官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 软件安全 】 『脱壳破解区』 Windows 7 PE光盘引导程序逆向之一——引导光盘结构解析
12下一页
返回列表 发新帖
查看: 11545|回复: 12
收起左侧

[原创] Windows 7 PE光盘引导程序逆向之一——引导光盘结构解析

[复制链接]
XuZhenG
XuZhenG 发表于 2010-6-20 21:40
本帖最后由 XuZhenG 于 2010-6-21 13:42 编辑

一、 对于 Windows PE的简单介绍
Windows PE的全称是Windows Preinstallation Environment,即Microsoft Windows 预安装环境,是一个基于保护模式下运行的工具,只拥有较少(但是非常核心)服务的Win32子系统。这些服务为Windows安装、实现网络共享、自动底层处理进程和实现硬件验证。

Windows PE经历了如下主要的发展历程
版本 内核
1.x  Windows XP 或者 Windows Server 2003
2.0  Windows Vista
3.0  Windows 7


二、研究Windows 7 PE光盘引导的软件准备
前段时间,我用Windows AIK (Windows Automated Installation Kit) 制作了一个Windows PE 3.0的ISO镜像(用于制作U盘引导),
现在我又恰好在学习bochs虚拟机调试用于研究系统的启动过程

不妨我们就来用bochs来研究一下WIndows 7 PE(官方的说法是 Windows PE 3.0,我的习惯是WIndows 7 PE,下面均使用WIndows 7 PE的说法)光盘的引导过程
你需要准备的工具是:
1、bochs
2、Windows 7 PE的光盘ISO镜像
3、IDA(当然必不可少强大的静态分析工具)
4、WinHEX 或者其他的 16 进制工具



三、Windows 7 PE 引导记录结构解析

El Torito 标准中给出了不可引导光盘,单引导光盘和多引导光盘的结构(figure 1)
figure1.JPG
figure 1
一般的ISO 一个扇区均为0x800字节 即 2KB
我制作的Windows 7 PE 的ISO里面只有一个可引导的项目,属于单引导光盘


由图可知
第16扇区存放Primary Volume(0x8000-0x87ff)
第17扇区存放Boot Record Volume(0x8800-0x8fff)
其中Primary Volume 与我们的引导没有太大的关系


我们主要分析第17扇区的Boot Record Volume
其中 Boot Record Volume 最前面为Boot Record Volume Descriptor结构(figure 2)
figure2.JPG
figure 2
我们Windows 7 PE ISO的该结构为(figure 3)
figure3.JPG
figure 3
较为有用的字段已经在图中圈出,0x00000013 为指向Boot Catalog存放扇区的Absolute Pointor



我们去第0x13号扇区去查看Boot Catalog结构(0x13 * 0x800 = 0x9800)
BootCatalog是由很多有0x20字节大小的结构组成
(包括
Validation Entry
Initial/Default Entry
Section Header
Section Entry
Section Entry Extension )
BootCatalog 最前面的0x20字节是 Validation Entry结构
结构如下
figure4.JPG
figure 4
Windows 7 PE光盘中对应的数据如下
figure5.JPG
figure 5
紧接这下面的结构是 Initial Entry 结构
figure6.JPG
figure 6
对应的数据
figure7.JPG
figure 7


这里需要解释一下 上面说的 Virtual Sector 的大小是0x200 Bytes
而不是物理的 0x800 Bytes
所以 Sector Count = 0x8 实际上 = 0x200 * 0x8 = 0x1000 Bytes
而下面的LoadRBA = 0x1E  Load Address = 0x1E * 0x800 = 0xF000



上面的计算我们得到真正的引导区代码在0xF000 大小为0x1000 Bytes



我们将在下一节正式开始逆向这些引导区代码


四、结语
通过查询资料,我们找到了光盘的引导区代码存储的位置
     学习的过程中英语阅读能力和搜索能力非常重要……


参考标准
The ISO-9660 File System
http://users.telenet.be/it3.consultants.bvba/handouts/ISO9960.html
“El Torito” Bootable CD-ROM Format Specification
http://bochs.sourceforge.net/techspec/el-torito.pdf.gz

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

ximo
ximo 发表于 2010-6-20 21:43
不错,等wowocock来评论。
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

cjhuen
cjhuen 发表于 2010-6-20 21:43
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
只能说这东西太高深了,不知说啥好
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

a6670110
a6670110 发表于 2010-6-20 22:27
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
来者看看  长见识  了
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

qq20048888
qq20048888 发表于 2010-6-20 22:44
这玩意太深奥了吧。看不懂是什么。
如何快速判断一个文件是否为病毒!
回复 支持

举报

bob123
bob123 发表于 2010-6-20 23:19
这东西,也只能膜拜了。好强悍
回复 支持

举报

ttaa33
ttaa33 发表于 2010-6-20 23:32
路过的,看了此天书,感觉对不起楼主的辛苦
回复 支持

举报

hixiaosheng
hixiaosheng 发表于 2010-6-21 02:43
把硬盘数据学好了,自己就可以开个数据恢复公司了!
回复 支持

举报

XuZhenG
 楼主| XuZhenG 发表于 2010-6-21 12:06
本帖最后由 XuZhenG 于 2010-6-21 12:07 编辑

回复 2# ximo


    还是不用大牛来鉴定了吧……
    我会被强烈BS然后信心爆减……

   话说这个还是为了补作业凑出来的……
回复 支持

举报

nofriend
nofriend 发表于 2010-6-21 17:52
對,這東西不是一般人能夠看的明白
回复 支持

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-5-22 08:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表