这篇文章是对上一篇文章中代码的解释。
最近几天,在我的一通“扳凿斧锯”之下,第一个病毒终于被我打造出来了。被感染的程序运行将会弹出一个对话框,询问是否运行该程序,如果选择是,则会遍历当前目录下的所有exe文件,尝试在文件中插入病毒病毒代码(即弹对话框询问是否运行,选是就尝试感染当前目录下的所有exe文件)。如果该exe文件被感染过,则不反复感染。可以说这只是一个PE病毒的雏形,不具破坏能力。或者可以把它比做是远程导弹试射成功,这里导弹弹头没装炸药,更没装核弹。
先来说说病毒的原理。WINDOWS的可执行文件是PE(Portable Executable)格式的。PE文件都会有一个464字节的头信息,在里面记录了程序运行的一些必要信息。平时我们运行一个程序可能会看到提示“不是一个有效的WIN32程序”,就是因为WINDOWS系统读取这个头信息,发现里面有错误就停止运行了。在头信息里记录了程序运行的第一条指令的位置。病毒的原理就是把病毒代码想办法附加到一个正常的程序里,然后再修改头信息中入口指令的位置为病毒的第一条指令的位置,等病毒运行完成后,再跳转到原来的正常的指令运行。
那现在首要问题是如何把代码附加到程序里面。有两种方法,一是在原来的文件后面新加入代码;二是在原来文件中代码的空隙中加入代码。
1. 在文件后新加入代码。这里可不能简单在正常的exe文件后面直接写入病毒程序,这样做windows系统是会报错的。因为在PE文件的头信息以及PE头后面的节表(关于节表我们稍后讲述)记录了数据区的详细属性,突然在后面加入代码,就好像有异物突然侵入人体一样,就会本能的产生排异反映。windows为了自身的稳定,也必须对一些数据进行校验,如果不能通过校验,也是不允许程序运行的。所以还有要修改PE头里面的信息以及要增加一个节表。
这里我们来说说节(SECTION)和节表(SECTION TABLE)。在464个字节的PE头之后会跟有若干个40字节的数据。每个40个字节的数据就是一个节表。节的概念是这样的。在这些节表之后就是真正的数据区了,无论是代码、数据、资源等等都存放在这里。然而这些数据的功能不一样,属性也就不一样。比如代码,是应该可以读取、运行的,而不能改写;数据,即程序中用到的数据,一般会存储一些变量,那它们是可以被读、写的,但不能运行;那资源呢,则只能别读取,而不能被写和运行。这样那些属性相同的数据通常就会被放到同一节(SECTION)里面,比如所有的代码通常被放到同一节里面,资源被同一节里面。那么节表(SECTION TABLE)就是描述这些节的信息,每个节表对应一节数据区域。节表当中记录了这一节的起始位置、节数据的大小、读写运行属性等。可以说节表就像书的目录一样,记录了书中文字属哪个章节。
要新加数据在文件末尾,就得在原来的最后一个节表后再填加一个节表(因为节表都是连续存储的),幸亏一般在最后一个节表到数据区还有一些空隙,通常会大于40个字节(一个节表的大小)。新加的这个节表会记录文件最后附加的所谓的病毒代码的各种属性。另外还需要修改PE头信息里面的一些数据,比如SizeOfImage,SizeOfCode。这种方法修改完后文件大小会增加。
这种方法详见罗云彬著的《Windows环境下32位汇编语言程序设计》第十七章AddCode源码。
2. 利用相临两节之间的空隙空间插入病毒代码。
每个节中的数据可能是随意长度的,但是在文件中存储的时候,都要按照一个值对齐,即存储的空间必定是这个值的整数倍。这是为了系统读取磁盘信息的时候可以整块整块的读取提高效率。这个值在PE头中可以找到,字段名称叫FileAllignment。比如代码节里面的代码长度是534个字节,而FileAllignment=400,则代码节在文件中存储就占800个字节。这样就有276个字节的空隙。
第二种方法,就是遍历所有的节表,看每节在文件中存储的空隙是否够放下“病毒”的代码。如果够放,在把“病毒”的代码放在原来正常的数据后面。这样除了入口地址以外,其他根本PE头信息和节表信息几乎不用动一个字节就可以完成感染。
这种方法的好处是,感染代码短小,文件大小可以保持不变(因为我们是利用原有数据的空隙)。
上一篇《初探计算机病毒(2)--完成》就是用的这种方法。
当然这种方法也有缺点,就是如果找不到一个节可以容纳“病毒代码”就无法感染了。当然还可以把“病毒”代码分成几份,分别放在不同节的数据空隙里。但对于非常小的文件,这种办法也是无能为力的。比如文件本身就几百字节,比你病毒的SIZE还小,当然也就无法用这种办法感染了。
初探计算机病毒(2)--感染解释
最新推荐文章于 2024-11-06 20:45:20 发布