Vorweg: es geht nicht um einen Virus, im Gegenteil. Mein Code prüft den Hash des zu schreibenden MBRs (des Code-Anteils darin) gegen eine Liste von bekannten MBRs, bzw. akzeptiert noch solche, die als Teil eines gültig von MS signierten diskpart.exe, dmadmin.exe, etc. kommen, keine anderen.

Meine Frage: wie kann ich den MBR etwa von \\.\PhysicalDrive0 überschreiben? Ein einfaches CreateFile wie zum Lesen hilft scheinbar nicht. Wo ist der Fehler in meinem Code (weiter unten, keine Fehlermeldungen oder Exceptions vom System)?

Der Hintergrund: ein kleines Tool, das ich die letzte Woche geschrieben habe, zeigt mir Platteninhalte direkt vom Gerät, aber auch einfach nur den jeweiligen MBR, von einem Device oder aus einer Datei, an. Der komplette MBR-Inhalt wird strukturiert angezeigt, disassembliert, dazu kommen etwa SMART-Infos u.ä..

Nun will ich aber ein MBR-Restore einbauen, d.h. dem Benutzer die Möglichkeit geben, einen Original-MBR wiederherzustellen. Die Copyright-Frage umgehe ich, indem ich diesen in Betriebssystemdateien auffinde und von dort kopiere.

Mein Ansatz: zuerst den Lesecode kopiert und auf Schreiben umgebaut, d.h. ein TFileStream z.B. auf \\.\PhysicalDrive0, die ersten 512 Byte auslesen (sektorweise halt), im Ausgelesenen die ersten 440 Byte ersetzen (um Partitionstabelle und alles danach zu erhalten) und dann alles zurückzuschreiben.

Funktioniert super, wenn ich als Ziel eine Datei angebe, aber nicht mit \\.\PhysicalDrive0.

Ich bin dann auf CreateFile/ReadFile/WriteFile umgestiegen, das funktioniert aber auch nicht.

Self ist jeweils ein Stream, der den zu schreibenden Code enthält, MasterBootRecordCodeSize eine Konstante mit der Größe der Code-Anteils (440).

Erschwerend kommt hinzu, daß dieser Code keinerlei Fehler liefert (war schon mit etlichen Debugausgaben gespickt).

Testen tue ich u.a. auf einer frischen XP-VM, d.h. die erschwerten Schreibbedingungen von Vista & höher treffen hier nicht zu, und, da ganz frisch, auch kein hinderndes Antivirenprogramm.
Die ShowMessage waren bereits drin, genauso wie weitere, die positive Ergebnisse zeigen sollten. Alle Calls liefern True.

PS: Die Suchfunktion habe ich natürlich schon bemüht, auch ein ähnliches Thema gefunden, aber keine Antwort auf genau diese Frage.

Schau mal nach ob Dein BIOS einen Kopierschutz auf den ersten Sektor oder die erste Spur realisieren kann.
Sollte es da nichts geben, dann versuch doch mal im zweiten dritten.. Sektor die Daten zu schreiben.
Hast Du vielleicht eine Partition in de du "üben" kannst?

Gruß
K-H

Ich habe mal ein Programm geschrieben, mit dem man Diskimages erstellen und zurück schreiben kann. Ich habe es damals nur mit Disketten getestete, aber es sollte auch mit Festplatten funktionieren. http://www.michael-puff.de/Programmi...lphi/Programme -> DiskImageNT.zip eventuell kannst du dir das mal angucken und es hilft dir.

Für einen direkten Schreibzugriff auf Festplatten braucht man, im Gegensatz zum billigen Zugriff auf Disketten oder Speichersticks, gewisse Rechte.

Außerdem steht in Win7 die Systempartition/Systemplatte unter einem erweitertem Schutz.

Und dann gibt es keine Fehlermeldung?

Gruß
K-H

Wieso sollte es?
Du wertest z.B. die Rückgabewerte vom CreateFile auch nicht aus.

Also ich würde einen THandleStream mit der CreateFile() Funktion kombinieren.
Das ergibt die volle Kontrolle beim Öffnen des Diskdevive mit dem einfachen Handling eines TStream-Objekts.

Ansonsten ist es wohl so, dass der MBR durch Windows geschützt wird und man besondere Anstrengungen unternehmen muss um ihn zu ändern.

Erstmal vorab vielen Dank für alle Antworten

@p80286: klar habe ich eine Übungspartition - ich teste das alles mit VMWare 8 (XP) in einer virtuellen Maschine. Gute Idee, das mit dem Kopierschutz, habe leider im VMWare-Bios keinen gefunden.

@Luckie: großartig, danke! Auch wenn Du da mit Volumes arbeitest, weswegen es mir hier konkret nicht hilft - das kann ich später sicher nochmal als Referenz gebrauchen (Bootsektoren und Teile des NTFS-Dateisystems kann der Code auch schon lesen, aber da hab ich mich ums Schreiben noch gar nicht kümmern können bisher, und in der GUI isses noch lange nicht).

@himitsu, sx2008: In Sachen Rechte hatte ich das hier im MSDN gefunden:
Um ein Volume-Handle handelt es sich nicht, aber der Bootsektor bei Volumes wird lockerer gehandhabt, und ich habe auch zu Disk-Handles (ich glaube sogar hier im Forum) gelesen, daß man ausgerechnet da einfacher drauf schreiben darf. Siehe auch da oben: fällt nicht in den Bereich eines Volumes.

Unter XP ein Admin, unter Win7 ein Admin mit dem Programm elevated ist natürlich selbstverständlich, das Manifest passt entsprechend. Unter Win7 bekomme ich auch noch ein Access Denied, aber solange es unter XP nicht läuft, muss ich da erstmal nicht ran (denke ich?).

@himitsu: stimmt, ich werte den Rückgabewert von CreateFile nicht aus. War aber auch nur der alternative Ansatz, im TFileStream-Mopped gäbe es ja False als Rückgabewert, und die Handle-Variante hätte spätestens beim ReadFile einen Error, wenn das CreateFile scheitern würde. Egal, habe das mal nachgeholt.

@sx2008: THandleStream? Oh, der ist mir neu, was für ne praktische Sache!

Habe das ganze als dritte Alternative nun auch noch mit THandleStream geschrieben:

Nachtrag (ich will das oben jetzt nicht löschen, weil es für den nächsten suchenden evtl. noch hilfreiche Informationen enthält):

Wie so oft im Leben lag das Problem viel einfacher. Im Code, in dem Quelle und Ziel übergeben werden, hatte ich indirekt letztendlich mit Ziel=Quelle gearbeitet. Klar, daß das ohne Fehler gutging, sich aber der eigentliche MBR nicht verändert hat.

Ich such mir mal ne Ecke zum schämen, und bedanke mich
Und ich muss mir echt den Remote Debugger mal wieder angewöhnen, irgendwie steckt mir noch in den Knochen, daß der (D2006-geschädigt) eh nicht funktionierte.