[讨论]关于拦截ntldr的问题 ntldr, 讨论

虚竹

[讨论]关于拦截ntldr的问题
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：cjc

我想把一个软件在windows系统中一次安装，实现永久驻留（不包括从新分区的情况），重新安装操作系统，我的程序仍然可以存在并重新自动安装到操作系统中。

我的主要思路是：
  1、把我的程序写入硬盘的0磁道，因为这里是操作系统管理的真空地带。  
  2、分析系统启动的顺序：bios int19h 读mbr ，mbr读dbr，dbr加载ntldr，ntldr读boot.ini、ntdetect.com、ntoskrnl.exe

    等文件。
  3、把原主引导记录备份到002扇区，把修改过的主引导记录写入001扇区，系统启动的时候获得系统的控制权，主要是hook int13h中断，在dbr加载ntldr文件的时候，再次进行hook 操作取得系统控制权，然后hook ntoskrnl.exe的加载。
  4、ntoskrnl.exe运行的过程中加载我保存在0磁道上的安装程序，实现程序的永久驻留。
  我现在遇到的问题是：
  无法找到ntldr在加载过程中的需要hook的特征码。
  希望论坛的牛人们，可以给小弟提供解决的办法。
帖子1 精华0 积分6 阅读权限40 在线时间1 小时