摘要:
在Windows NT下,各个进程的地址空间被隔离了,不同进程之间不能自由地相互访问内存,而且对于用户态代码有了访问限制:ring3程序代码只能读写其进程空间中应用专属的部分(在进程空间为4GB 的情况下,通常是低2GB),对系统内核部分占用的空间是没有读写权限的。这使得内存驻留感染变得困难,不过类似的想法和技术仍然是可能实现的,需要做的不过是一点变通:既然每个进程有其专属的进程空间,尽管不能做到永久驻留,但病毒代码至少在进程的生命期内仍然是可以驻留的;既然Windows下仍然有作用和DOS下中断相同的API,那么病毒自然可以截获API,从而监视文件读写,伺机进行感染。至少让程序在它的生命周期 阅读全文
摘要:
win32 搜寻节间隙感染pe文件经过上次那个变形pe头病毒的洗礼,分析这个终于不那么蛋疼了病毒行为:感染目录下的txt.exe文件 在原程序运行前运行病毒代码 弹出被感染对话框 继续感染其他病毒流程:搜索api 打开文件 内存映射 搜索每一个节 查看节剩余空间能否插入病毒 如果能 更改相关属性 添加病毒 写文件 关闭文件 完成.text:00401000 ;.text:00401000 ; +-------------------------------------------------------------------------+.text:00401000 ; | This fil 阅读全文
摘要:
pe文件感染病毒感觉好长时间没写了,这个pe结构着实让我很头痛,花了很长时间了解它。现在终于了解一点点了,下手分析一下win32简单的病毒。具体的有关于pe结构seh结构的问题去看雪上看看有很多的。win32留给病毒的位置不多因为留给节表的位置不够节表头的大小有40字节,如果自己想向pe文件添加一个节的话那么就要先凑够这40个字节。这个病毒就是巧妙的将pe头与dos头融合在一起留出足够的空间添加一个节。病毒行为:感染特定标题的exe文件(这个完全是因为作者想要控制病毒的感染力),注入病毒,在源程序之前运行病毒代码。流程:查找kernel32,获取kernel32基址。获取函数中用到的kerne 阅读全文
摘要:
dos已经里我们很遥远了,之所以从dos开始只是因为我太笨了,怕自己接受不了复杂的win32。其实dos病毒远没有那么简单,dos也有隐藏,也有加密,也有反探索,也有反跟踪。。。这些技术全部都存在于win32病毒只不过他们不再用中断而是api。更加复杂的api。同时从16位汇编过度到32位,更恐怖的是64位已经开始发挥威力了。win32病毒的基础也离不开重定位这是dos病毒里面常用的同时也是win32中必不可少的。dos中我们可以做0级的操纵者掌握整个dos可是到了win32我们变成了可被的小三,到处受限制。我们能利用的知识api但是当我们把病毒注入文件时api也不再是那个api了,我们只能通 阅读全文
摘要:
dos 内存驻留病毒下面这个病毒不像之前的文件感染病毒那么简单了这是一个驻留内存病毒,所谓内存驻留病毒就是当程序结束之后还会有内存没有被释放,这就恐怖了可以利用这个修改中断让dos听你的话。为了能驻留内存就必须使程序结束后需要的内存不被释放这就要靠mcb这个内存管理控制块。mcb的相关概念查阅http://hi.baidu.com/dp282074009/blog/item/560e3319b642037ddab4bda6.html病毒行为:更改21号中断 4B00h的功能 使其实现感染.com文件的功能流程:判断是否已经主流内存,如果没有进行内存驻留 获取mcb的段址 更改节大小为病毒预留空 阅读全文
摘要:
dos 运行期.exe文件感染病毒 还是如此的菜原谅我吧 病毒行为:感染.com文件 修改被感染文件的SS:SP流程:恢复被感染的文件的 cs:ip ss:sp 搜索.exe 如果是正确的.exe文件并且没有被感染过 ,打开文件保存文件信息 ,进行感染修改测试:ip ss:sp, 添加病毒代码 ,恢复文件信息 ,关闭文件用到的中断与上篇.com文件的感染相同dos下com文件与exe文件最大的不同就是头,com文件只有程序映像是从100h起的绝对映像。exe文件包括一个可重新定位的程序映像,还包含一个文件头用来重定位。文件头包括cs ss ip sp 文件头大小等敏感信息就是将要利用到的。反汇 阅读全文
摘要:
dos 蹩脚的.com文件感染病毒的分析病毒行为:感染com文件就这么蹩脚 第一次做分析 原谅我如此之菜吧流程:恢复已感染文件的头三个字节 查找.com后缀文件 判断是否是真实的com文件 如果是打开文件 保存前三个字节属性等信息 添加病毒代码 添加跳转 恢复属性等关闭文件 下面是用到的中断 psp dta结构可以去看雪上查查0F 打开文件 DS:DX=FCB首地址 AL=00 文件找到AL=FF 文件未找到 10 关闭文件 DS:DX=FCB首地址 AL=00 目录修改成功AL=FF 目录中未找到文件 11 查找第一个目录项 DS:DX=FCB首地址 AL=00 找到AL=FF 未找到 12 阅读全文