ring3读取MBR

最新推荐文章于 2021-04-26 20:37:53 发布
最新推荐文章于 2021-04-26 20:37:53 发布
阅读量1.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: C/C++学习 内核开发 文章标签: string null byte file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaocaiju/article/details/7580293
本文通过一个C语言示例程序展示了如何使用Windows API函数CreateFile和ReadFile来打开和读取物理硬盘的第一个扇区(即主引导记录,MBR)。程序首先尝试打开物理硬盘,然后读取前512字节,并将读取到的数据以十六进制形式打印出来。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



DWORD dwBytesReturned = 0;
	BYTE bytBuffer_1[512];
	BYTE bytBuffer_2[512];
	CHAR string[2048];
	HANDLE hDevice, hDriver;
	BOOL bRet;

	hDevice = CreateFile("\\\\.\\PhysicalDrive0", GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
		NULL, OPEN_EXISTING, 0, NULL);

	if(hDevice == INVALID_HANDLE_VALUE)
	{
		printf("\nFailed - CreateFile - Open the PhysicalDrive0.\n");
		return 0;
	}

	bRet = ReadFile(hDevice, (LPVOID)bytBuffer_1, 512, &dwBytesReturned, NULL);
	if(bRet == FALSE)
	{
		printf("\nFailed - ReadFile - the first one.\n");
		return 0;
	}
	printf("aaaa");
	Sleep(1000*3);
	printf("\nRead MBR using the ReadFile function...\n");
	printf("- - - - - - - - - - - - - - - - - - - - - - - - - - - -");

	sprintf(string, "\n");

	for(DWORD i = 0; i < 512; i++)
	{
		sprintf(string, "%s %02X", string, bytBuffer_1[i]);

		if(((i + 1) % 16) == 0)
			sprintf(string, "%s\n", string);

		if(((i + 1) % 16) == 8)
			sprintf(string, "%s -", string);
	}

	printf("%s", string);

	printf("- - - - - - - - - - - - - - - - - - - - - - - - - - - -");

打印结果:


MBR表获取与解析
nibiru_holmes的博客
10-09 790
#include #include using namespace std; #define BOOTRECORDSIZE 440 typedef struct _BOOTRECORD { unsigned char BootRecord[BOOTRECORDSIZE]; }BOOTRECORD,*PBOOTRECORD; #define DPTSIZE 64 typedef s
C++ mbr读写
nibiru_holmes的博客
10-16 2302
因为mbr读写比较危险,数据无价,请确保看懂所有代码后再运行调试!!! #include #include /* interfAcer */ /*欢迎访问我的csdn blog http://blog.youkuaiyun.com/nibiru_holmes*/ /*如果没反应请以管理员运行*/ using namespace std; #define BOOTRECORDSIZE 440
C++采用ring3读取MBR实例
09-04
主要介绍了C++采用ring3读取MBR实例,可实现对硬盘的主引导记录的读取,非常具有实用价值,需要的朋友可以参考下
自己实现读写内存API和OpenProcess躲过Ring3层的HOOK(win10 1903)
吾无法无天的博客
03-01 3418
想躲过ring3层的某些API的HOOK,不想恢复钩子,自己写,百度一搜半天都找不到,只能自己动手了... OpenProcess和ReadProcessMemory和WriteProcessMemory都在KernelBase.dll里 NtOpenProcess和NtReadVirtualMemory和NtWriteProcessMemory在ntdll.dll里 用IDA进行逆向即可得...
【收藏】ring3级下直接读写硬盘
晏斐的Blog
08-14 1230
 C代码#include windows.h>#include stdio.h>#pragma comment(lib, "user32.lib");#pragma comment(lib, "kernel32.lib");const UINT uSectorSize  = 512 ;const UINT uBegSector  = 0 ;const UINT uSectorNum  
Ring 3环境下的MBR读写技术实现
标题中的"Ring 3下实现读写MBR代码"涉及到操作系统中关于权限级别和磁盘分区表的编写。下面将详细阐述这些知识点: ### Ring 3Ring 0 在操作系统理论中,Ring 3Ring 0是指处理器的特权级别。现代操作系统,...
Ring 3下实现读写MBR代码.rar
02-17
3. **读取MBR**:在Ring 3环境下读取MBR需要使用系统调用来请求操作系统的服务。例如,在Windows中可以使用`CreateFile`函数打开硬盘设备,然后用`ReadFile`读取MBR内容。在Linux下,可以使用`open`、`lseek`和`read...
手把手教你捕获数据包【数据包的游戏系列之二】 by PiggyXP【小猪】
XmagicX的专栏
09-24 1763
前   言      经常看到论坛有人问起关于数据包的截获、分析等问题,幸好本人也对此略有所知,也写过很多的sniffer,所以就想写一系列的文章来详细深入的探讨关于数据包的知识。我希望通过这一系列的文章,能使得关于数据包的知识得以普及,所以这系列的每一篇文章我都会有由浅入深的解释、详细的分析、以及编码步骤,另外附上带有详细注释的源码(为了照顾大多数朋友,我提供的都是MFC的源码)。不
硬盘MBR信息读取生成文件
09-05
读取本机第一个硬盘的mbr; 将读取mbr信息写入当前目录下的mbr.dat0文件中
ring3层程序调用ring0层API
dasgk的专栏
05-22 2409
我已经写代码
r0下FSD inline hook防删除
03-26 1676
只拦截了Ntfs.sys上的,FastFat同Ntfs。感觉更像是一个inline hook的例子 呵呵 :)引用:/*                By 炉子[0GiNr]                http://hi.baidu.com/breakinglove_                http://0ginr.com*/typedef NTSTATUS (*pfnD
【2021.04.26】API函数的调用过程(Ring3Ring0):下
oalken的博客
04-26 690
内容回顾 在前文讲到,如果CPU支持sysenter/sysexit指令,那么API调用时,会通过sysenter指令进入0环,如果不支持sysenter指令,就会通过中断门进入0环。 默认的中断号:0x2E(IDT表)。 INT 0x2E进Ring0 在IDT表中找到0x2E号的门描述符。 分析CS/SS/ESP/EIP的来源。 分析EIP是什么。 首先来看一下IDT表: 当通过中断门进入0环的时候,对应的就是 804dee00`0008f631,它具体对应哪个门呢?IDT存储了3种门,
终于完成了Ring3下Call PspTerminateProcess
chenhui530的专栏
10-23 2867
出差到现在都即将两个月了,无聊郁闷中,好在昨天晚上成功在Ring3下Call PspTerminateProcess总算是有一份值得高兴得事情了,目前还只支持XP,关于搜索PspTerminateProcess的特征码定位是参考了网络上的一篇文章.目前工作正在移植到DLL中封装成标准函数供VB等语言调用.现在冰刃也可以轻易被结束了^_^. 
mbr利用原理,c++编程分析(简单剖析)重新上图
闲云野鹤的专栏
04-01 1693
http://bbs.kafan.cn/thread-672479-1-1.html   前段时间网上有个感染mbr的病毒,听说很厉害,那么什么是mbr呢,这个可能大家已经有所了解了,我在说具体点:(百度的) MBR(Master Boot Record)就是我们经常说的“硬盘主引导记录”,它是由FDISK等磁盘分区命令写在硬盘绝对0扇区的一段数据,它由主引导程序、硬盘分 区表及
VB6实现Ring3下直接调用Ring0层函数,反一切R3下API Hook。
a1875566250的专栏
05-20 6797
接论坛帖子:http://topic.youkuaiyun.com/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html 例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。 添加Module1 Private asm_CallCode() As Byte, KiFastSystemCall&, KiIntSyst
编程方式读取硬盘信息 - MBR以及各个分区信息
闲云野鹤的专栏
05-08 2525
MBR结构,在数据库恢复中,若要手工填写分区表的话,只注意四个重要的地方,其它的可随便填。 MBR结构,在数据库恢复中,若要手工填写分区表的话,只注意四个重要的地方,其它的可随便填。
MBR 病毒分析
Y_KolaFish_Y的博客
04-10 2928
转载自https://bbs.pediy.com/thread-121861.htm Author:Cryin MBR病毒分析 一、基础知识 1、 Windows启动过程 系统引导过程主要由以下几个步骤组成(以硬盘启动为例) 1、 开机; 2、 BIOS加电自检(POST—Power On Self Test),内存地址为0fff:0000; 3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot...
【2021.04.26】API函数的调用过程(Ring3Ring0):上
oalken的博客
04-26 827
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值