[1.0]剖析MBR

    系统启动过程主要由一下几步组成(以硬盘启动为例):

    1. 开机 :-)
    2. BIOS 加电自检 ( Power On Self Test -- POST )
       内存地址为 0ffff:0000
    3. 将硬盘第一个扇区 (0头0道1扇区, 也就是Boot Sector)
       读入内存地址 0000:7c00 处.
    4. 检查 (WORD) 0000:7dfe 是否等于 0xaa55, 若不等于
       则转去尝试其他启动介质, 如果没有其他启动介质则显示
       "No ROM BASIC" 然后死机.
    5. 跳转到 0000:7c00 处执行 MBR 中的程序.
    6. MBR 首先将自己复制到 0000:0600 处, 然后继续执行.
    7. 在主分区表中搜索标志为活动的分区. 如果发现没有活动
       分区或有不止一个活动分区, 则转停止.
    8. 将活动分区的第一个扇区读入内存地址 0000:7c00 处.
    9. 检查 (WORD) 0000:7dfe 是否等于 0xaa55, 若不等于则

       显示 "Missing Operating System" 然后停止, 或尝试
       软盘启动.
    10. 跳转到 0000:7c00 处继续执行特定系统的启动程序.
    11. 启动系统 ...
以上步骤中 2,3,4,5 步是由 BIOS 的引导程序完成. 6,7,8,9,10
步由MBR中的引导程序完成.

1.主引导扇区结构

  硬盘的0柱面0磁道1扇区称为主引导扇区,其大小为512bytes.由主引导记录MBR(Master Boot Record)和4个分区表DPT(Disk Partition Table)以及2字节的结束标志"55h,AAh"构成.

; MBR( Master Boot Record )主引导记录包含两部分的内容,前446字节为启动代码及数据,而
; 从446(0x1BE)开始则是分区表,分区表由四个分区项组成,每个分区项数据为16字节,记录了
; 启动时需要的分区参数。
;
; 在CPU上电之后,若由硬盘启动,则BIOS将硬盘的主引导记录(位于0柱面、0磁道、1扇区)读
; 入7C00处,然后将控制权交给主引导代码。主引导代码的任务包括:
; (1) 扫描分区表,找到一个激活(可引导)分区;
; (2) 找到激活分区的起始扇区;
; (3) 将激活分区的引导扇区装载到内存7C00处;
; (4) 将控制权交给引导扇区代码;
;  
; 如果主引导代码无法完成上述任务,它将显示以下错误信息之一:
; No active partition.
; Invalid partition table.
; Error loading operating system.
; Missing operating system.

具体结构如下:

+---------+-------+-------------------+

+  Offset  +  Size  +          描述           +

+---------+-------+-------------------+

+  0h       +   446  + MBR的代码和数据  +

+---------+-------+-------------------+

+  1BEh   +   16    + 分区表1的入口地址 +

+---------+-------+-------------------+

+  1CEh   +   16    + 分区表2的入口地址 +

+---------+-------+-------------------+

+  1DEh   +   16    + 分区表3的入口地址 +

+---------+-------+-------------------+

+  1EEh   +   16    + 分区表4的入口地址 +

+---------+-------+-------------------+

+  1FEh   +     2    +  结束标志"55AAh" +

+---------+-------+-------------------+

 

2.MBR的具体实现代码

参考网上的"主引导扇区代码(MBR)"

http://blog.21ic.com/user1/1425/archives/2008/51135.html

;====================================================================
;
; FlyingDragon MBR ( Master Boot Record )
;
; Author : Jack
; History:
; 0.01 - 2005-08-13 19:34 采用传统的CHS磁盘调用
; 0.02 - 2005-08-23 19:44 优先采用扩展磁盘调用
;
; Build  : nasm -f bin MBR.ASM -oMBR.BIN 
;  
;====================================================================================
;
; MBR( Master Boot Record )主引导记录包含两部分的内容,前446字节为启动代码及数据,而
; 从446(0x1BE)开始则是分区表,分区表由四个分区项组成,每个分区项数据为16字节,记录了
; 启动时需要的分区参数。
;
; 在CPU上电之后,若由硬盘启动,则BIOS将硬盘的主引导记录(位于0柱面、0磁道、1扇区)读
; 入7C00处,然后将控制权交给主引导代码。主引导代码的任务包括:
; (1) 扫描分区表,找到一个激活(可引导)分区;
; (2) 找到激活分区的起始扇区;
; (3) 将激活分区的引导扇区装载到内存7C00处;
; (4) 将控制权交给引导扇区代码;
;  
; 如果主引导代码无法完成上述任务,它将显示以下错误信息之一:
; No active partition.
; Invalid partition table.
; Error loading operating system.
; Missing operating system.
;
;====================================================================================
; FAT16分区尺寸与LBA
;====================================================================================
; LBA   HeadsPerCylinder SectorsPerTrack  Maximum Size for Boot Partition
; Disabled 64     32     1GB
; Enabled  255     63     4GB
;
; 为了适应超过8G的硬盘,Windows2000忽略了Start CHS和End CHS,而使用StartLBA和TotalSector    
; 来确定分区在整个磁盘中的位置和大小。
;  
;====================================================================================
;     分区表项结构(16字节)
;====================================================================================
;
; typedef struct _PARTITION_ENTRY
; {
;  UCHAR BootIndicator;  // 能否启动标志
;  UCHAR StartHead;   // 该分区起始磁头号
;  UCHAR StartSector;  // 起始柱面号高2位:6位起始扇区号
;  UCHAR StartCylinder;  // 起始柱面号低8位
;  UCHAR PartitionType;  // 分区类型
;  UCHAR EndHead;   // 该分区终止磁头号
;  UCHAR EndSector;   // 终止柱面号高2位:6位终止扇区号
;  UCHAR EndCylinder;  // 终止柱面号低8位
;  ULONG StartLBA;   // 起始扇区号
;  ULONG TotalSector;  // 分区尺寸(总扇区数)
; }PARTITION_ENTRY,*PPARTITION_ENTRY;
;
;====================================================================================
;    主引导记录(MBR)结构
;====================================================================================
; typedef struct _MASTER_BOOT_RECORD
; {
;  UCHAR    BootCode[446];
;  PARTITION_ENTRY  Partition[4];
;  USHORT    Signature;
; }MASTER_BOOT_RECORD,*PMASTER_BOOT_RECORD;
;
;====================================================================================

BITS   16   ; 生成16位代码而不是32位代码
SECTION  .text   ; 代码段
ORG   0600H  ; 指定程序被装入内存的起始位置

;====================================================================
;
; 宏和常量定义
;
;====================================================================
?     EQU  0  ; NASM不支持DW ?这样的语法,可以使用这样的定义
        ; 模拟,以使代码的可读性更强
ACTIVE_FLAG  EQU  80H  ; 激活(可引导)分区标志
NOT_ACTIVE_FLAG EQU  00H  ; 不激活标志
MBR_MOVE_ADDR EQU  0600H ; MBR先移动自身到该位置然后再运行
BOOT_SIGNATURE EQU  0AA55H ; 启动标志
SEC_SIG_OFF  EQU  01FEH ; 启动扇区的标志位置

;====================================================================
; 分区表项结构偏移
;====================================================================
BootIndicator EQU  0  ; 能否启动标志
StartHead  EQU  1  ; 该分区起始磁头号
StartSector  EQU  2  ; 起始柱面号高2位:6位起始扇区号
StartCylinder EQU  3  ; 起始柱面号低8位
PartitionType EQU  4  ; 分区类型
EndHead   EQU  5  ; 该分区终止磁头号
EndSector  EQU  6  ; 终止柱面号高2位:6位终止扇区号
EndCylinder  EQU  7  ; 终止柱面号低8位
StartLBA  EQU  8  ; 起始扇区号
TotalSector  EQU  12  ; 分区尺寸(总扇区数)

;====================================================================
; 常用的分区类型
;====================================================================
PARTITION_TYPE_EMPTY  EQU  00H ; 空分区
PARTITION_TYPE_FAT12  EQU  01H ; FAT12 ( < 32680 sectors )
PARTITION_TYPE_FAT16  EQU  04H ; FAT16 ( 32680 - 65535 sectors )
PARTITION_TYPE_EXTENDED  EQU  05H ; DOS EXTENDED
PARTITION_TYPE_BIGDOS_FAT16 EQU  06H ; FAT16 ( 33MB - 4GB )
PARTITION_TYPE_NTFS   EQU  07H ; NTFS
PARTITION_TYPE_FAT32  EQU  0BH ; FAT32
PARTITION_TYPE_FAT32_LBA EQU  0CH ; FAT32 LBA
PARTITION_TYPE_FAT16_LBA EQU  0EH ; FAT16 LBA
PARTITION_TYPE_EXTENDED_LBA EQU  0FH ; LBA EXTENDED
PARTITION_TYPE_DYNAMIC_DISK EQU  42H ; Dynamic Disk Volume


;====================================================================
; 主引导记录的入口
;====================================================================
_ENTRY_POINT:
 
 ; 初始化相关寄存器及标志位
 CLI      ; 先关掉中断
 CLD      ; 方向为向前递增
 XOR  AX,AX   ; AX = 0
 MOV  DS,AX   ; 设置数据段寄存器 DS:SI
 MOV  ES,AX   ; 设置附加段寄存器 ES:DI
 MOV  SS,AX   ; 设置堆栈段寄存器
 MOV  BP,7C00H  ; 设置基址寄存器
 MOV  SP,BP   ; 设置堆栈栈顶
 
 ; 将MBR代码移动到0600H处
 MOV  SI,BP   ; SI = 7C00H
 MOV  DI,MBR_MOVE_ADDR; DI = 0600H
 MOV  CX,512   ; 待移动的字节数
 REP  MOVSB 
 JMP  0:.RealStart

; 真正开始   
.RealStart:

 ; 保存引导驱动器号
 MOV  BYTE [ DriveNumber ] , DL
 
 ;====================================================================  
 ; 检查是否支持磁盘中断INT 13H的扩展
 ;====================================================================
 MOV  AH,41H
 MOV  BX,055AAH
 INT  13H
 JC  .LookupActive   ; 如果失败,进位标志为1
 MOV  BYTE[DiskExtension],01H ; 设置支持磁盘扩展标志

.LookupActive:
 
 ; 查找激活分区
 MOV  BP,PartitionTable   ; 指向分区表
 MOV  BL,4      ; 最多4个分区

;检查激活分区 
.CheckNext: 

 CMP  BYTE [BP+BootIndicator],ACTIVE_FLAG  ; 检查该分区是否激活
 JZ  .FoundActive       ; 找到激活分区
 CMP  BYTE [BP+BootIndicator],NOT_ACTIVE_FLAG ; 检查该分区是否激活 
 JNZ  .InvalidTable       ; 无效值
 ADD  BP,10H         ; 指向下一个分区表项
 DEC  BL
 JZ  .NoActive        ; 没有找到激活分区
 JMP  .CheckNext

;找到了激活分区
.FoundActive:

 ; 保存分区表项
 MOV  AL,4
 SUB  AL,BL      ; AL = 4-BL = 第一个激活分区表项索引(0-3)
 MOV  BYTE [ActivePartition],AL ; 保存激活分区表项索引
 MOV  DI,BP      ; DI = 激活分区项
 MOV  DH,BYTE[BP+StartHead]  ; 该分区起始磁头号
 MOV  CL,BYTE[BP+StartSector]  ; 起始柱面号高2位:6位起始扇区号
 MOV  CH,BYTE[BP+StartCylinder] ; 起始柱面号低8位
 
 ; 保存起始扇区号
 MOV  AX,WORD[BP+StartLBA+2]
 MOV  WORD[DAP_SECTOR_LOW+2],AX 
 MOV  AX,WORD[BP+StartLBA]  
 MOV  WORD[DAP_SECTOR_LOW],AX 
 
; 检查确信只有一个激活分区 
.Recheck:     
 ADD  BP,10H      ; 指向下一个分区项
 DEC  BL
 JZ  .LoadBootSector    ; 装载该分区的引导扇区
 CMP  BYTE [BP+BootIndicator],NOT_ACTIVE_FLAG ; 检查该分区是否激活 
 JNZ  .InvalidTable    ; 无效值
 JMP  .Recheck

; 装载激活分区的引导扇区 
.LoadBootSector:
 
 ; 设置驱动器号
 MOV  DL,BYTE [DriveNumber]
 
 ; 检查是否支持扩展磁盘调用
 CMP  BYTE [DiskExtension],01H
 JNZ  .NoDiskExtension
 
 ; 使用扩展磁盘调用读取引导扇区
 ; 
 ; INT 13H 
 ;  AH = 42H
 ;  DL = Drive Number
 ;  DS:SI = 指向磁盘地址包的指针
 ;
 MOV  SI,DAP_PACKET_SIZE
 MOV  AH,42H
 INT  13H
 JC  .ErrorLoadOS
 JMP  .CheckBootSector

.NoDiskExtension: 
 ;====================================================================
 ; 
 ; INT 13H 
 ;  AH = 2        柱面号:0 - 1023
 ;  AL = 要读取的扇区数     磁头号:0 - 255   
 ;  CH = 柱面号低8位     扇区号:1 - 63 
 ;  CL = 柱面号高2位 : 6位扇区号  
 ;  DH = 磁头号
 ;  DL = 驱动器号
 ;  ES:BX = 缓冲区
 ;
 ;====================================================================

 ; 读取引导扇区 
 MOV  BX,7C00H
 MOV  AX,0201H
 INT  13H
 JC  .ErrorLoadOS
 
; 检查引导扇区是否合法 
.CheckBootSector: 
 
 ; 装载引导扇区成功,检查引导标志
 MOV  BX,7C00H
 CMP  WORD [BX+SEC_SIG_OFF], BOOT_SIGNATURE  ; 检查引导标志
 JNZ  .MissingOS     
 
 ; 准备跳转到激活扇区的引导扇区代码
 ; DL = 磁盘驱动器号
 ; DH = 激活分区号
 ; DI = 激活分区项
 MOV  DL,BYTE [DriveNumber]
 MOV  DH,BYTE [ActivePartition]
 JMP  0:7C00H

; 没有激活分区
.NoActive: 
 MOV  SI,MsgNoActive
 CALL ShowMessage
 JMP  .Hang
 
; 无效分区表
.InvalidTable:
 MOV  SI,MsgPartitionTable
 CALL ShowMessage
 JMP  .Hang
 
; 装载引导扇区失败
.ErrorLoadOS:
 MOV  SI,MsgLoadingOS
 CALL ShowMessage
 JMP  .Hang
 
; 引导扇区不合法
.MissingOS:
 MOV  SI,MsgMissingOS
 CALL ShowMessage

.Hang:
 JMP  .Hang

 
;====================================================================
;
; 显示一个字符串
; 输入:
;   DS:SI  = 字符串的起始地址(以NULL结束)
;   
;====================================================================
ShowMessage:
 LODSB    ; AL = DS:[SI] SI = SI+1
 OR  AL,AL    ; 检测是否遇到NULL字符串
 JZ  .ShowEnd
 MOV  AH,0EH
 MOV  BX,07H
 INT  10H
 JMP  ShowMessage

.ShowEnd:
 RET 
 
 
;====================================================================
; 调试例程
;====================================================================

%IFDEF DEBUG 
 
;====================================================================
;
; 显示一个字符
; 输入: AL = 待显示字符
;
;====================================================================
PrintChar:
 PUSH AX
 PUSH BX
 MOV  AH,0EH
 MOV  BX,7
 INT  10H
 POP  BX
 POP  AX
 RET
 

 
;====================================================================
;
; 显示16进制的值(将一个BYTE变为两个ASCII字符打印出来,用于调试)
; 输入: AL = 待显示的字节
;
;====================================================================
PrintByte:
 PUSH BX
 MOV  BH,AL
 
 ; 显示高4位
 SHR  AL,4
 AND  AL,0FH
 ADD  AL,30H
 CMP  AL,39H
 JLE  .PrintIt
 ADD  AL,07H
.PrintIt: 
 CALL PrintChar

 ; 显示低4位 
 MOV  AL,BH
 AND  AL,0FH
 ADD  AL,30H
 CMP  AL,39H
 JLE  .PrintItAgain
 ADD  AL,07H
.PrintItAgain 
 CALL PrintChar
 POP  BX
 RET

%ENDIF ; DEBUG

;====================================================================
; 数据区
;====================================================================
MsgNoActive     DB  "No active partition.",00H
MsgPartitionTable   DB "Invalid partition table.",00H   
MsgLoadingOS    DB "Error loading operating system.",00H
MsgMissingOS    DB "Missing operating system.",00H

;====================================================================
;临时数据
;====================================================================
DriveNumber     DB 00H ; 启动磁盘启动器号
ActivePartition    DB 00H ; 激活分区表索引(0-3)
DiskExtension    DB 00H ; 是否支持磁盘扩展调用

;====================================================================  
; 扩展磁盘服务所使用的地址包
;====================================================================
DAP_PACKET_SIZE    DB 10H  ; 包的大小为16字节
DAP_RESERVED1    DB 00H  ; 保留字节
DAP_READ_SECTORS   DB 01H  ; 要处理的扇区数(1 - 127 )
DAP_RESERVED2    DB 00H  ; 保留字节
DAP_BUFFER_OFF    DW 7C00H ; 缓冲区偏移
DAP_BUFFER_SEG    DW 0000H ; 缓冲区段地址
DAP_SECTOR_LOW    DD 0000H ; 起始扇区号的低32位
DAP_SECTOR_HIGH    DD 0000H ; 起始扇区号的高32位

;====================================================================
; 填充字节
Padding TIMES 440-($-$$) db  00H
;====================================================================

;====================================================================
; 标志字节
;====================================================================
UniqueMbrSignature   DD 4B43414AH
UnknownWord     DW 00H

;====================================================================
; 分区表(偏移为446)
;====================================================================
PartitionTable TIMES 64  DB 00H

;====================================================================
; 扇区最后的标记字节(NASM不支持重复ORG)
;====================================================================
BootSignature    dw 0AA55H


;====================================================================
; 代码结束
;====================================================================


3.MBR病毒感染

从上面可以看出.

MBR的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行.

并且通过检测某些标志位,来确定是否显示一些错误的信息.

其实这部分MBR的代码,我们也可以自己编写,只要完成上述功能即可.某些多余的字节码,可以用来实现更多邪恶的思想.比如 stoned bootkit;

 

DOS时代需要通过软盘启动系统,那个时候一个被感染MBR病毒的软盘,插入软驱,启动系统时,执行的过程大概如下:

1.用户从一个被感染了的软盘启动,然后病毒得到执行.

2.病毒将保存原来的MBR,然后将MBR部分替换为病毒自身.

3.然后病毒会跳转到 original MBR部分,系统继续运行,而病毒就存留在系统中了..

 

所以MBR病毒感染的基本思想,首先是读取主引导记录和把分区表从主引导记录中复制出来。然后,MBR病毒把自己的包含恶意二进制数据的主引导记录放到主引导扇区,并复制新的分区表到它。但是,并非只有分区表需要保留,还有微软公司原来的主引导记录也需要保存下来。为此,MBR病毒复制原始主引导记录到其它64个未用到的扇区。到MBR病毒执行完自己的操作后在读取原始的主引导记录并跳到0x7c00处执行来引导开机。

 

那这样检测和恢复MBR其实也很简单了,只要dump出系统硬盘的MBR,然后和正确的MBR对比,若符合之,则没有被感染,若不符合,不匹配,则认为其MBR是被病毒修改过了.要恢复MBR,可以使用dos下的fdisk,也可以自己实现,将正确的MBR写入.

转载于:https://www.cnblogs.com/Tbit/archive/2010/10/28/1863654.html

你可能感兴趣的:(操作系统)