久久精品成人免费国产片小草,亚州日韩精品专区久久久,久久综合综合久久97色

為PE文件添加新節(jié)顯示啟動(dòng)信息

病毒并不神秘，也不復(fù)雜。相當(dāng)多的大俠已經(jīng)在這方面作出了杰出的貢獻(xiàn)，例如 29A 組織，我對(duì)他們的崇拜之情啊，真是……咳咳，先別扔雞蛋。其實(shí)我想說(shuō)的是：技術(shù)是一柄雙刃劍，我們應(yīng)該把它運(yùn)用在對(duì)社會(huì)有益的事情上。所以請(qǐng)勿利用本文的代碼進(jìn)行違法違紀(jì)的活動(dòng)，否則本人保留追究的權(quán)利。

本文的技術(shù)其實(shí)早已是老掉牙的東西了，so如果你已經(jīng)懂得了編寫(xiě)病毒的方法，請(qǐng)?zhí)^(guò)本文；如果你對(duì)病毒抱有好奇心，但是還沒(méi)知道怎么編寫(xiě)，那么本文應(yīng)該適合你。??：）

言歸正傳。在 Windows 環(huán)境下，所有的可執(zhí)行文件都是 PE 格式，因此編寫(xiě)病毒最重要的環(huán)節(jié)之一就是對(duì) PE 文件進(jìn)行操作。但是在此我不打算對(duì) PE 格式進(jìn)行講解，請(qǐng)讀者自行參考有關(guān)資料。我只對(duì)我在實(shí)際編寫(xiě)中遇到的難點(diǎn)進(jìn)行分析：

首先，計(jì)算機(jī)病毒之所以叫做病毒，是因?yàn)樗匀唤缰胁《疽粯樱夹枰幸粋€(gè)宿主——它本身是無(wú)法單獨(dú)執(zhí)行的。那么，當(dāng)病毒寄生在宿主上后，怎樣讓它的代碼執(zhí)行呢？我們先來(lái)看一些概念。

PE 的代碼映象分為幾個(gè) SECTION，在文件中會(huì)對(duì)齊頁(yè)邊界（4K）。一般來(lái)說(shuō)，文件會(huì)加載在 400000h 開(kāi)始的空間，而第一個(gè) SECTION 在 401000h 處，同時(shí)入口地址也是 401000h。這個(gè)入口地址 401000h 是怎么計(jì)算出來(lái)的呢？如果你查看 PE 頭的 IMAGE_OPTIONAL_HEADER ，就會(huì)發(fā)現(xiàn)它的 ImageBase 一般是 400000h ，而 AddressOrEntryPoint 一般是 1000h 。 400000 + 1000 = 401000h ，明白了吧？掌握了這一點(diǎn)，我們就可以在 PE 中添加我們自己的新節(jié)，然后把這個(gè)入口地址改成指向新節(jié)的第一條代碼。當(dāng)新節(jié)執(zhí)行完畢后，再把原入口恢復(fù)，這樣一來(lái)就能繼續(xù)執(zhí)行宿主的代碼了。

在幾乎每個(gè) Win32 病毒的開(kāi)頭都有這樣的語(yǔ)句：

????call nStart
nStart:
????popebp
????subebp,offset nStart

這些語(yǔ)句是用來(lái)干嘛的呢？好像是吃飽了飯沒(méi)事干哦……其實(shí)不然。讓我們來(lái)仔細(xì)考慮一下。當(dāng)正常的 PE 程序執(zhí)行時(shí)，它的基址（如前所述）一般是 400000h ，這個(gè)地址會(huì)由操作系統(tǒng)為你重定位，因此總是能保證程序被成功地裝載運(yùn)行。但是，如果我們?cè)?PE 中插入了一段新的代碼，假設(shè)它要從 654321h 處開(kāi)始執(zhí)行，那么事情就沒(méi)有那么簡(jiǎn)單了。因?yàn)樗拗鞒绦虿](méi)有預(yù)料到這段代碼的存在，而操作系統(tǒng)也不可能為你修正這個(gè)偏移。因此我們就要自己進(jìn)行重定位操作。上面的語(yǔ)句就是取得病毒在宿主中的實(shí)際偏移地址。Call 指令實(shí)際上是 push 和 jmp 的組合。當(dāng) call nStart 時(shí)，實(shí)際上是把 call nStart 的下一條指令（也就是pop ebp）的地址壓入堆棧然后 jmp 到 nStart ，由于之前已經(jīng)把 pop ebp 的地址壓入了堆棧，所以當(dāng)真正執(zhí)行到 pop ebp 這條指令的時(shí)候，實(shí)際上就是把 pop ebp 這條指令的地址放到了 ebp 中。這樣就得到了當(dāng)前病毒代碼的真正的偏移地址。這也是病毒中常用的手法。幾乎無(wú)一例外。

接下來(lái)還有一個(gè)關(guān)鍵的問(wèn)題。我們的病毒代碼是附屬在宿主上的，如果要在病毒中使用 API ，則必須首先得到 API 的入口地址。不過(guò)這可不是一件容易的事情啊。為什么這樣說(shuō)呢？讓我們先來(lái)看看下面的代碼：

invoke ExitProcess,0

在經(jīng)過(guò)編譯器的編譯、連接后，它在內(nèi)存中形如：

:00401015????Call0040101A
:0040101A????Jmpdwordptr[00402000]

也就是說(shuō)，ExitProcess 的調(diào)用是通過(guò) Call 0040101A ，而 0040101A 處的代碼是一個(gè) Jmp ，指向 [00402000] ，這個(gè) [00402000] 處儲(chǔ)存的才是真正的 ExitProcess 的入口地址。

為什么要經(jīng)過(guò)那么多周折呢？呵呵，其實(shí)我也不知道。但是我們知道的是，調(diào)用一個(gè) API 實(shí)際上是調(diào)用它在內(nèi)存中的地址。而病毒由于是在宿主編譯完之后才附屬上去的，所以如果病毒要運(yùn)行 API ，則必須自己指定 API 的入口地址。

是不是很煩呢？Hoho，堅(jiān)持一下吧，就快大功告成了。

要得到 API 的入口地址，方法有很多種，例如可以通過(guò)硬編碼，這是比較簡(jiǎn)單的方法，但是它的缺陷是不能在不同的 Windows 版本下運(yùn)行，不過(guò)由于它實(shí)現(xiàn)起來(lái)比較簡(jiǎn)便，因此本文還是采用這種方法。

在同一個(gè)版本的 Windows 下，同一個(gè)核心函數(shù)的入口總是固定不變的（指由 Kernel32， Gdi32， User32 導(dǎo)出的函數(shù)），所以我們就可以利用下面的方法得到 API 的入口：

szDllName????????db????"User32",0
szMessageBoxA????db????"MessageBoxA",0
MessageBoxA_Addr dd????0

invoke GetModuleHandle,addr szDllName
invoke LoadLibrary,addr szDllName
invoke GetProcAddress,eax,addr szMessageBoxA
mov MessageBoxA_Addr,eax

在病毒中我們就可以用 Call MessageBoxA_Addr[ebp] 來(lái)執(zhí)行 MessageBoxA 這個(gè) API 了。

好啦，我已經(jīng)把我認(rèn)為比較重要的難點(diǎn)解釋了一次了，如果你還有什么不清楚的地方，歡迎給我來(lái)信。lcother at 163 dot net

下面我給出了一個(gè)例子程序，它的作用是為 PE 文件添加一個(gè)新節(jié)以顯示啟動(dòng)信息。這個(gè)東東會(huì)在 PE 文件的末尾添加一個(gè)新節(jié)，我給這個(gè)節(jié)命名為“.LC”，被附加的程序在運(yùn)行的時(shí)候會(huì)先彈出一個(gè)對(duì)話框，顯示我們的提示信息。你可以對(duì)它稍作修改，例如加上自己的版權(quán)信息，然后給 CS 的主程序打上這個(gè)“病毒”，接著……呵呵，等著看舍友的驚訝的目光吧！實(shí)際上只要對(duì)它進(jìn)行一些額外的補(bǔ)充，它就可以算是一個(gè)小小的病毒了。

值得注意的是，本程序要對(duì)代碼段進(jìn)行寫(xiě)操作（也就是SMC），所以在編譯連接的時(shí)候應(yīng)該這樣做：

rc Add_Section.rc
ml /c /coff Add_Section.asm
link /subsystem:windows /section:.text,RWE Add_Section.res Add_Section.obj

Have fun!

它的資源文件：

#include "resource.h"

#define IDC_STATIC????????-1
#define IDI_LC????????????1
#define IDC_BUTTON_OPEN?? 3000

IDI_LC????ICON????"lc.ico"

LC_DIALOG DIALOGEX 10, 10, 195, 115
STYLE DS_SETFONT | DS_CENTER | WS_MINIMIZEBOX | WS_VISIBLE | WS_CAPTION | WS_SYSMENU
CAPTION "Section Add demo by LC, 2002-11-10"
FONT 9, "宋體", 0, 0, 0x0
BEGIN
????GROUPBOX???????? "Info", IDC_STATIC, 5, 5, 185, 75
????CTEXT????????????"- 為PE文件添加新節(jié)顯示啟動(dòng)信息 -", IDC_STATIC, 10, 20, 175, 10
????CTEXT????????????"-= Virus Tutorial Series =-", IDC_STATIC, 10, 30, 175, 10
????CTEXT????????????"老羅的繽紛天地", IDC_STATIC, 10, 50, 175, 10
????CTEXT????????????"www.LuoCong.com", IDC_STATIC, 10, 60, 175, 10
????DEFPUSHBUTTON????"打開(kāi)文件(&O)",IDC_BUTTON_OPEN, 70, 90, 55, 15, BS_FLAT | BS_CENTER
END

老羅
2002-11-10

posted on 2006-05-08 17:48 楊粼波閱讀(412) 評(píng)論(0) 編輯收藏引用所屬分類(lèi): 文章收藏

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
【推薦】100%開(kāi)源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: cocos2dx 內(nèi)存管理 select 效率問(wèn)題微軟代碼簽名證書(shū)使用指南 Opus 音頻編碼正式標(biāo)準(zhǔn)化音頻比特率 speex 的一個(gè)例子, 使用了SPEEX抖動(dòng)緩存. 深入剖析 iLBC 編碼器原理 speex開(kāi)源項(xiàng)目的學(xué)習(xí) directsound抓取麥克風(fēng)PCM數(shù)據(jù)封裝類(lèi) 丟包補(bǔ)償技術(shù)調(diào)查

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問(wèn) Chat2DB 管理

牽著老婆滿街逛

導(dǎo)航

統(tǒng)計(jì)

公告

常用鏈接

留言簿(11)

隨筆分類(lèi)(466)

隨筆檔案(1513)

文章分類(lèi)(46)

文章檔案(45)

相冊(cè)

收藏夾(39)

工具官網(wǎng)

技術(shù)網(wǎng)站

開(kāi)源網(wǎng)站

其他窩點(diǎn)

收藏網(wǎng)站

銀行官網(wǎng)

友情鏈接

資源共享

搜索

積分與排名

最新評(píng)論

閱讀排行榜

為PE文件添加新節(jié)顯示啟動(dòng)信息