我写这些文章只是为了交流技术,展示源代码的目的仅仅是为了更好的说明技术原理和使用。如果有任何人利用我写的文章进行破坏,其后果应有其本人负全部责任,与本人无关!
另外,欢迎各位转载我的文章,但劳驾注明出处:-)对于技术的不足,请各位高人一一指出,谢了!
最后说明一下,这些文章主要讲解如何在Windows NT系列操作系统(包括Windows NT、2000、XP和2003等)下编写EXE病毒,对于其他平台则不予考虑:-D
E-mail: killerzhu@gmail.com
Blog: http://blog.csdn.net/killerzhu
好了,开始我们的病毒之旅吧!
1. 必要的工具
好的工具,是编写出好病毒的前提条件。我推荐使用以下工具:
(1) NT系列操作系统(最好还有虚拟机)
(2) MASM或者TASM
(3) SoftICE
(4) MSDN或者API列表
(5) DDK和SDK
(6) Matt Pietrek介绍PE格式的文档
(7) 一些优秀病毒的源代码,比如CIH
(8) 杀毒软件
(9) 一些hash
(10) 这套教程!
基本上,需要的东西就这些了。即使有的东西你还不知道为什么要用到也不要紧,看完这套教程你就能完全明白了!
p.s. 我选择使用汇编,而不使用C等高级语言,是因为汇编更容易优化,且效率更高。
2. 32位的汇编程序
在Win32下写病毒,要时刻记住使用API,这里,就用API写一个“Hello, Virus!”的程序,源代码如下:
.386
; 指定要使用的处理器
.model flat, stdcall
; 内存为flat模式,以标准方式调用函数
option casemap: none
; 忽略大小写
include kernel32.inc
include user32.inc
include windows.inc
includelib kernel32.lib
includelib user32.lib
; 包含需要的头文件和库
.data
szMessage db "Hello, Virus!", 0
szTitle db "Win32 API!", 0
; 数据段
.stack 100
; 堆栈段
.code
; 代码段
Start:
invoke MessageBox, NULL, addr szMessage, addr szTitle, MB_OK
; 调用API MessageBox来显示消息
invoke ExitProcess, NULL
; Win32程序结束时必须调用的API
end Start
; 程序结束标识
只要有汇编基础,相信这段代码不难看懂,呵呵。其实编写病毒和编写这段代码的难度差不多;-)
3. Rings
现代的Intel CPU出于安全的考虑,划分了Ring0 -- Ring3四个特权级,其限制逐步上升。NT使用了其中的两个,即Ring0和Ring3。一般的应用程序都运行在Ring3下,受到极大的限制,而运行在Ring0下的系统程序则具有最高权限。
由于从Ring3进入到Ring0是受到限制的,现在绝大多数的Windows病毒都是利用API运行在Ring3下的,且是颇具威胁的。而要进入Ring0,一般可以使用调用门、任务门、中断门和陷阱门等手段,但更重要的手段是使用驱动进入Ring0,这也是我所推荐的方法!
4. NT内存模型
NT可以直接访问4G的存储空间,其将高2G地址(8000 0000 - FFFF FFFF)用作系统组件,低2G地址(0000 0000 - 7FFF FFFF)用作用户程序。并且,系统空间是受到严格的保护的,一般的用户程序仅能访问属于自身的存储空间。