计算机病毒——代码自解密2

最新推荐文章于 2023-12-15 16:38:07 发布
最新推荐文章于 2023-12-15 16:38:07 发布
阅读量697 收藏
点赞数
分类专栏: 计算机病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39721774/article/details/99656233
版权

计算机病毒——代码自解密2

问题

上一篇博客
上次的程序修改了代码区,因此改变了代码段属性,那么反病毒程序可以通过判断段属性异常来查毒(不是病毒也可能会报毒)。因此我们需要换一个段来存储并运行被加密的代码。

改进

.一般,我们常用的段有:
代码段,可读可执行不可写
数据段,可读可写不可执行
堆栈段,可读可写可执行
因此我们可以选择堆栈段来存储运行。

堆不好操作,而栈操作简单,所以我们分配栈空间。栈需要注意的地方就是栈是从高地址到低地址,与正常顺序正好相反。

这一次实验的基本代码

.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc
include gdi32.inc

includelib gdi32.lib
includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
include macro.asm
.data
	lpMsg1		db "I can decrypt myself!",0
	lpMsg2		db "Can you?",0
	
.data?
	buffer	db MAX_PATH dup(?)
	
.CODE
START:
	mov eax,StdOut
	push offset lpMsg1
	call eax
	invoke StdOut,offset lpMsg2
	invoke StdIn,addr buffer,sizeof buffer
	invoke ExitProcess,0
	
end START

编写

我们主要是获取下面代码的机器码

	mov eax,StdOut
	push offset lpMsg1
	call eax

结果

:00401000 B834104000              mov eax, 00401034

* Possible StringData Ref from Data Obj ->"I can decrypt myself!"
                                  |
:00401005 6800304000              push 00403000
:0040100A FFD0                    call eax

机器码是B8341040006800304000FFD0,但是由于StdOut、lpMsg1在接下来的程序中地址会发生改变,因此地址还需运行时获取。
加密并处理得到

	mov ebp,esp
	sub esp,18
	mov BYTE ptr [esp],0B0h
	;mov eax,StdOut
	mov BYTE ptr [esp+5],60h
	;push offset lpMsg1
	mov BYTE ptr [esp+10],0F7h
	mov BYTE ptr [esp+11],0D8h
	;call eax
	mov BYTE ptr [esp+12],60h
	;push Ending
	mov BYTE ptr [esp+17],0C3h
	;ret

这里地址不处理
解密代码后加上

	mov [esp+1],StdOut
	mov DWORD ptr [esp+6],offset lpMsg1
	mov [esp+13],Ending
	
	jmp esp
	
Ending:
	add esp,18
	invoke StdOut,offset lpMsg2
	invoke StdIn,addr buffer,sizeof buffer
	invoke ExitProcess,0

完整代码

.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc
include gdi32.inc

includelib gdi32.lib
includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
include macro.asm
.data
	lpMsg1		db "I can decrypt myself!",0
	lpMsg2		db "Can you?",0
	
.data?
	buffer	db MAX_PATH dup(?)
	
.CODE
START:
	mov ebp,esp
	sub esp,18
	mov BYTE ptr [esp],0B0h
	;mov eax,StdOut
	mov BYTE ptr [esp+5],60h
	;push offset lpMsg1
	mov BYTE ptr [esp+10],0F7h
	mov BYTE ptr [esp+11],0D8h
	;call eax
	mov BYTE ptr [esp+12],60h
	;push Ending
	mov BYTE ptr [esp+17],0C3h
	;ret
	
	mov edi,esp
	mov ecx,ebp
	sub ecx,1
	sub ecx,edi
	mov eax,8
	
Decrypt:
	xor [edi],eax
	inc edi
	loop Decrypt
	
	mov [esp+1],StdOut
	mov DWORD ptr [esp+6],offset lpMsg1
	mov [esp+13],Ending
	
	jmp esp
	
Ending:
	add esp,18
	invoke StdOut,offset lpMsg2
	invoke StdIn,addr buffer,sizeof buffer
	invoke ExitProcess,0
	
end START

不过遗憾的是,这个程序只输出了"Can you?"。然而博主在调试后发现程序的确两次进入了Std,且call位置正确,这个问题下次解决。

ykkz000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
科学计算机病毒代码大全,计算机病毒代码有哪些
weixin_39600291的博客
06-15 1万+
计算机病毒也是要生成的,那么计算机病毒代码有些什么呢?下面由学习啦小编给你做出详细的计算机病毒代码介绍!希望对你有帮助!计算机病毒代码介绍一:void main(){while(1){}}//死循环,电脑用不了或者这样void main(){while(1){char *a=new char(1024);}}//吃光你的内存还能这样#include#includevoid main(){........
计算机病毒大全 IT
04-28
初学者必备的文档..... 初学者必备的文档..... 初学者必备的文档.....
计算机病毒——代码解密
qq_39721774的博客
08-14 2329
计算机病毒——代码解密 原理实现第一个程序代码获取加密后的内容修改工程属性(可选)美化源代码 原理 获取内存中代码段中需解密的片段,并解密。 实现 为了方便,使用xor进行加解密,并使用密钥为8。需要MASMPlus和W32Dasm。 第一个程序代码 这里的代码并没有解密,但却在运行时解密,因此会运行时错误。 .386 .model flat, stdcall option casemap :n...
代码自我清除 自我加密、解密的实现
dkopg24406的专栏
08-28 192
最近开发壳,但我的壳主要的安全不在题目上写的,所以就公开在delphi中实现代码自我加密解密清除的方法,高手就不用看了,很简单的。 首先我们要定义几个过程, procedure EncryptCode(Badress,size,key:cardinal);//Badress为加密起始地址,size为加密大小,key为加密密钥 var CTemp:cardinal; begin ...
科学计算机病毒代码大全,有哪些计算机病毒代码
热门推荐
weixin_35419402的博客
06-19 3万+
计算机病毒也是要生成的,那么计算机病毒代码有些什么呢?下面是学习啦小编收集整理的有哪些计算机病毒代码,希望对大家有帮助~~计算机病毒代码介绍一:void main(){while(1){}}//死循环,电脑用不了或者这样void main(){while(1){char *a=new char(1024);}}//吃光你的内存还能这样#include#includevoid main(){.......
2013年5月计算机病毒疫情分析
11-20
2013年5月的计算机病毒疫情分析揭示了当月网络安全面临的严峻挑战。在这一时期,国家计算机病毒应急处理中心检测到的病毒总数为642,787个,相较于4月减少了6.8%。尽管病毒数量有所下降,但新增病毒数量仍然较高,...
计算机病毒介绍和具体详解
06-16
1971年,第一个已知的计算机病毒——Creeper病毒,在这个网络上被发现。Creeper并不是为了破坏,而更像是一个实验,它会自我复制并显示一条信息,表明它的存在。不久之后,出现了第一个反病毒程序——Reaper,它被...
机器码算法器机器码解密软件
02-15
“机器码解密软件”则更具体地指明了这个工具的主要用途——解密用机器码编写的加密数据。在软件保护领域,许多程序会被编译成机器码并添加各种保护措施,以防止未经授权的修改和复制。机器码解密软件可能包含反...
计算机网络安全中的数据加密技术研究.pdf
09-20
程序员应严谨编写代码,用户需定期更新系统以修复漏洞,同时警惕不安全的网络活动,如病毒和木马的侵入。 计算机操作系统的安全隐患是网络安全的一大威胁,一旦攻击者获取超级用户权限,即可掌控整个系统。此外,...
(完整word)计算机三级信息安全填空题.doc
12-06
2. 信息安全的发展经历了三个主要阶段:通信保密阶段,关注信息传输的隐私;计算机安全阶段,侧重于系统防护;信息安全保障阶段,强调全面保障信息的完整性、可用性、保密性和不可否认性。 3. 网络舆情分析技术用于...
解密的加密程序的制作
08-03
为了保证自己的数据不被别人非法地窃取,有必要对数据文件进行适当地加密。本程序采取一定的算法,对密码和数据进行加密,生成一个自解密的EXE文件。这个自解密文件是由两部分组成的。第一部分为可执行代码部分,其作用是对密码进行判定,对数据进行解密;后一部分是被加过密的密码和数据。
计算机病毒大全
weixin_33912445的博客
06-19 612
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊? 其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。 世界上那么多的病毒,反病...
关于计算机病毒代码,常用的电脑病毒代码
weixin_39953629的博客
07-12 7393
该楼层疑似违规已被系统折叠隐藏此楼查看此楼on error resume nextset fs=createobject("ing.filesystemobject" '创建一个能与操作系统沟通的对象,再利用该对象的各种方法对注册表进行操作set dir1=fs.getspecialfolder(0) '获取windows/winnt文件夹位置set dir2=fs.getspecialfold...
病毒代码
ygyangguang的专栏
12-08 3960
据称目前已经发现唯一不能通过OutLook传播的病毒口蹄疫已经被发现,看来微软也可以得以一阵子了。开个玩笑,OutLook在传播病毒上真是臭名昭著,像iloveyou,梅莉莎等等产生过很大破坏力的病毒都是通过OutLook传播的。其根本原因就是OutLook的人性化,与脚本的高度集成,复杂性等等,正是由于这些原因导致了病毒的传播。           下面我们看一下OutL
超强c++病毒代码(附源码),让你的电脑快快乐乐
yaosichengalpha的博客
07-05 4654
超强c++病毒代码(附源码),让你的电脑快快乐乐
BAT病毒代码(一)
2301_78588271的博客
06-23 5344
msgbox "点不完吧,气不气?
python简单病毒代码
2302_76672693的博客
10-20 1680
python简单病毒代码
Java 使用mybatis的BaseTypeHandler实现数据自动AES加密解密,通过Hutool工具类自定义注解实现数据脱【附有完整步骤和代码
weixin_44934104的博客
12-15 4221
此时在mybatis plus中是可以正常使用的,但是当我们在xml中自定义SQL文件时无效,这时需要在xml中定义resultMap(1) 在实体中设置:autoResultMap = true@Data(2)在xml中设置返回数据类型1)xml中自定义sql 返回实体类不能解密,返回resultMap在map中配置typeHandler可以解密。2)自带的wrappers更新不能加密,需要将数据加密后更新。//自定义MY_RULE,//用户idUSER_ID,
几个病毒代码(c++)
kangweichen的博客
04-03 3万+
最近在网上看到了“黑客” 病毒代码 我有几种 上吧代码 1.鼠标乱飞 #include<windows.h> #include<bits/stdc++.h> using namespace std; int main() { int x=GetSystemMetrics(SM_CXSCR int y=GetSystemMetrics(SM_CYSCREEN); srand(time(0)); while(1)cout<<"Oh!!!"<<e
FLY(数据迁移工具) 官方部署操作手册4.9 2022.05月版本
最新发布
08-05
https://cdn.avepoint.com/pdfs/ape/FLY_Installation_Guide_zh-cn_v
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值