菜鸟的病毒分析 4

dos已经里我们很遥远了，之所以从dos开始只是因为我太笨了，怕自己接受不了复杂的win32。其实dos病毒远没有那么简单，dos也有隐藏，也有加密，也有反探索，也有反跟踪。。。这些技术全部都存在于win32病毒只不过他们不再用中断而是api。更加复杂的api。同时从16位汇编过度到32位，更恐怖的是64位已经开始发挥威力了。win32病毒的基础也离不开重定位这是dos病毒里面常用的同时也是win32中必不可少的。dos中我们可以做0级的操纵者掌握整个dos可是到了win32我们变成了可被的小三，到处受限制。我们能利用的知识api但是当我们把病毒注入文件时api也不再是那个api了，我们只能通过kernel32来获取。了解win32汇编的人知道kernel32里面是各种有用的系统函数，非常有用，内存管理，多线程，进程隐藏都可以利用它实现。而user32对我们来说没有多大的用处他只是界面按钮等等。获取到kernel32基址之后我们就可以调用各种需要的api了。在dos中研究exe头，com文件结构到了win32中就是pe。可以说最重要的结构之一。病毒离不开他。从dos看到win32真真切切的感到痛苦。骚年加油。。。