首页
社区
课程
招聘
[原创]asm的魅力(五)
发表于: 2009-11-30 17:09 13944

[原创]asm的魅力(五)

2009-11-30 17:09
13944

Asm的魅力(五)

120个小时就能学会asm-----------------某小弟

那天个给一个小弟发了一个我用asm写的木马。虽然比较简单,但是是按病毒的写法写的!
他就跟我说了上面的那一句话,我回了他一句:纯粹扯淡!!!

Asm的魅力系统写了4篇了,今天做个完结!写个简单的病毒出来!

我问看过我写的这个系列的文章的朋友,我说看了以后又没有喜欢上asm,他说:的确是!
我很满足,我的目的达到了。

说到病毒,大家其实看到的最多的就是asm写的,从dos时代到nt时代,asm写的病毒都占80%的比例!一些优秀的病毒技术都用asm得到了完美的表达!比如反汇编引擎,变形引擎,多态引擎,加密引擎等等吧!

我也一直支持玩命大哥做的保护壳专题,尤其支持他用asm来表达自己的思想,后来不知道怎么回事又改成c写了。

实际上壳技术是病毒技术的衍生,玩命大哥提到的代码乱序引擎等实际上都来自于病毒技术!

当然病毒毕竟是病毒,我还是支持研究纯正的病毒技术,最大的区别:千万要保证十足的破坏性!

最近还在看老V的 kernel virus class,就是感染驱动的病毒。很有感触!!asm来表达病毒,实在是再完美不过了!!

现在开始我们的正文:

病毒基本技术:重定位,OEP模糊,多态,变形,加密。。。
分别简单的介绍下------------
(一)重定位其实大家见的多了,简单的有两个写法
1.
Call aa
aa:
Pop ebp
Sub ebp,offset aa
          [ebp+offset var]

2
Call bb
Base=$
Bb:
Pop ebp
[ebp+offset var-base]
第二种写法实际上比第一种要省一个字节。这些看自己的实际和爱好了。

(二)入口点模糊技术
—修改entry-point(程序入口)字段使之指向病毒代码
—在程序代码中插入一个指向病毒代码的跳转指令
网上有详细的介绍。

(三)(四)(五)多态变形加密等引擎网上都有开源的,大家可以研究下!

现在给大家一个我刚写的病毒:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 8
支持
分享
最新回复 (20)
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
asm 还是常写 ( 在 od 里给壳什么的打补丁之用 )
用得最多的是 C++
2009-11-30 20:37
0
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我喜欢ASM 不喜欢SM
2009-11-30 21:19
0
雪    币: 112
活跃值: (48)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
4
[QUOTE=zapline;719929]我喜欢ASM 不喜欢SM[/QUOTE]

呼呼,,我也不喜欢sm
2009-11-30 21:43
0
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我也喜欢ASM,我想先把C学好再学ASM,应该会容易一些。
2009-11-30 21:50
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
6
看asm就是比C来得亲切!
2009-11-30 21:55
0
雪    币: 622
活跃值: (65)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
7
我一直感觉汇编很实在,用起来很踏实,哈哈。
2009-11-30 23:11
0
雪    币: 112
活跃值: (48)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
8
D大牛也用asm啊,,呼呼,,,,一直不见更新博客,,一直在忙什么呢?
2009-12-1 09:26
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
请问这份功力时怎样得到的 ? 太强大了
2009-12-1 09:41
0
雪    币: 622
活跃值: (65)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
10
博客早就没兴趣更新了,没想到还有人记得我的博客,谢谢啦
2009-12-1 13:08
0
雪    币: 370
活跃值: (52)
能力值: ( LV13,RANK:350 )
在线值:
发帖
回帖
粉丝
11
跟进来学习 但发现好长 晕了
D大牛blog哪儿呢 我要看
2009-12-1 15:32
0
雪    币: 112
活跃值: (48)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
12
http://llf6.bokee.com/index.html
早不跟新了
2009-12-2 21:54
0
雪    币: 49
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
这次的文章风格似乎和前几篇不一样啊
闲话说了一部分 重定位用了10多行
其余就是建议网络搜索和大片纯代码
不利于理解
2009-12-3 02:01
0
雪    币: 112
活跃值: (48)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
14
恩,,是的,,这次是个结尾,我也不想多说什么了,因为毕竟是个病毒,所以我不想多说,但是我又建议大家研究这个,,我也很矛盾,,矛盾
2009-12-3 08:13
0
雪    币: 202
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
大厉害了,跟着学习一下。
2009-12-3 11:02
0
雪    币: 2687
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
不知道LZ和各位同志编译运行了没有?我有几个疑问希望有哪位前辈能解答:
"mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [systime+4]"能否编译通过?是不是应改为"lea,ax,[systime+2]"。
另外,"kernel_base dd 0"和"AGetProcAddressF dd 0"这些定义位于.code段,然后下面两句" mov [ebp+offset kernel_base],ecx"和"mov [ebp+offset AGetProcAddressF],eax"会导致[address]所指的内存区域不能为written.希望哪位好心的大侠能指点迷津!
2009-12-8 16:38
0
雪    币: 287
活跃值: (18)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
好文章,汇编的确很强大,正在学习当中.
2009-12-8 20:22
0
雪    币: 442
活跃值: (107)
能力值: ( LV9,RANK:350 )
在线值:
发帖
回帖
粉丝
18
汇编还是C,这是个问题...
2009-12-8 21:30
0
雪    币: 112
活跃值: (48)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
19
[QUOTE=溯雪;723961]不知道LZ和各位同志编译运行了没有?我有几个疑问希望有哪位前辈能解答:
"mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [syst...[/QUOTE]

编译选项。。。。。。。。。。。。呼呼。。。
2009-12-8 22:54
0
雪    币: 2687
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
如果用MASM32来进行编译,代码有什么需要修改的地方?编译选项有什么要注意的地方?望LZ不啬赐教!恕学生愚钝,实在是不明白LZ的”编译选项“是什么意思,能说得仔细些吗?谢谢!
2009-12-9 00:01
0
雪    币: 112
活跃值: (48)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
21
[QUOTE=溯雪;723961]不知道LZ和各位同志编译运行了没有?我有几个疑问希望有哪位前辈能解答:
"mov ax,WORD ptr offset [systime+2]"和"mov ax,WORD ptr offset [systime+6]","mov ax,WORD ptr offset [syst...[/QUOTE]

咱们这位小前辈,基础还是要打的哈

/section:.text,RW

link的时候加这个选项

我以为不用说了呢,就没有写上

2009-12-12 23:16
0
游客
登录 | 注册 方可回帖
返回
//