经验知识:病毒编写简介_计算机的基本知识_IT /计算机_信息_病毒安全_
编写病毒简介如果某人由于阅读本文而写了任何恶性病毒并对社会造成了任何伤害,则与我无关。我只是讨论一些理论知识。撰写本文的目的:1.像流行知识一样普及病毒知识。即使是老(对我来说是什么?沮丧)和老也必须了解性知识,因此热爱编程的人也应该了解一些病毒编写原理。 2.弘扬中国的病毒事业。本文的读者:1.熟悉Win32程序集。不懂编译,只懂VB?是的,VB也可以编写“病毒”,但这还不错吗? 2.熟悉PE结构。晕!如果您甚至都不了解PE文件的结构,还应该感染谁? 3.对病毒有“认真的”爱,至少不要讨厌它。由于本文包含的成分可能会引起PC用户的不满意,因此,如果您不喜欢病毒,请迅速离开。 4.如果您是病毒专家,请不要嘲笑本文的肤浅性。这最初是一篇介绍性文章。我希望会有大量中国人编写的病毒。 5.这是开始编写病毒的最基本技术。如果您真的是一个大师(您真的是一个大师?您怎么真正成为一个大师?:)),则无需阅读它。 1.如何获取Kernel32 API的地址?该病毒没有导入表,获取主机程序的导入表已不再流行。当前的通用技术是从4G地址空间中暴力破解Kernel32的基址,然后从Kernel32的导出表中找到所需的API地址。
一旦有了Kernel32的API,很容易导入其他DLL的API,至少可以使用LoadLibraryA和GetProcAddress(这是很好的基本方法)。首先,确定Kernel32的基地址。在98、2K和XP下,此地址不同。请注意,好的病毒不能过分依赖特定操作系统的特性,因此我们不能在病毒体内编写无效的77E80000。因此,我们必须进行搜索。通常,在执行程序时,Kernel32被映射到其地址空间,这就是为什么我们可以搜索其地址的原因。看一下这三个操作系统的基址,98是BFF70000,2K是77E80000,XP是77E60000,好的,所有都在7000万以上,我们可以从这里开始。当然,如果一次搜索一个字节,速度太慢。通常,DLL定位在1M边界,因此我们可以使用10000作为跨度。还有另一个问题。并非所有4G空间都是可读的,并且在某人(?美通常不会很好地理解计算机,(旁白:我是女程序员,看到的都是美丽的女人))^ _ ^)怀疑。因此,我们应该立即分配一块内存,将自己复制到内存中,在其中创建一个病毒线程,然后立即返回主机程序。好吧,现在主机程序正在正常运行,并且我们的病毒已经正式开始,hoho,开始我们的恶魔之旅。第三,感染和再感染,要尽快感染!感染是病毒长期生存的基础,因此我们必须进行搜索,然后在感染后被感染! FindFirstFile,FindNextFile,FindClose,除非您挂钩某些系统API(请参阅Win32.Kriz),否则这三个API对于Win32病毒,搜索和搜索,感染和感染都是必需的。我不需要特别说明如何搜索:)。第四,用什么方式?目前,Win32病毒分为两种主流。最常见的一种是覆盖主机程序最后一部分的重定位,也可以直接在最后一部分之后添加后缀以放大它。
此技术非常简单。有关示例,请参见Funlove。具有复杂的多态性引擎和相对较大数量的病毒通常使用此技术。第二类是像Elkern一样将自己尽可能地插入宿主体内。对于由VC编译的PE文件,其文件对齐为4K,因此各节之间的总距离可能为4。5K,足以容纳Win32病毒。此技术比较麻烦,调试也很复杂。最受欢迎的是Elkern。 (CIH的方法类似,但是是Win95病毒,不在本教程中)。五,还有什么可做的?为了生存,我们必须尽可能长时间地保留在内存中,而不是在主机程序结束时立即终止(许多早期的Win32病毒都是这样的:()。有两种方法可以做到这一点,一种是像Funlove一样,将文件拖放到系统目录中并修改注册表或创建系统服务,这种方法非常普遍,大多数病毒(包括蠕虫)都这样做,但是,释放文件太容易让人注意到。另一种方法是感染所有正在运行的进程,一种好方法是Win2K易于实现,即CreateRemoteThread,但如果要在所有Win32平台上实现它,则需要相对较高的技能,这不在本入门教程的范围内。
当然,如果您可以编写在所有Win32平台上均可使用的ring 0病毒,那么我将为您服务。这不是不可能的,但是该病毒会相对较大,令人厌烦并且不具有普遍性。 6.如何快速感染。记住两个最基本的要点。 1.搜索尽可能多的文件而不引起注意。写完病毒后,运行它。如果它可以在一个文件一个小时内搜索到15000?20000,并且您没有听到硬盘驱动器发出疯狂旋转的声音,那么恭喜您,您的病毒可以很快被感染。 2.使用文件映射API代替ReadFile和WriteFile,后者速度较慢。七,什么大小是Win32病毒的最佳大小。答案是,越小越好,最好在3K到6K之间(沮丧,底线与我的月薪非常相似:()。)如今,一些专门研究病毒的年轻人写道,病毒越来越大,而变态病毒必须是最小的80K,hmmmmmmmmmmmmmmmm,不,这不好,用户很难找到这么大的东西,我认为多态或变态不是最重要的,普通用户不会完全可以分解病毒代码。无论变态多么强大,引擎也将被AVers杀死,因此适当的多态性足以欺骗小女孩。
如果您不相信我,请看看Funlove没有任何加密或多态性。它不是最受欢迎的Win32病毒吗?如果您热衷于变态,建议不要撰写有关病毒的文章,而应撰写反汇编程序,并努力超越IDA pro。我本来想用英语写这本书,以便“国际化”,但是我的英语不好,外国人可以理解,但中国人可能不理解,所以我将用中文写我的第一篇病毒学教学文章。 ,稍后将其翻译成英文。阅读上面的简单教程,再加上自己的辛勤工作,并参考一些病毒源代码后,相信您也可以相对轻松地编写Win32病毒。不要担心别人会嘲笑您的愚蠢病毒,充满自信地写它,并且别忘了在完成* ^ __ ^ *之后告诉我。对于一些我没有提到的细节,希望您自己研究一下,不要问我。如果您在我的帮助下编写了病毒,则您的病毒级别不会超过我。我希望每个人的病毒水平都超过我的水平,并促进中国的病毒事业,哈哈。
本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-343344-1.html
……