VBGood网站全文搜索 Google

搜索VBGood全站网页(全文搜索)

VB爱好者乐园(VBGood)

 找回密码
 立即注册
搜索
楼主: o70078

[原创] [原创][源码]病毒感染EXE实验程序-第2回

[复制链接]
发表于 2012-8-6 15:56:12 | 显示全部楼层
经仔细检查,发现犯了个低级错误,test应该是cmp才对……另外改了改shl,shr的移位大小,PS:我查了一下《计算机病毒与反病毒技术》,里面的第一句代码是mov ebx,[esp+10h],经试验此代码在XP下结果不对,可能仅在Win98有效……
  1. start:

  2. ;get return address
  3. pop ebp

  4. ;find kernel32 base address
  5. mov ebx,ebp
  6. shr ebx,10
  7. @@:
  8. mov eax,ebx
  9. shl eax,10
  10. mov eax,[eax]
  11. cmp ax,'MZ'
  12. jz @f
  13. dec ebx
  14. jmp @b
  15. @@:
  16. shl ebx,10
复制代码
@o70078 @h907308901

点评

@_@最近几天不怎么方便...过写日子再研究  发表于 2012-8-8 00:14
这个没毛用……汗~  发表于 2012-8-7 13:38
那就mov ebp,[esp]就行了  发表于 2012-8-6 21:56
第一句最好不要pop,如果你程序不exitprocess而是主函数返回来结束的话就完蛋了,不然就在后面加一个push  发表于 2012-8-6 19:39
shl,shr的移位大小还是12才对……  发表于 2012-8-6 16:08
回复 支持 反对

使用道具 举报

发表于 2012-8-7 13:39:17 | 显示全部楼层
o70078 发表于 2012-8-5 19:03
拷贝LoadLibrary的机器码?来QQ私聊~

程序加载前就有ntdll了
KiFastSystemCall()的位置是固定的(同版本)
直接用KiFastSystemCall()调用api吧……

点评

可以动态获取的……  发表于 2012-8-7 19:24
[quote]这个没毛用……汗~[/quote]出什么问题了?在我这里有用啊  发表于 2012-8-7 14:34
那不就是硬编码么  发表于 2012-8-7 14:34
回复 支持 反对

使用道具 举报

发表于 2012-8-7 19:25:00 | 显示全部楼层
acme_pjz 发表于 2012-8-6 15:56
经仔细检查,发现犯了个低级错误,test应该是cmp才对……另外改了改shl,shr的移位大小,PS:我查了一下《 ...

win7 无效汗……
回复 支持 反对

使用道具 举报

发表于 2012-8-7 23:23:08 | 显示全部楼层
eaaca1234 发表于 2012-8-7 19:25
win7 无效汗……

32位还是64位系统?OD跟进去有什么反应?

点评

看来64位系统兼容性可不是一般的好……我还是老老实实用LoadLibrary吧……  发表于 2012-8-8 15:07
64位系统……无od……  发表于 2012-8-8 13:30
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-10-6 21:32:44 | 显示全部楼层
@a2si 求大师详细讲解..
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2012-10-7 02:43:16 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-10-7 08:29:36 | 显示全部楼层
本帖最后由 o70078 于 2012-10-7 08:32 编辑
a2si 发表于 2012-10-7 02:43
附加数据读出来,然后清除附加数据, 感染之后再写回附加数据. 不然正常程序中包含了未使用的数据, 会出错. ...


1:附加数据是指什么呢?

2:病毒感染不一定要添加新的节哟......请你下载我的代码去看看吧

3:= =我不明白,修正做什么?不要跟我说程序会检查自己有没被修改过......我把我的"病毒"感染进去的代码放在了程序代码最前边(也就是设定成了程序起点),连我的"病毒"代码都没执行,它检查个毛...
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2012-10-8 01:08:50 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2012-10-8 01:09:03 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-10-8 07:42:35 | 显示全部楼层
a2si 发表于 2012-10-8 01:09
附加数据, 就是文件末尾附加的数据....

那东西能让EXE变成错误的?貌似EXE后面加什么附加数据都不会错误吧?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

文字版|手机版|小黑屋|VBGood  

GMT+8, 2022-7-5 11:15

VB爱好者乐园(VBGood)
快速回复 返回顶部 返回列表