计算机病毒——代码自解密

最新推荐文章于 2024-04-11 08:53:54 发布
最新推荐文章于 2024-04-11 08:53:54 发布
阅读量2.3k 收藏 5
点赞数 2
分类专栏: 计算机病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39721774/article/details/99578840
版权

计算机病毒——代码自解密

原理

获取内存中代码段中需解密的片段,并解密。

实现

为了方便,使用xor进行加解密,并使用密钥为8。需要MASMPlus和W32Dasm。

第一个程序代码

这里的代码并没有加密,但却在运行时解密,因此会运行时错误。

.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc
include gdi32.inc

includelib gdi32.lib
includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
include macro.asm
.data
	lpMsg		db "I can decrypt myself!",0
	
.data?
	buffer	db MAX_PATH dup(?)
	
.CODE
START:
	mov edi,Virus_start
	mov ecx,Virus_end
	sub ecx,edi
	mov eax,8
Decrypt:
	xor [edi],eax
	inc edi
	loop Decrypt
Virus_start:
	push offset lpMsg
	call StdOut
	;invoke StdOut,offset lpMsg
Virus_end:

	invoke StdOut,offset lpMsg
	invoke StdIn,addr buffer,sizeof buffer
	invoke ExitProcess,0
	
end START

用W32Dasm反编译,需要被加密代码(反汇编略)为

:0040101F 6800304000
:00401024 E828000000

提取机器码:6800304000E828000000

获取加密后的内容

上一个C++写的程序来加密这段代码

#include<bits/stdc++.h>
using namespace std;
typedef unsigned char BYTE;
typedef unsigned int DWORD;
BYTE buff[2];
const BYTE key = 8;
BYTE value;

BYTE scan(BYTE buf[2]);
void print(BYTE x,FILE* f);
int main();

BYTE scan(BYTE buf[2])
{
	BYTE tmp=0;
	if(buf[0]>='0'&&buf[0]<='9') tmp=buf[0]-'0';
	else tmp=buf[0]-'A'+10;
	tmp=tmp*16;
	if(buf[1]>='0'&&buf[1]<='9') tmp+=buf[1]-'0';
	else tmp+=buf[1]-'A'+10;
	return tmp;
}
void print(BYTE x,FILE* f)
{
	fprintf(f,"\tdb ");
	BYTE tmp[2];
	tmp[0]=x/16;
	tmp[1]=x%16;
	if(tmp[0]>=0&&tmp[0]<=9) fprintf(f,"%c",tmp[0]+'0');
	else fprintf(f,"%c",tmp[0]+'A'-10);
	if(tmp[1]>=0&&tmp[1]<=9) fprintf(f,"%c",tmp[1]+'0');
	else fprintf(f,"%c",tmp[1]+'A'-10);
	fprintf(f,"h\n");
}
int main()
{
	FILE* f=fopen("1.code","r");
	FILE* n=fopen("1.decode","w");
	while(fread(buff,1,2,f)!=0)
	{
		value=scan(buff);
		value=value^key;
		print(value,n);
	}
}

把刚才的机器码写入1.code中,运行这个C++程序,在1.decode中得到

	db 60h
	db 08h
	db 38h
	db 48h
	db 08h
	db E0h
	db 20h
	db 08h
	db 08h
	db 08h

这是不符合Masm标准的,修改为

	db 60h
	db 08h
	db 38h
	db 48h
	db 08h
	db 0E0h
	db 20h
	db 08h
	db 08h
	db 08h

接着替换原来的汇编代码

.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc
include gdi32.inc

includelib gdi32.lib
includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
include macro.asm
.data
	lpMsg		db "I can decrypt myself!",0
	
.data?
	buffer	db MAX_PATH dup(?)
	
.CODE
START:
	mov edi,Virus_start
	mov ecx,Virus_end
	sub ecx,edi
	mov eax,8
Decrypt:
	xor [edi],eax
	inc edi
	loop Decrypt
Virus_start:
	db 60h
	db 08h
	db 38h
	db 48h
	db 08h
	db 0E0h
	db 20h
	db 08h
	db 08h
	db 08h
	;invoke StdOut,offset lpMsg
Virus_end:

	invoke StdOut,offset lpMsg
	invoke StdIn,addr buffer,sizeof buffer
	invoke ExitProcess,0
	
end START

修改工程属性

然而,Windows下代码段默认不可写,需要修改段属性。在链接参数后补上 /section:.text,rw 即可。

(可选)美化源代码

源代码有很多db,不好看,再次使用W32Dasm反编译,得到

:00401016 60                      pushad
:00401017 0838                    or byte ptr [eax], bh
:00401019 48                      dec eax
:0040101A 08E0                    or al, ah
:0040101C 2008                    and byte ptr [eax], cl
:0040101E 0808                    or byte ptr [eax], cl

用反编译代码替换源代码

.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc
include gdi32.inc

includelib gdi32.lib
includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
include macro.asm
.data
	lpMsg		db "I can decrypt myself!",0
	
.data?
	buffer	db MAX_PATH dup(?)
	
.CODE
START:
	mov edi,Virus_start
	mov ecx,Virus_end
	sub ecx,edi
	mov eax,8
Decrypt:
	xor [edi],eax
	inc edi
	loop Decrypt
Virus_start:
	pushad
	or byte ptr [eax], bh
	dec eax
	or al, ah
	and byte ptr [eax], cl
	or byte ptr [eax], cl
	;invoke StdOut,offset lpMsg
Virus_end:

	invoke StdOut,offset lpMsg
	invoke StdIn,addr buffer,sizeof buffer
	invoke ExitProcess,0
	
end START

然而,or al,ah 却编译成了0AC4,因此最终代码如下

.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc
include gdi32.inc

includelib gdi32.lib
includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
include macro.asm
.data
	lpMsg		db "I can decrypt myself!",0
	
.data?
	buffer	db MAX_PATH dup(?)
	
.CODE
START:
	mov edi,Virus_start
	mov ecx,Virus_end
	sub ecx,edi
	mov eax,8
Decrypt:
	xor [edi],eax
	inc edi
	loop Decrypt
Virus_start:
	pushad
	or byte ptr [eax], bh
	dec eax
	db 08h
	db 0E0h
	and byte ptr [eax], cl
	or byte ptr [eax], cl
	;invoke StdOut,offset lpMsg
Virus_end:

	invoke StdOut,offset lpMsg
	invoke StdIn,addr buffer,sizeof buffer
	invoke ExitProcess,0
	
end START

运行结果
运行结果

ykkz000
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python简单的病毒编程代码,如何用python做恶搞病毒
2301_79533350的博客
12-11 2343
def take_photoes(self): while True: time.sleep(10) # 图片路径,同时带上路径+时间 photo_path = r'%s/%s.jpeg' % (self.base_dir, time.strftime('%Y-%m-%d_%H_%M_%S')) cap = None try: # VideoCapture()中第一个参数是摄像头标号,默认情况电脑自带摄像头索引为0,外置为1.2.3…然后服务器套接字继续处于监听,接收其他客户端套接字的连接请求。
2013年5月计算机病毒疫情分析
11-20
2013年5月的计算机病毒疫情分析揭示了当月网络安全面临的严峻挑战。在这一时期,国家计算机病毒应急处理中心检测到的病毒总数为642,787个,相较于4月减少了6.8%。尽管病毒数量有所下降,但新增病毒数量仍然较高,...
Java 使用mybatis的BaseTypeHandler实现数据自动AES加密解密,通过Hutool工具类自定义注解实现数据脱【附有完整步骤和代码
weixin_44934104的博客
12-15 4116
此时在mybatis plus中是可以正常使用的,但是当我们在xml中自定义SQL文件时无效,这时需要在xml中定义resultMap(1) 在实体中设置:autoResultMap = true@Data(2)在xml中设置返回数据类型1)xml中自定义sql 返回实体类不能解密,返回resultMap在map中配置typeHandler可以解密。2)自带的wrappers更新不能加密,需要将数据加密后更新。//自定义MY_RULE,//用户idUSER_ID,
小“电脑病毒”源代码
SUUUzhengji的博客
05-01 908
今天分享一个小“电脑病毒代码,双击exe文件后会立即关机,达到病毒的目的(无害病毒
Python3.7编程之病毒
最新发布
04-11 1825
理论上讲,有了以上三层协议的支持,数据已经可以从一个主机上的应用程序传输到另一台主机的应用程序了,但此时传过来的数据是字节流,不能很好的被程序识别,操作性差,因此,应用层定义了各种各样的协议来规范数据格式,常见的有http,ftp,smtp等,在请求Header中,分别定义了请求数据格式Accept和响应数据格式Content-Type,有了这个规范以后,当对方接收到请求以后就知道该用什么格式来解析,然后对请求进行处理,最后按照请求方要求的格式将数据返回,请求端接收到响应后,就按照规定的格式进行解读。
C++小病毒
WTC20120518的博客
03-04 2838
C++5个小病毒
DES加密与解密代码实现(C++版)
乌小笑的博客
04-19 6943
DES算法实现 最近做DES算法实验,在网上搜到了一个不错的版本,奈何没有注释,理解起来比较困难。在读懂代码之后,添加上了自己的注释便于理解,并在原文仅供字符串加解密的基础上,新加入对于文件的加解密,供各位取用。 原文链接 https://blog.csdn.net/qq_42487583/article/details/106109942#comments_12244138 程序说明 1、输入的明文长度大于0即可,明文可以带空格与特殊字符; 2、输入的明文支持汉字; 3、输出密文默认为二进制字符串;
机器码算法器机器码解密软件
02-15
“机器码解密软件”则更具体地指明了这个工具的主要用途——解密用机器码编写的加密数据。在软件保护领域,许多程序会被编译成机器码并添加各种保护措施,以防止未经授权的修改和复制。机器码解密软件可能包含反...
计算机网络安全中的数据加密技术研究.pdf
09-20
程序员应严谨编写代码,用户需定期更新系统以修复漏洞,同时警惕不安全的网络活动,如病毒和木马的侵入。 计算机操作系统的安全隐患是网络安全的一大威胁,一旦攻击者获取超级用户权限,即可掌控整个系统。此外,...
万能自动脱壳机.rar
07-19
3. 壳剥离:针对识别出的壳类型,采用相应的脱壳算法,如解密、解压缩或模拟执行,来还原原始程序代码。 4. 验证:脱壳后,会检查文件的完整性,确保未破坏程序功能,并进行动态分析以确认是否成功脱壳。 三、万能...
计算机网络安全基础试题及答案..doc
06-07
病毒:寄生在合法代码上的恶意代码,在执行时,它干扰计算机操作或者破坏信息 。传统的病毒通过可执行文件或命令文件来执行,但是它们现在已经扩展到了数据文件 ,被称为宏病毒。 7。蠕虫病毒:无需受害者的帮助而自行从...
解密的加密程序的制作
08-03
为了保证自己的数据不被别人非法地窃取,有必要对数据文件进行适当地加密。本程序采取一定的算法,对密码和数据进行加密,生成一个自解密的EXE文件。这个自解密文件是由两部分组成的。第一部分为可执行代码部分,其作用是对密码进行判定,对数据进行解密;后一部分是被加过密的密码和数据。
C/C++ 对代码节的动态加解密
CSDN
10-02 9710
加壳的原理就是加密或者压缩程序中的已有资源,然后当程序执行后外壳将模拟PE加载器对EXE中的区块进行动态装入,下面我们来自己实现一个简单的区块加解密程序,来让大家学习了解一下壳的基本运作原理。运行后对.text节进行动态解密,然后一个jmp跳转到程序的OEP位置即可,这也就是壳的基本原理。下一步就是将.text节进行加密了,这里为了简单我使用的是异或加密,如下是加密前的机器码。使用我们编写的工具进行加密,传入两个参数,一个是文件,一个则是加密密钥。加壳的首要目标是要创建一个具有可写属性的新节。
DES加密与解密原理及C++代码实现
热门推荐
2020
08-17 4万+
一.DES算法简介 DES(Data Encryption Standard)是目前最为流行的加密算法之一。 对称性:DES是对称的,也就是说它使用同一个密钥来加密和解密数据。与此相对的是RSA加密算法,是一种非对称加密算法 分组性:DES还是一种分组加密算法,该算法每次处理固定长度的数据段,称之为分组。DES分组的大小是64位,如果加密的数据长度不是64位的倍数,可以按照某种具体的规则来填...
分享一些无害可以装13的小病毒
Sunny40的博客
08-12 3031
我在电脑找到自己搞得小病毒,我写的是一些无害的小病毒,那么就来给大家们来分享一下一些病毒代码,而且解除也非常简单!效果是打开后会运行cmd,运行到你重启或注销登录为止,但你可以一直按Alt+F4等到关闭完毕这些程序,当然你别想直接打开任务管理器关闭了,因为它会阻挡或关闭的。这时候我的电脑会显示即将关闭你的电脑,我就不知道你们了,如果你们和我一样的话那你就:win+r输入cmd,在这里输入命令shutdown -a就好了!最后提醒一下:如果你是电脑新手,并且记忆力不好,那么你就重启,那么就再买一台吧。 没经验
计算机病毒是怎么编码的,常用的电脑病毒代码
weixin_39744894的博客
07-14 835
该楼层疑似违规已被系统折叠隐藏此楼查看此楼on error resume nextset fs=createobject("ing.filesystemobject" '创建一个能与操作系统沟通的对象,再利用该对象的各种方法对注册表进行操作set dir1=fs.getspecialfolder(0) '获取windows/winnt文件夹位置set dir2=fs.getspecialfold...
简单的弹窗病毒编程代码,python弹出窗口的代码
yang0728y的博客
02-19 881
大家好,小编来为大家解答以下问题,python如何控制电脑产生弹窗,简单的弹窗病毒编程代码,今天让我们一起来看看吧!
计算机病毒——代码解密2
qq_39721774的博客
08-22 695
计算机病毒——代码解密2问题改进这一次实验的基本代码编写完整代码 问题 上一篇博客 上次的程序修改了代码区,因此改变了代码段属性,那么反病毒程序可以通过判断段属性异常来查毒(不是病毒也可能会报毒)。因此我们需要换一个段来存储并运行被加密的代码。 改进 .一般,我们常用的段有: 代码段,可读可执行不可写 数据段,可读可写不可执行 堆栈段,可读可写可执行 因此我们可以选择堆栈段来存储运行。 堆不好操...
凯撒密码——解密 python代码
06-10
以下是一个简单的凯撒密码解密的 Python 代码示例: ```python def caesar_decrypt(ciphertext, shift): ...注意,这个代码只适用于英文字母的加密解密。如果需要解密其他字符的凯撒密码,需要进行相应的修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值