[原创]asm的魅力（五）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]asm的魅力（五）

发表于: 2009-11-30 17:09 13944

[原创]asm的魅力（五）

charme

2009-11-30 17:09

13944

Asm的魅力（五）

120个小时就能学会asm-----------------某小弟

那天个给一个小弟发了一个我用asm写的木马。虽然比较简单，但是是按病毒的写法写的！
他就跟我说了上面的那一句话，我回了他一句：纯粹扯淡！！！

Asm的魅力系统写了4篇了，今天做个完结！写个简单的病毒出来！

我问看过我写的这个系列的文章的朋友，我说看了以后又没有喜欢上asm，他说：的确是！
我很满足，我的目的达到了。

说到病毒，大家其实看到的最多的就是asm写的，从dos时代到nt时代，asm写的病毒都占80%的比例！一些优秀的病毒技术都用asm得到了完美的表达！比如反汇编引擎，变形引擎，多态引擎，加密引擎等等吧！

我也一直支持玩命大哥做的保护壳专题，尤其支持他用asm来表达自己的思想，后来不知道怎么回事又改成c写了。

实际上壳技术是病毒技术的衍生，玩命大哥提到的代码乱序引擎等实际上都来自于病毒技术！

当然病毒毕竟是病毒，我还是支持研究纯正的病毒技术，最大的区别：千万要保证十足的破坏性！

最近还在看老V的 kernel virus class，就是感染驱动的病毒。很有感触！！asm来表达病毒，实在是再完美不过了！！

现在开始我们的正文：

病毒基本技术：重定位，OEP模糊，多态，变形，加密。。。
分别简单的介绍下------------
（一）重定位其实大家见的多了，简单的有两个写法
1.
Call aa
aa:
Pop ebp
Sub ebp,offset aa
[ebp+offset var]

2
Call bb
Base=$
Bb:
Pop ebp
[ebp+offset var-base]
第二种写法实际上比第一种要省一个字节。这些看自己的实际和爱好了。

（二）入口点模糊技术
—修改entry-point（程序入口）字段使之指向病毒代码
—在程序代码中插入一个指向病毒代码的跳转指令
网上有详细的介绍。

（三）（四）（五）多态变形加密等引擎网上都有开源的，大家可以研究下！

现在给大家一个我刚写的病毒：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・8

免费・8

支持

最新回复 (20)
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼 asm 还是常写（在 od 里给壳什么的打补丁之用）用得最多的是 C++ 2009-11-30 20:37 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 3 楼我喜欢ASM 不喜欢SM 2009-11-30 21:19 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 4 楼 [QUOTE=zapline;719929]我喜欢ASM 不喜欢SM[/QUOTE] 呼呼，，我也不喜欢sm 2009-11-30 21:43 0
haidusg 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 43 粉丝 0 关注私信	haidusg 5 楼我也喜欢ASM，我想先把C学好再学ASM，应该会容易一些。 2009-11-30 21:50 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 6 楼看asm就是比C来得亲切！ 2009-11-30 21:55 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 7 楼我一直感觉汇编很实在，用起来很踏实，哈哈。 2009-11-30 23:11 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 8 楼 D大牛也用asm啊，，呼呼，，，，一直不见更新博客，，一直在忙什么呢？ 2009-12-1 09:26 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 9 楼请问这份功力时怎样得到的？太强大了 2009-12-1 09:41 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 10 楼博客早就没兴趣更新了，没想到还有人记得我的博客，谢谢啦。 2009-12-1 13:08 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 11 楼跟进来学习但发现好长晕了 D大牛blog哪儿呢我要看 2009-12-1 15:32 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 12 楼 http://llf6.bokee.com/index.html 早不跟新了 2009-12-2 21:54 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 13 楼这次的文章风格似乎和前几篇不一样啊闲话说了一部分重定位用了10多行其余就是建议网络搜索和大片纯代码不利于理解 2009-12-3 02:01 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 14 楼恩，，是的，，这次是个结尾，我也不想多说什么了，因为毕竟是个病毒，所以我不想多说，但是我又建议大家研究这个，，我也很矛盾，，矛盾 2009-12-3 08:13 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 15 楼大厉害了，跟着学习一下。 2009-12-3 11:02 0
溯雪雪币： 2687 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 115 粉丝 0 关注私信	溯雪 16 楼不知道LZ和各位同志编译运行了没有？我有几个疑问希望有哪位前辈能解答： "mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [systime+4]"能否编译通过？是不是应改为"lea,ax,[systime+2]"。另外，"kernel_base dd 0"和"AGetProcAddressF dd 0"这些定义位于.code段，然后下面两句" mov [ebp+offset kernel_base],ecx"和"mov [ebp+offset AGetProcAddressF],eax"会导致[address]所指的内存区域不能为written.希望哪位好心的大侠能指点迷津！ 2009-12-8 16:38 0
SniperChan 雪币： 287 活跃值： (18) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 77 粉丝 2 关注私信	SniperChan 1 17 楼好文章,汇编的确很强大,正在学习当中. 2009-12-8 20:22 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 18 楼汇编还是C，这是个问题... 2009-12-8 21:30 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 19 楼 [QUOTE=溯雪;723961]不知道LZ和各位同志编译运行了没有？我有几个疑问希望有哪位前辈能解答： "mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [syst...[/QUOTE] 编译选项。。。。。。。。。。。。呼呼。。。 2009-12-8 22:54 0
溯雪雪币： 2687 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 115 粉丝 0 关注私信	溯雪 20 楼如果用MASM32来进行编译，代码有什么需要修改的地方？编译选项有什么要注意的地方？望LZ不啬赐教！恕学生愚钝，实在是不明白LZ的”编译选项“是什么意思，能说得仔细些吗？谢谢！ 2009-12-9 00:01 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 21 楼 [QUOTE=溯雪;723961]不知道LZ和各位同志编译运行了没有？我有几个疑问希望有哪位前辈能解答： "mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [syst...[/QUOTE] 咱们这位小前辈，基础还是要打的哈 /section:.text,RW link的时候加这个选项我以为不用说了呢，就没有写上哎 2009-12-12 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

charme

发帖

143

回帖

320

RANK

关注

私信

他的文章

[原创]垃圾代码发生器[设计+源码] 22169

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼 asm 还是常写（在 od 里给壳什么的打补丁之用）用得最多的是 C++ 2009-11-30 20:37 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 3 楼我喜欢ASM 不喜欢SM 2009-11-30 21:19 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 4 楼 [QUOTE=zapline;719929]我喜欢ASM 不喜欢SM[/QUOTE] 呼呼，，我也不喜欢sm 2009-11-30 21:43 0
haidusg 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 43 粉丝 0 关注私信	haidusg 5 楼我也喜欢ASM，我想先把C学好再学ASM，应该会容易一些。 2009-11-30 21:50 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 6 楼看asm就是比C来得亲切！ 2009-11-30 21:55 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 7 楼我一直感觉汇编很实在，用起来很踏实，哈哈。 2009-11-30 23:11 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 8 楼 D大牛也用asm啊，，呼呼，，，，一直不见更新博客，，一直在忙什么呢？ 2009-12-1 09:26 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 9 楼请问这份功力时怎样得到的？太强大了 2009-12-1 09:41 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 10 楼博客早就没兴趣更新了，没想到还有人记得我的博客，谢谢啦。 2009-12-1 13:08 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 11 楼跟进来学习但发现好长晕了 D大牛blog哪儿呢我要看 2009-12-1 15:32 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 12 楼 http://llf6.bokee.com/index.html 早不跟新了 2009-12-2 21:54 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 13 楼这次的文章风格似乎和前几篇不一样啊闲话说了一部分重定位用了10多行其余就是建议网络搜索和大片纯代码不利于理解 2009-12-3 02:01 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 14 楼恩，，是的，，这次是个结尾，我也不想多说什么了，因为毕竟是个病毒，所以我不想多说，但是我又建议大家研究这个，，我也很矛盾，，矛盾 2009-12-3 08:13 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 15 楼大厉害了，跟着学习一下。 2009-12-3 11:02 0
溯雪雪币： 2687 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 115 粉丝 0 关注私信	溯雪 16 楼不知道LZ和各位同志编译运行了没有？我有几个疑问希望有哪位前辈能解答： "mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [systime+4]"能否编译通过？是不是应改为"lea,ax,[systime+2]"。另外，"kernel_base dd 0"和"AGetProcAddressF dd 0"这些定义位于.code段，然后下面两句" mov [ebp+offset kernel_base],ecx"和"mov [ebp+offset AGetProcAddressF],eax"会导致[address]所指的内存区域不能为written.希望哪位好心的大侠能指点迷津！ 2009-12-8 16:38 0
SniperChan 雪币： 287 活跃值： (18) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 77 粉丝 2 关注私信	SniperChan 1 17 楼好文章,汇编的确很强大,正在学习当中. 2009-12-8 20:22 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 18 楼汇编还是C，这是个问题... 2009-12-8 21:30 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 19 楼 [QUOTE=溯雪;723961]不知道LZ和各位同志编译运行了没有？我有几个疑问希望有哪位前辈能解答： "mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [syst...[/QUOTE] 编译选项。。。。。。。。。。。。呼呼。。。 2009-12-8 22:54 0
溯雪雪币： 2687 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 115 粉丝 0 关注私信	溯雪 20 楼如果用MASM32来进行编译，代码有什么需要修改的地方？编译选项有什么要注意的地方？望LZ不啬赐教！恕学生愚钝，实在是不明白LZ的”编译选项“是什么意思，能说得仔细些吗？谢谢！ 2009-12-9 00:01 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 21 楼 [QUOTE=溯雪;723961]不知道LZ和各位同志编译运行了没有？我有几个疑问希望有哪位前辈能解答： "mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [syst...[/QUOTE] 咱们这位小前辈，基础还是要打的哈 /section:.text,RW link的时候加这个选项我以为不用说了呢，就没有写上哎 2009-12-12 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复