MBR病毒分析

样本行为：

1、样本运行后，会直接获取\\.\PhysicalDrive0的句柄，从第1扇区(偏移为0x0)读取大小为200字节的内容写入到第3扇区(偏移为0x400)中。其目的应该在输入正确密码后，重新恢复原有第1扇区的信息。

2、往第1扇区(偏移为0x0)中写入大小为200字节的MBR敲诈信息（即重启后的开机界面，需要输入正确的密码才能恢复第1扇区）

3、在创建输入密码界面的时候，则会不停的遍历进程比对来实现结束掉任务管理器进程taskmgr.exe，主要是为了守护样本进程防止被任务管理器结束掉。

写入第3扇区 -----00403354  |.  E8 FA040000   call 复件_123.00403853

往第1扇区写入MBR敲诈信息 -----00403367  |.  E8 E7040000   call 复件_123.00403853

0012F8E4   001D26D0  ASCII "YDBFY5U69MGNSIYD"