码迷,mamicode.com
首页 > Windows程序 > 详细

Win32 PE病毒入门1

时间:2015-08-28 02:04:40      阅读:436      评论:0      收藏:0      [点我收藏+]

标签:

本文面向的读者:
  1,熟悉Win32汇编。不懂汇编只懂VB?没错,VB也可以写出“病毒”,但那是不是太惨了点?
  2,熟悉PE结构。faint!如果连PE文件结构都不知道,还去感染谁啊。
  3,对病毒有“严重”的热爱,至少也不要讨厌。由于本文含有可能招致PC用户不满的成分,所以如果你不喜欢病毒,请快快离去。
  4,如果你是个病毒高手,不要笑本文的肤浅,这本来就是入门文章,希望籍此能出现一大批中国人写的病毒。
  5,这是最基本的病毒编写入门技术,如果你真的是高手(你真的是高手?你怎么会真的是高手???:)),可以不用看了。
  一,怎样获取Kernel32 API的地址?
  1. 病毒无import table,而且现在已经不时髦去攫取host程序的import table了。
  2. 现在通用的技术是从4G的地址空间中暴力搜索Kernel32的基地址,然后从Kernel32的export table中找到所需要的API的地址。一旦有了Kernel32的API,想导入其它DLL的API也就容易了,至少可以用LoadLibraryA和GetProcAddress(呵呵,好基本的方法)。
  首先要确定Kernel32的基地址。
  这个地址在98,2K,XP下都不同。注意,一个好的病毒不能过分依赖某个OS的特性,所以我们不能在病毒体内写个死的77E80000。所以我们要搜出来。一般一个程序执行时,Kernel32都被映射到它的地址空间了,这就是我们为什么可以搜索它的地址的原因。
  看看三个OS的基地址,98为BFF70000,2K为77E80000,XP为77E60000,Ok,都在70000000以上,我们可以就从这里开始。当然如果一个一个字节搜索,那么也太慢了,一般DLL定位都在1M边界,所以我们可以以10000为跨度。
  还有一个问题,4G空间不全是可读的,搜到某个地方就会出现GPE错误。怎么办?hmmmmmmmmmmmm,M$已经想到了这点,在Win32里提供了一种叫做SEH的技术,可以让你掐死出现的错误,使你的程序继续执行而不崩溃。具体SEH在汇编中的写法,只要几条指令,大家可以自己去找些病毒看一下就知道了。
  注意到PE文件和内存中的映像很相似,所以我们就可以按下面这个方式来搜索Kernel32
  ebx->current address,now is 70000000h
  Set SEH frame
  #1
  ebx = ebx + 10000h
  if ebx == 0 then 郁闷中。没找到Kernel32???是崩溃还是返回host随你了,我无话可说。
  word ptr [ebx] == ‘ZM‘ ?no,goto #1
  eax = ebx + 3ch
  eax = ebx + [eax]
  word ptr [ebx] ==‘EP‘ ?no,goto #1
  now we are sure this is a PE image,let‘s look up whether it‘s a dll,if not,goto #1
  then check the export dll name ,if it‘s not ‘KERNEL32.DLL‘,goto #1
  Now go into it‘s export table,get the APIs address which we use to start our smart work,hahahaha.
  Remove SEH frame
  ......
  SEH handler:
  resume to #1
  具体细节问题,大家自己去研究。目前大多数Win32病毒都是这个过程,当然具体实现方法会有不同。
  二,然后干什么?
  记住一个病毒编写的真理:越快返回host程序越好,否则一个明显的延迟会引起一个哪怕是美女用户(?美女通常不是很懂计算机,(画外音:我见过的女程序员都是美女)^_^)的怀疑。所以我们应该立刻分配一块内存,把自己拷贝进去,在那里创建一个病毒线程,然后立刻返回host程序。好了,现在host程序正常运行,而我们的病毒也开始正式启动了,hoho,开始我们的恶魔之旅。
  三,感染再感染,尽可能快速尽可能多的感染!
  感染是一个病毒赖以长期存活的根本,所以我们要大规模的搜索,感染感染再感染!
  FindFirstFile,FindNextFile,FindClose,除非你hook了某些系统API(参考Win32.Kriz),否则这三个API是Win32病毒必备的、搜索再搜索,感染再感染。具体怎么搜索就不用我说了吧:)。
  四,以什么方式感染?
  目前Win32病毒分为两个主流,一类最常见,覆盖host程序最后一个section的relocation,或者干脆直接缀在最后一个section后面,把它扩大一些。这种技术很简单,例子可参见Funlove,有着复杂的polymorphism引擎体积比较大的病毒一般也都用这种技术。
  第二类就是像Elkern那样把自己尽可能地插进host体内,尽可能地插,对于VC编译出来的PE文件,它的file alignment是4K,所以section之间的空隙加起来很可能有4,5K,足可以容下一个Win32病毒。这种技术比较麻烦一些,调试也复杂,主要流行的有Elkern。(CIH的方法也类似,但那是Win95病毒,不在本教程之内)。
  五,还要做些什么?
  为了生存,我们要尽可能长时间地驻留在内存中,而不是host程序一结束就完蛋了(很多早期的Win32病毒都是那样的:()。这也有两种方法,一是象Funlove那样在系统目录里drop一个文件,并修改注册表或者建立一个系统服务。这种方式很普通,也很普遍,大多数病毒包括蠕虫都这么干。但,呵呵,释放一个文件,太容易让人注意。另一种方式则是感染所有的已运行进程。好方法,在Win2K下很容易实现,CreateRemoteThread,但要想在所有Win32平台下实现,则要比较高的技巧,不在本入门教程范围之内。
  当然,如果你能写个工作在所有Win32平台的ring 0病毒,那么I服了you。这不是不可能的,但病毒会比较大,也很没劲,不通用。
  六,怎样快速感染
  记住两点最基本的
  1,在不引起注意的前提下尽可能多地搜索文件,当你写完一个病毒以后,运行它,如果它能在一个小时内搜索15000~20000个文件而你没有听到硬盘狂转的声音,那么恭喜你,你的病毒可以快速感染了。
  2,使用File Mapping APIs,不要用ReadFile和WriteFile,后者更慢。
  七,Win32病毒最好要多大的size。
  答案是越小越好,最好在3K~6K之间(郁闷,底线很像我的月薪:()。现在一些专门研究病毒的年轻人写的病毒越来越大,一个metamorphism病毒最小也要80K,hmmmmmmmmmmmmmm,不行,那样不行,那么大的一个东东,用户太容易发现了。愚以为,polymorphism或者metamorphism都不是最重要的,一般用户根本不会反汇编你的病毒代码,再厉害的metamorphism引擎也要被AVers干掉,所以,适当的polymorphism,骗骗小姑娘就可以了。不信你看看,Funlove没有任何的encryption或者polymorphism,还不是最流行的Win32病毒?如果热衷于metamorphism,建议别写病毒,改行去写disassembler,争取超过IDA pro。
  本来想用英文写的,好走向“国际化”,但我的烂英文,外国人可以看懂,可中国人不一定明白,所以先将就用中文写这个我的第一篇病毒教学文章了,以后再翻成英文吧。
  看了上面的简单教程,再加上你自己的努力钻研,并去参考一些病毒源代码,相信你也可以比较容易地写出一个Win32病毒。别怕别人笑你的病毒笨,放心地写,写完了别忘记给我看看哦*^__^*。

Win32 PE病毒入门1

标签:

原文地址:http://www.cnblogs.com/mayingkun/p/4765217.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!