержимого из первых 4000 секторов на диске C, так что собственно компилировать и запускать программу не рекомендуется."
http://wasm.ru/baixado.php?mode=src&amp;id=343