Win32病毒
文章平均质量分 88
GaA_Ra
每个人都有自己需要背负的十字架
展开
-
关于感染型病毒的那些事(二)
从(一)中建立了初步的注入代码后,需要把用来占位的11223344H改为相应的地址,用一个函数来完成.//OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址int BuildInjectCode(DWORD OEP, DWORD VEP, DWORD ImageBase){ unsigned char *p = InjectCode; *(DWORD *)(p + 1) = VEP + ImageBase + 0x2B; //SEH处原创 2010-06-28 15:36:00 · 2721 阅读 · 6 评论 -
关于感染型病毒的那些事(三)
<br /> 前段时间,我在网上下载了一个3D游戏,想要玩的时候却被提示需要将IE的主页设置为特定的网址才能玩这个游戏.对于我这种有"系统洁癖"的人来说,最反感的就是这种要求,用Peid查了下,发现没有加壳,一路跟下来,发现这个程序也提供了一种病毒感染的思路,那就是资源感染,既将宿主程序作为病毒程序的一个资源保存,将附加了宿主程序资源的病毒程序覆盖原宿主程序,在打开病毒程序时,病毒发作同时将宿主程序释放出来,运行之.这个3D游戏的反汇编片段:<br />/***********************原创 2010-06-30 20:40:00 · 2576 阅读 · 3 评论 -
你可以调戏一下MBR(裸机的话)
双休日,吹着空调干代码,nice.(画外音:再宅就等着买老婆吧)T___T,考试神马的一堆要背,但是就是没有动力去背. 这两天都在搞MBR,群里兄弟说,鬼影和TDL牛不是牛在搞了MBR,而是穿透了部分磁盘还原软件的保护,穿透才是真正的亮点.我表示很赞同.三哥群里说,我逆了病毒,asm2c,然后重新编译,杀毒软件报毒.这是一种神马样的境界,内心一股敬佩之情油然而生.唉,泪流满面,泪原创 2011-06-18 21:30:00 · 6041 阅读 · 10 评论 -
Stoned Bootkit v2学习笔记之infector(友情赠送SBv2磁盘布局介绍)
好吧,看着标题SBv2容易让人联想到I社的Sexy Beach,不过此作品已经出了第五部了,宅男们,去ZOD求种子吧,啊哈哈哈哈哈哈 下午例会时间改到3点,mb的这种天气走在路上就是一个悲剧,虽然会议室有空调...老板说等考完试再跟我们说暑假安排,暑假宿舍没有空调啊啊啊啊啊啊啊啊T__T 入正题,今天对infector进行吐槽.关于infector和SBv2编译请猛击原创 2011-06-20 20:53:00 · 7378 阅读 · 3 评论 -
鬼影3样本Mbr之后保护模式代码详细注释(最精华的地方啦)
今天和明天是最后两天宿舍有空调的日子啦,暑假宿舍没空调啊,悲催T__T 好吧,今天是最精华的部分啦对于鬼影3的分析,剩下的都是浮云啦,alg.exe不准备分析了,能用OD调试的货.分析起来只是时间问题.但是MBR和之后的保护模式的代码就不一样啦同学们,纯静态分析,伤不起啊原创 2011-07-09 16:18:31 · 9660 阅读 · 21 评论 -
关于感染型病毒的那些事(一)
在我看来,感染型病毒才是真正称得上为病毒,因为感染型病毒的手动清除比较困难,大学的时候,帮同学杀毒最烦躁的就是碰上感染型的病毒,除非写一个程序自动处理,不然手动清除是相当麻烦的.当然我所谓的真正病毒主要是在我看来,能够轻易用手工清除的病毒都不是好的病毒.现在病毒制造者追求的是快速的传播速度,而忽略了病毒的"顽固性",一个木马简单的就使用一个启动的注册表项显然在清理上太方便了,甚至可以进安全模式删了原创 2010-06-27 16:01:00 · 7911 阅读 · 34 评论 -
鬼影3样本ASM2C(mb.exe + hello_tt.sys)
好吧,蛋疼的考试已经结束了,暑假除了看论文之外没其他任务,这两天跟老板开完总结会议之后再看看要什么时候回家..老妈以为我暑假不回,这两天一直打电话想做说服工作-___- 现在有点小困,不多做吐槽了.下午晚饭时间群里三哥又发福利,发了鬼影3的样本.晚上从吃完饭开始就一直再看.瞄的,HookStartIO部分真心看不懂.等再请教下人了.纯静态分析的人儿你们伤不起啊~~ mb.exe原创 2011-07-07 03:16:05 · 11728 阅读 · 8 评论 -
鬼影3样本MBR详细注释(好吧,继续友情赠送磁盘布局..)
好吧,写一个好的病毒确实是一门艺术,但是现在已经很少有人在坚持这个了. 今天下午开例会,老板宣布正式放假了,暑假宿舍没空调,结果老板说,可以去她办公室,啊哈哈哈哈哈.我决定坚持留下来学习了>_ 吐槽能力下降,难道是因为两天没看银魂么...阿西啊~~~ 入正题,注释写很多啦我就不多费口舌啦.鬼影3还是很亮的,神马加花指令啊,自解码的都用上了.哥喜欢..原创 2011-07-08 23:12:12 · 8502 阅读 · 0 评论 -
关于Stoned Bootkit v2编译和Bochs调试软盘MBR的吐槽(伤不起啊..)
昨天晚上弄着弄着搞到2点多,早上眼睛睁开,6点40,想着问题没解决,很是不爽,脑海里浮现n种方案(n>2),果断下床继续干活.天不负我..泪流满面.终于停在该死的0x7c00上面了..阿西..上图 图片发到微薄上就删了..大家将就着看吧. 下面不是进入正题,今天没有正题,今天就是吐槽... 前几天看群里三哥发了鬼影3的无壳样本,决心分析一下,结果无奈不是exe,只原创 2011-06-17 09:32:00 · 7853 阅读 · 9 评论