;调用示例：
;clc
;push pe_fileseize
;call cal_checksum cal_checksum:
adc bp,word [esi] ;初始esi指向文件头，ebx 中保
存的是文件大小
inc esi
inc esi
loop cal_checksum
mov ebx,[esp+4]
adc ebp,ebx ;ebp 中存放的就是PE 的校验和
ret 4
　　除了PE头部的校验和之外，很多程序自身也有校验模块，如Winzip 和Winrar 的自解压文件，如果被感染，将造成无法正常解压缩。因此对于类似的PE文件，病毒应尽量不予感染。

　　Elkern 中感染文件修改文件相关的代码在infect.asm中，该病毒首先尽可能地利用PE 的头部和节的间隙存储自身代码，若所有间隙仍不足以存放病毒代码，则附加到最后一个节上，限于篇幅相关代码从略，感兴趣的读者请自行参阅。

　　事实上，除了在上边提到的病毒重定位、API地址的获取、文件搜索、修改感染PE等基本技术之外，关于病毒技术还有很重要的几个方面没有提及：病毒的内存驻留感染技术、内核模式病毒技术、抗分析以及隐藏技术（EPO、多态和变形技术等）。

　　内存驻留感染是前述主动全盘搜索技术的变形，病毒代码驻留内存被动地等待用户事件或等待程序代码执行到指定的路径被唤醒以执行感染操作。内核态病毒，也称ring0病毒，是指那些运行在ring0特权级内核模式下的病毒，这类病毒相当特殊，需要调用内核驱动接口实现感染和传播等操作，由于NT内核的复杂性，这类病毒非常难于编写，另外由于不同版本的NT系统之间内核的差异，欲令病毒稳定运行编写者需要付出额外的努力，最后的结果可能还是会由于测试的不充分而很快因蓝屏事故而被发现，这将严重影响病毒的传播速度和传播范围。ring0 病毒比较少，其中最著名的ring0 病毒当非CIH莫属了，但由于其巨大的破坏性，格外引人注目。由于ring0病毒数量不多而且非常复
杂，本文篇幅所限，不做深入介绍。对抗杀毒软件、抗分析以及病毒自身的隐藏技术可以说是病毒技术近年来除利用社会工程学借助网络快速传播之外的又一个重要发展方向，其目的在于对抗或逃避杀毒软件的扫描，最大限度地延长其生存期，主要包括EPO（入口点模糊）技术、加密技术、多态和变形技术等。作者将在后续的文章中陆续向读者进行介绍。 内存驻留感染技术

　　如果读者曾经使用过MS-DOS的话，对驻留内存、截获中断以执行特定操作的程序（TSR）一定不会陌生。在MS-DOS时代，不仅正常的应用程序大量使用TSR技术，病毒同样也利用TSR 技术驻留内存，监视文件读写操作并伺机进行感染。

　　在Windows NT下，各个进程的地址空间被隔离了，不同进程之间不能自由地相互访问内存，而且对于用户态代码有了访问限制：ring3程序代码只能读写其进程空间中应用专属的部分（在进程空间为4GB 的情况下，通常是低2GB），对系统内核部分占用的空间是没有读写权限的。这使得内存驻留感染变得困难，不过类似的想法和技术仍然是可能实现的，需要做的不过是一点变通：既然每个进程有其专属的进程空间，尽管不能做到永久驻留，但病毒代码至少在进程的生命期内仍然是可以驻留的；既然Windows下仍然有作用和DOS下中断相同的API，那么病毒自然可以截获API，从而监视文件读写，伺机进行感染。

　　截获API 的技术通常被称为Hook 技术，实现起来也比较简单：修改API 的入口点代码，将其修改为指向病毒代码的跳转指令，在病毒代码开始处保存传递给API的参数，待病毒代码执行完毕后再恢复API 的入口代码和保存的参数，重新跳转到API 的入口使得程序继续执行。HOOK API还有其它的几种变形，比如修改Import 表的API地址指针；修改调用API点的CALL指令；或者是为了防止API Hook检查修改API 函数的尾部或中间部分的某条指令而获取控制权，思路都是类似的。

　　既然前面介绍了全盘搜索感染技术，那么为什么病毒还大量使用内存驻留感染技术呢？

　　让我们回头思考一下，随着存储媒质价格的降低，用户配备的可存储媒质的容量也越来越大，但是磁盘读写速度并没有大幅提高，普通的全磁盘搜索是很耗时的。试想一下用户在双击了某个程序后，10分钟之后才出现界面的情况，即使是初次使用计算机的用户也会暗生疑窦，这对于病毒的隐藏和传播是极端不利的。因此那些流行的病毒并不在获得控制权后直接进行全盘搜索感染，而是采用了如下的变通：

　　A) 仅搜索当前目录并对其中的PE 文件进行感染，然后迅速将控制权交给宿主程序。

　　B) 创建单独执行的线程后，马上把控制权交给宿主程序。在用户进行操作的同时进行当前目录或全盘的搜索感染。

　　C) 采用Hook 技术监视文件或目录相关的API操作，对用户操作的文件或其所在的目录下的可执行文件进行感染。

　　搜索当前目录的技术已经在前面进行了讨论。下面主要讨论B和C中涉及到线程技术和内存驻留Hook感染技术。

　　1.创建独立的线程

　　如果读者熟悉Win32 API 程序设计，对CreateThread这个API一定不会陌生。每个线程都是一个独立的执行单元，也是Windows内核进行调度以及时间片分配的最基本的单位，同一进程内所有线程共享同一地址空间内的资源。病毒可将真正的功能部分放到该线程部分去执行。病毒代码可以在宿主程序运行的同时得以执行，普通用户通常难以察觉。

　　2.内存驻留Hook感染技术

　　上面提到的线程模型还是有缺陷的，试想一下，如果宿主程序一执行马上就退出了怎么办呢？病毒的感染线程可能还没有开始运行呢。值得注意的是：Win32线程模型中如果一个线程执行了ExitProcess调用，其它正在运行的线程不会自动得到通知。病毒代码可能还尚未执行完成就退出了，试想一下感染线程在感染某个PE文件时写入自身代码时只写入了一半的情况。尽管类似的情况在现实中极少发生，但要想提高病毒的传染能力和隐蔽性这却又是必须要考虑的问题。

　　此外，用单独线程进行全盘搜索和感染，仍然会造成计算机CPU 资源被大量占用，用户可能会注意到程序运行缓慢、硬盘指示灯狂闪等现象。当然，可以采用感染少量文件后休眠一会继续感染或者仅在计算机空闲时进行感染来解决。

　　让我们换个角度重新思考一下：真的有必要搜索全盘然后感染所有的PE 文件吗？或者，全盘搜索感染模型效率高吗？事实上，用户计算机硬盘上的PE 文件有很大一部分是很少有机会执行的，除系统程序外，经常运行的程序只有很少的几个：可能是几个游戏程序，也可能是用户的业务程序。如果占用资源去感染那些很少有机会被执行的PE 文件，除演示病毒的感染性的概念之外意义是不大的。相反，如果优先感染那些用户经常执行的程序，即使每次只感染少量的文件，病毒的传播速度也会得到大幅提升。鉴于此，现代病毒作者经常使用一条简单的启发式规则：优先感染那些经常被用户或用户程序访问的PE 文件或经常访问的文件夹下的PE 文件。这样病毒就从被感染文件开始，逐渐扩散感染与该程序相关或在逻辑位置（目录层次）比较接近的PE文件，最后直至整个磁盘上的文件都被感染。

　　无论是想要在进程结束时得到通知，还是实现上述的文件感染模型都可借助于Hook 技术来解决。通过Hook 文件或目录操作相关的API，病毒就能获取正在操作的PE文件路径或目录，从而对正在操作的PE文件或正在操作的目录下的PE文件进行感染。有关文件或目录操作的相关API包括：

CopyFile CopyFileEx CreateFile FindFirstFile FindFirstFileEx
FindNextFile GetCurrentDirectory SetCurrentDirectory GetFileAttributes
SetFileAttributes GetFileSize GetFileType GetFullPathName LockFile
LockFileEx MoveFile MoveFileEx SearchPath UnlockFile UnlockFileEx

　　如果想在进程或线程结束时获得通知或进行感染操作可Hook 如下API：

ExitProcess TerminateProcess ExitThread TerminateThread

　　如果不考虑9X 系统，Hook API 还可以考虑Hook Native API。Windows 系统内核代码运行在CPU 保护模式下的ring0特权级，普通应用程序运行在ring3特权级，普通应用程序执行IO 操作、访问内存资源等都受到严格的限制，加上Windows NT系统严格的用户权限审查机制，不同用户对资源的访问权限不同，使得病毒在运行时要考虑的因素越来越多。但反观ring0 特权级的程序，执行时没有任何限制，因此ring0 病毒对病毒编写者有着独特的吸引力。Windows 9X 下普通的Ring3应用程序切入ring0 模式非常容易，但在Windows NT系统下则困难得多，但也不是不可能的：最通用的方法就是采用内核模式驱动的加载机制将病毒自身代码写入驱动文件然后加载；另外的一些技巧还包括感染
Windows 内核驱动文件或修改NTLDR 的IDT、GDT表项的访问限制位使得在ring3 可以访问从而使得病毒代码切入ring0；除此之外还可以利用\Device\PhysicalMemory对象的漏洞切入ring0。

　　最成功的ring0 病毒就是大名鼎鼎的CIH，不过该病毒只能运行在Win9X 系统下。但在Windows NT系统下，尽管仍然可能切入ring0，但很少有大规模流行的ring0 病毒，这是由于NT系统内核处理流程非常复杂，编写一个在各个版本的NT系统上都能稳定运行的ring0病毒难度不小，需要更加高超的编程技巧并经过大量的测试。因此ring0病毒数量较少，鉴于此本文将不再作深入介绍。

　　病毒抗分析技术

　　当今反病毒已经成为一个产业，病毒在被发现之后，为数众多的杀毒厂商会迅速分析该病毒并升级其病毒库或推出专杀工具，颇有“老鼠过街，人人喊打”之势。但这一切都是建立在对病毒代码和病毒行为分析的基础上的。

　　从病毒的角度来讲，对抗病毒分析和动态静态查杀还是有意义的，尽管再狡猾的狐狸也难逃有经验猎手的追捕，但抗分析和查杀技术至少可以在一定程度上延缓反病毒厂商推出杀毒方案的时间，从而延长病毒的生命周期、扩大传播范围。

上一页 [1] [2] [3] [4] 下一页

上一篇:在内存中修改数据的网游外挂

下一篇:恶意代码的亲密接触之文件搜索和API导址

亲密接触恶意代码之文件感染和内存驻留相关文章：

·QQ空间免费换皮肤代码

·qq空间皮肤背景代码：QQ空间不用Q币更换主页皮肤方法

·QQ空间透明flash代码

·[最新QQ空间代码]QQ空间花,漂浮物、开场动画代码

·MPEG、RM、WMV电影文件格式转换指南

·免费领养QQ空间五级花最新技巧及代码放送

亲密接触恶意代码之文件感染和内存驻留相关软件：

·死亡之屋3 内存修改器

·三国志10威力加强PK版中文版内存+存档+剧本修改器v1.10

·最强文件加密锁2007

·巨城文件保险柜 v2.3

·Ultra RM Converter(Real文件转换分割,合并)V3.3.0916 汉化版

·Allok Video Splitter(视频文件分割)V2.2 0726 修正II版

·联想OEM Winxp的5个文件

·剑侠情缘外传月影传说中文版完美内存修改器v2.0A版

·文件夹加密器V9.6

·西门子plc软件及教程文件类型其它介绍

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot