如何发布网络小说,绝色狂妃仙魅小说,有声小说打包下载

主頁 > 知識庫 > Win32下病毒設計入門

Win32下病毒設計入門

Win32下病毒設計入門

本文假定你對dos下的病毒和386PM有一定的了解。

1、感染任何一個病毒都需要有寄主，把病毒代碼加入寄主程序中
（伴侶病毒除外）。
以下說明如何將病毒代碼嵌入PE文件中，有關PE文件的結構請看以前的文章。 PE文件的典型結構： MZ Header DOS STUB CODE PE HEADER OPTIONAL HEADER SECTION TABLE SECTION 1 SECTION 2 ... IMPORT TABLE EXPORT TABLE 和DOS的可執(zhí)行文件類似，PE的代碼映象分為幾個SECTION，在文件中會對齊
頁邊界（4K）。一般來說，文件會加載在400000h開始的空間，而第一個SECTION在401000h處，同時入口地址也是401000h。由高級語言編寫的程序，每個SECTIO-N的長度不可能剛好是4K的倍數(shù)，因此在SECTION的末尾將會存在一段未用的空間，大小可由Section的PHYSICAL SIZE－VIRTUALSIZE得到，在文件中起始位置可由 PHYSICAL OFFSET得到，這段空間可以用來存放病毒代碼。此外一般來說， MZ Header+DOS STUD+PE
HEADER+OPTIONAL HEADER+SECTION TABLE不過1K左右，而SECTION 1由4K開始，空出來的地方足夠存放一個設計精良的病毒。CIH就是將代碼存放在這些空閑空間里。

2、分配駐留所需內(nèi)存
對于駐留形的病毒，分配駐留所需內(nèi)存是必需的。在DOS下使用由于所有的應用程序都映射在相同的線性地址空間里，使用一般的內(nèi)存分配調(diào)用就足夠了。而在WIN32下，每個應用程序都有自己的線性地址空間，必須使用特殊的函數(shù)分配2GB以上的系統(tǒng)地址。典型的如：VXD服務_PageAllocate，和kernel32的 VxDCALL
_PageReserve。_PageAllocate請參看win98ddk中的說明，VxDCall _PageReserve 請參看HPS源碼中的注釋。

3、截留FILE I/O操作駐留型的病毒通過截留FILE I/O來激活，可以通過使用VXD服務
IFSMgr_Install-FileSystemAPIHook（如CIH）或截留VxDCall中的DOS Services callback（如HPS）。
在Win32下編寫病毒不是一件困難的事。值得注意的有幾件事：

一、Win32下的系統(tǒng)功能調(diào)用不是通過中斷實現(xiàn)，而是由DLL中導出。
（直接使用VxD服務除外）。直接在病毒中得到API入口不是一件容易的事，可以通過以下這個變通的方法。
在同一個版本的Windows下，同一個核心函數(shù)的入口總是固定的
（指由Kernel32,gdi32,user32導出的函數(shù)）。因此可以用以下的方法得到函數(shù)入口：
.386p
.model flat,stdcall
extrn GetModuleHandleA:proc
extrn GetProcAddress:proc
extrn ExitProcess:proc
.data
szKernel db 'KERNEL32.DLL',0
szFindFirst db 'FindFirstFileA',0
szFindNext db 'FindNextFileA',0
szFindClose db 'FindClose',0
szGetCurrentDir db 'GetCurrentDirectoryA',0
szGetWinDir db 'GetWindowsDirectoryA',0
szGetSysDir db 'GetSystemDirectoryA',0
szGetFileAttrib db 'GetFileAttributesA',0
szSetFileAttrib db 'SetFileAttributesA',0
szlopen db '_lopen',0
szlread db '_lread',0
szlwrite db '_lwrite',0
szlclose db '_lclose',0
szllseek db '_llseek',0
hKernel dd 0
.code
;Initialize code
start:
push szKernel
call GetModuleHandleA
mov hKernel,eax
push szFindFirst
push hKernel
call GetProcAddress
mov FindFirstFile,eax
....
jmp VirusStart
InitExit:
push 0
call ExitProcess
VirusStart:
jmp Entry
HostEntry dd InitExit
FindFirstFile dd 0
FindNextFile dd 0
...
Entry:
...
end start
在Intialize Code得到要用的函數(shù)入口并將它填入病毒中，在病毒運行時可以直接使用了。

二:主要是要截留文件I/O操作。
Windows下截留文件I/O操作有幾種方法，在病毒中使用的主要有兩種。
1、使用VxDCallIFSMgr_InstallFileSystemHook
2、截留Kernel32.dll中導出的第一個函數(shù)VxDCall對DOS
INT 21的呼叫（EAX=2A0010）。
VxDCall的代碼如下：
mov eax,dword ptr [esp+04]
pop dword ptr [esp]
call fword ptr cs:[xxxxxxxx]
^^^^^^^^只要將這個地址指向的地址改為自己的過程入口，就捕獲了所有的VxDCall。
進入這個過程時：
eax=service number,如果是DOS INT 21將是2A0010
esp[2c]調(diào)用Int 21時eax的值
~~~~ 算漏了個pushad,應該是10h

esp[30] 調(diào)用int 21時ecx的值
~~~~14h

其他寄存器為調(diào)用時所需的值。（段寄存器無用）
以后的就和在DOS下寫病毒沒什么差別了。
在WINDOWS下寫病毒,如何得到API的入口是一件麻煩的事. 可以直接使用的API都在DLL中,而VXDCALL要在RING0時才能使用,DOS的INT 21服務也不能直接調(diào)用. 得到DLL中的API入口有兩種方法:

1.加載時得到,建立一個 IMPORT TABLE,在加載時WINDOWS會根據(jù)IMPORT TABLE定位API的入口地址.這是一般應用程序的使用的方法,但不大適合病毒.
2.運行時得到,使用GetModuleHandle和GetProcAddress得到API的入口,但前提時要知道GetModuleHandle和GetProcAddress的入口地址.: 這是明顯也是不可能的.除了將GetModuleHandle和GetProcAddress的代碼復制到我們的病毒中,只有使用暴力在 2GB的空間內(nèi)找出API的入口了.

首先說明一下WINDOWS的內(nèi)存映射,由00000000開始有一段是無效地址(我忘了到底到多少了),用來捕獲應用程序錯誤的指針.
跟著一直到0x7FFFFFFF為應用程序的空間.0X80000000以后為系統(tǒng) 的空間,DLL和VXD都映射在這里.我們要作的就是從這2GB的空間內(nèi)找到Krnl32.dll. 一般來說,Windows下的程序都是對齊在64k的邊界.首先是MZ 文件頭,跟著是由MZ HEADER中的信息可以得到PE HEADER的入口. 由這個標記就可以找出所有的DLL.由PE HEADER可以得到DLL的 EXPORT TABLE的入口,其中而NAME PTR TABLE的第一項為DLL的名稱,由此可以找出Krnl32.dll,并從ADDRESS TABLE中得到任何一個 API的入口.

值得注意的是,在這2GB中并不是所有而地址都是有效的,在一般的程序中可以通過IsXXXXXPtr來判斷地址是否有效,但在病毒中不行.只能Hook Exception,忽略訪問無效的地址導致的Exception. Windows中的Exception Chain的結構如下: fs:[0] dword exception發(fā)生時esp的新值,該值指向一個如下的結構 [esp] dword fs:[0]的新值 [esp+4] dword exception handler的入口 [esp+8] dword exception handler使用的數(shù)據(jù)首地址 [esp+12] dword -1詳細的匯編代碼可以用C寫一段__try...__except的代碼,然后轉譯成匯編. 只要我們的exception handler直接跳轉到病毒中尋找Krnl32.dll 的代碼,就可以不引起GP Error而訪問任何的地址了. 范例可以參看HPS的源碼,PE HEADER,EXPORT TABLE請參看PE FORMAT.

1、在Windows下載入的DLL在不同的process中映射到同一個地址。
2、在DLL中導出的函數(shù)在export table中記錄相對DLL Image Base 的偏移，改變這個偏移使用GetProcAddress得到的地址就會改變。（想象一下，把CreateProcess地址指向自己的DLL中的函數(shù)，或者截獲GetDlgItemText來記錄Password）
3、在Kernel32.DLL中Section Table在0x300以前就結束了，而真正的代碼由0x1000處開始，其間有3K的未用空間，可以用來存放我們的代碼。 Kernel32.DLL的Image Base可以由GetModuleHandleA得到。
4、在任何版本的Windows中,3個基本的DLL總是被加載（Kernel32.DLL，User32.DLL，GDI32.DLL），而且對于同一個版本的Windows，它們的Image Base，和導出函數(shù)的地址總是固定的?？梢詫⒌玫降牡刂分苯佑糜诓《臼褂?。（在NT也可以寫病毒了，又要換系統(tǒng)了8 ）

您可能感興趣的文章:

Win32應用程序(SDK)設計原理詳解
win32下進程間通信(共享內(nèi)存)實例分析
win32 api實現(xiàn)2048游戲示例
一個win32窗口創(chuàng)建示例
win32 api實現(xiàn)簡單的消息窗口示例
win32使用openfilename瀏覽文件窗口示例
Win32 下病毒設計入門詳細說明
win32下的命令行集合
WIN32程序獲取父進程ID的方法

標簽：無錫沈陽青海忻州紅河河源阜陽哈密

巨人網(wǎng)絡通訊聲明：本文標題《Win32下病毒設計入門》，本文關鍵詞 Win32,下,病毒,設計,入門,；如發(fā)現(xiàn)本文內(nèi)容存在版權問題，煩請?zhí)峁┫嚓P信息告之我們，我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡，涉及言論、版權與本站無關。

濮阳杆衣贸易有限公司

Win32下病毒設計入門