- 博客(16)
- 收藏
- 关注
RSS订阅转载 Win32病毒入门 -- ring3篇
Win32病毒入门 -- ring3篇 by pker / CVC.GB 1、声明-------本文仅仅是一篇讲述病毒原理的理论性文章,任何人如果通过本文中讲述的技术或利用本文中的代码写出恶性病毒,造成的任何影响均与作者无关。 2、前言-------病毒是什么?病毒就是一个具有一定生物病毒特性,可以进行传
2009-03-20 16:12:00
1361
转载 (11)Win32下病毒设计入门详细解说
Win32下病毒设计入门详细解说 本文假定你对dos下的病毒和386PM有一定的了解。 1、感染任何一个病毒都需要有寄主,把病毒代码加入寄主程序中(伴侣病毒除外) 以下说明如何将病毒代码嵌入PE文件中,有关PE文件的结构请看以前的文章。 PE文件的典型结构:MZ Header DOS STUB CODE PE HEADER OPTIONAL HEADER SECTION
2009-03-20 11:24:00
987
1
转载 (10)揭开病毒的奥秘 DLL的远程注入技术详解
揭开病毒的奥秘 DLL的远程注入技术详解 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载
2009-03-20 11:16:00
514
转载 (9)亲密接触恶意代码之文件感染和内存驻留
亲密接触恶意代码之文件感染和内存驻留 内存驻留感染技术 如果读者曾经使用过MS-DOS的话,对驻留内存、截获中断以执行特定操作的程序(TSR)一定不会陌生。在MS-DOS时代,不仅正常的应用程序大量使用TSR技术,病毒同样也利用TSR 技术驻留内存,监视文件读写操作并伺机进行感染。 在Windows NT下,各个进程的地址空间被隔离了,不同进程之间不能自由地相互访问内存,而且
2009-03-20 11:01:00
744
转载 (8)亲密接触恶意代码之文件感染和内存驻留
亲密接触恶意代码之文件感染和内存驻留 PE 文件的修改和感染策略 既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射
2009-03-20 10:57:00
714
转载 (7)亲密接触恶意代码之文件感染和内存驻留
亲密接触恶意代码之文件感染和内存驻留 这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。 在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和
2009-03-20 10:55:00
707
转载 (6)恶意代码的亲密接触之文件搜索和API导址
恶意代码的亲密接触之文件搜索和API导址 文件搜索 文件搜索是病毒的重要功能模块之一,也是实现感染和传播的关键。现代Windows和各种移动介质的文件系统可能采用多种复杂格式,因此象一些Dos 病毒一样试图直接存取文件系统(读写扇区)是不大现实的。通常利用Win32 API 的FindFirstFile 和FindNextFile 来实当前目录下所有目录和文件的搜索,通过判断搜
2009-03-20 10:53:00
595
转载 (5)恶意代码的亲密接触之文件搜索和API导址
恶意代码的亲密接触之文件搜索和API导址 解析PE文件的导出函数表 PE文件的函数导出机制是进行模块间动态调用的重要机制,对于正常的程序,相关操作是由系统加载器在程序加载前自动完成的,对用户程序是透明的。但要想在病毒代码中实现函数地址的动态解析以取代加载器,那就有必要了解函数导出表的结构了。在图1 中可以看到在PE头结构IMAGE_OPTIONAL_HEADER32
2009-03-19 17:26:00
485
转载 (4)恶意代码的亲密接触之文件搜索和API导址
恶意代码的亲密接触之文件搜索和API导址 在前一篇文章中介绍了病毒的相关基础知识后,从本文开始我们就要深入病毒内部,开始看一些具体的病毒编码片断,在本文中我们会看到API函数搜索以及文件搜索的技术,为后面更加深入的探讨打下良好的基础,如果你已经准备好了,就让作者带你进入这无所不用其极的病毒技术世界吧。 获取Kernel32.DLL 基址 获取Kernel32.DL
2009-03-19 17:25:00
472
转载 恶意代码的亲密接触之病毒编程技术(3)
恶意代码的亲密接触之病毒编程技术(3) 重定位 病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要
2009-03-19 17:24:00
671
转载 恶意代码的亲密接触之病毒编程技术(2)
恶意代码的亲密接触之病毒编程技术(2) PE 病毒技术剖析 典型的PE病毒修改PE文件,将病毒体代码写入PE 文件文件中,更新头部相关的数据结构,使得修改后的PE文件仍然是合法PE文件,然后将PE入口指针改为指向病毒代码入口,这样在系统加载PE文件后,病毒代码就首先获取了控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码,这样病毒代码就神不知鬼不觉地悄悄运行了。
2009-03-19 17:23:00
887
转载 恶意代码的亲密接触之病毒编程技术(1)
恶意代码的亲密接触之病毒编程技术 生活在网络时代,无论是作为一名程序员抑或是作为一名普通的电脑使用者,对病毒这个词都已经不再陌生。网络不仅仅是传播信息的快速通道,从另外一个角度来看,也是病毒得以传播和滋生的温床,有资料显示,未安装补丁的Windows操作系统连接至internet平均10-15分钟就会被蠕虫或病毒感染。各种类型的病毒,在人们通过网络查阅信息、交换文件、收听视频时正在悄
2009-03-19 17:22:00
642
转载 木马源代码免杀处理
木马源代码免杀处理 ------------------------------------------有加这样免杀的:------------------------------------------begin asm //直接用汇编调用代码进行免杀处理源代码 call testend;Procedure test;asmnopnopnope
2009-03-17 15:45:00
1523
转载 32位代码优化常识
32位代码优化常识 原作者: Benny/29A 翻译改写:hume/冷雨飘心 [注意:这不是鹦鹉学舌的翻译,我尽量以我的理解传达原文的本意] 关于代码优化的文章实在太多了,遗憾的是大部分我都没有看,尽管他们就摆在我的床边(每当我要看的时候就忍不住打哈欠...嘿嘿).这篇文章较短所以翻了一下. 代码优化的含义: 代码优化的目标当然是体积小和速度快,但是在通常的
2009-03-17 15:40:00
626
转载 汇编指令逐个解读
MOV 指令为双操作数指令,两个操作数中必须有一个是寄存器.MOV DST , SRC // Byte / Word执行操作: dst = src1.目的数可以是通用寄存器, 存储单元和段寄存器(但不允许用CS段寄存器).2.立即数不能直接送段寄存器3.不允许在两个存储单元直接传送数据4.不允许在两个段寄存器间直接传送信息PUSH 入栈指令及POP出栈指令: 堆栈操作是以"后进先出"的方
2009-03-17 15:37:00
1081
转载 32位CPU寄存器和汇编指令
32位CPU所含有的寄存器有: 4个数据寄存器(EAX、EBX、ECX和EDX)2个变址和指针寄存器(ESI和EDI) 2个指针寄存器(ESP和EBP) 6个段寄存器(ES、CS、SS、DS、FS和GS)1个指令指针寄存器(EIP) 1个标志寄存器(EFlags) 1、数据寄存器数据寄存器主要用来保存操作数和运算结果等信息,从而节省读取操作数所需占用总线和访问存储器的时间。32位CPU有4
2009-03-17 15:27:00
733
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人