-
пример чего?
что на FAT влегкую правится ntldr?
или что заменив его кодом на асме под дос можно влегкую добратся до MBR, а после подгрузить ntldr и позволить ситеме грузится далее?
ЗЫ задача не ставилась перехвата драйверов в системе, требовалась интеграция в MBR из под обычного пользователя (для выполнения опр действий до загрузки системы), и подчистка за собой следов (востановление ntldr).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Bratez
Как выясняется, "началось" еще почти за два месяца до того - вот:
http://www.virusinfo.info/showthread.php?t=14746
-
-
Virtual
ну выложи бинарник который из под винды патчит-заменяет ntldr
и после ребута пусть напишет ченить ну и потом винду грузит
-
[500mhz] ну зачем это вам?
.или сомневаетесь что реально записать в ntldr? (попробуйте удалить его если смогли то прав хватило) а лучше поменяйте текст по смещению 3С848
.или что все это работать будет? (будет еще как, ntldr грузится в память бут загрузчиком и работает в реалмоде, после переключается в защищенный режим и отрабатывает файл защищенного режима /лежит в ntldr по смещению 4D00/)
/MS$ не стали долго мудрствовать и просто залили его туда полностью /
(кстати он вроде проверяется на целостность, но точно не полностью, так что возможен код и в защищенном режиме)
. далее после MBR (1 сектор всего 512байт) есть еще 61сектор совершенно незанятый ничем (тут мс опять о нас позаботилась) туда можно напихать кода по самый небалуй (кстати они не трогаются при формате и фдиске, да и мбр редко перезаписывается, по этой причине приходилось всю первую дорожку нулями заливать, для очистки от древних злыдней)
ЗЫЗЫ отсюда вывод, береч как я..ы свои, ntldr, MBR сектор, и BOOT загрузчик (вроде около 7ми секторов)