關於PE病毒編寫的學習 三

2021-09-30 06:32:20 字數 1250 閱讀 3136

歷史上,在windows95發布後,用高階語言編寫的外殼病毒,經過簡單地改造編譯,就能從dos平台遷移到windows平台上。

並且在這當中很多「前置病毒」,僅僅需要重新編譯。

另外之所以用「前置病毒」作為第一分析樣本,理由如下:

1.它具有基本病毒功能模組,這些模組在檔案型病毒中是通用的

2.其框架結構,所需病毒技巧極少

3.拓展方便,通過不斷地加入新功能,循序漸進的學習各種病毒技巧

4.載入新模組方便,適合測試其它病毒的某些功能模組

那麼何謂「前置病毒」?

**:檔案型病毒至少有這四個模組:

1.條件模組:判斷觸發條件和尋找符合條件的宿主檔案

2.破壞模組:

3.感染模組:

4.宿主程式引導模組:將病毒的控制權移交給所觸發病毒檔案的宿主程式

樣例:

1.條件模組:

功能:搜尋病毒檔案所在目錄中,規定數目的exe檔案

//開啟符合條件的檔案

handle openhostfile(const win32_find_data *phost,dword *ncount)

//搜尋函式

dword findhostfile(handle *szhostfilehandle,dword dwfindnumber)

3.破壞模組:

功能:僅僅列印提示。

void destory()

4.宿主程式引導模組

功能:建立臨時檔案,將所觸發的病毒檔案的宿主程式寫入,然後啟動

void jumplocalhostfile(handle hlocalfile)

;if(createprocess(sztemppath,null,

null,null,

false,normal_priority_class,

null,null,

&si,&information))

5.程式入口

#include "stdafx.h"

#include

#include

#include

#include

int apientry _twinmain(hinstance hinstance,

hinstance hprevinstance,

lptstr    lpcmdline,

int       ncmdshow)

後面幾章,我們將逐漸優化這段**,加入新功能,來學習病毒技巧,為將來的pe病毒打基礎

關於感染型病毒的那些事 三

csdn沒有彙編 的高亮 用c 的注釋形式給出,上面的反彙編 的思路是這樣的 getmodulefilenamea 獲取當前程式路徑,設定釋放資源 宿主 程式的路徑 createfilea 建立資源程式檔案 findresourcea 查詢該資源 loadresource sizeofresourc...

關於1980病毒的查殺

前幾日,我的機器關機後重啟,系統日期就莫名地變為1980年4月1日,導致一些程式無法執行。每天關機後再開機都是這樣,日期變成1980年4月1日,但時間沒有被修改,在網上搜了搜,原來是中1980病毒了,這個病毒把感染的機器的系統日期改為1980年。關於電腦時間變成1980.4.1的解決辦法 預防 使用...

關於病毒的映像劫持

當前的木馬 病毒似乎比較鍾情於 映像劫持 通過其達到欺騙系統和防毒軟體,進而絕殺安全軟體接管系統。小水最近就遇到這種型別的木馬病毒,下面把自己有關映像劫持的學習心得寫下來與大家交流。一 原理 所謂的映像劫持 ifeo 就是image file execution options 它位於登錄檔的 hk...