歷史上,在windows95發布後,用高階語言編寫的外殼病毒,經過簡單地改造編譯,就能從dos平台遷移到windows平台上。
並且在這當中很多「前置病毒」,僅僅需要重新編譯。
另外之所以用「前置病毒」作為第一分析樣本,理由如下:
1.它具有基本病毒功能模組,這些模組在檔案型病毒中是通用的
2.其框架結構,所需病毒技巧極少
3.拓展方便,通過不斷地加入新功能,循序漸進的學習各種病毒技巧
4.載入新模組方便,適合測試其它病毒的某些功能模組
那麼何謂「前置病毒」?
**:檔案型病毒至少有這四個模組:
1.條件模組:判斷觸發條件和尋找符合條件的宿主檔案
2.破壞模組:
3.感染模組:
4.宿主程式引導模組:將病毒的控制權移交給所觸發病毒檔案的宿主程式
樣例:
1.條件模組:
功能:搜尋病毒檔案所在目錄中,規定數目的exe檔案
//開啟符合條件的檔案
handle openhostfile(const win32_find_data *phost,dword *ncount)
//搜尋函式
dword findhostfile(handle *szhostfilehandle,dword dwfindnumber)
3.破壞模組:
功能:僅僅列印提示。
void destory()
4.宿主程式引導模組
功能:建立臨時檔案,將所觸發的病毒檔案的宿主程式寫入,然後啟動
void jumplocalhostfile(handle hlocalfile)
;if(createprocess(sztemppath,null,
null,null,
false,normal_priority_class,
null,null,
&si,&information))
5.程式入口
#include "stdafx.h"
#include
#include
#include
#include
int apientry _twinmain(hinstance hinstance,
hinstance hprevinstance,
lptstr lpcmdline,
int ncmdshow)
後面幾章,我們將逐漸優化這段**,加入新功能,來學習病毒技巧,為將來的pe病毒打基礎
關於感染型病毒的那些事 三
csdn沒有彙編 的高亮 用c 的注釋形式給出,上面的反彙編 的思路是這樣的 getmodulefilenamea 獲取當前程式路徑,設定釋放資源 宿主 程式的路徑 createfilea 建立資源程式檔案 findresourcea 查詢該資源 loadresource sizeofresourc...
關於1980病毒的查殺
前幾日,我的機器關機後重啟,系統日期就莫名地變為1980年4月1日,導致一些程式無法執行。每天關機後再開機都是這樣,日期變成1980年4月1日,但時間沒有被修改,在網上搜了搜,原來是中1980病毒了,這個病毒把感染的機器的系統日期改為1980年。關於電腦時間變成1980.4.1的解決辦法 預防 使用...
關於病毒的映像劫持
當前的木馬 病毒似乎比較鍾情於 映像劫持 通過其達到欺騙系統和防毒軟體,進而絕殺安全軟體接管系統。小水最近就遇到這種型別的木馬病毒,下面把自己有關映像劫持的學習心得寫下來與大家交流。一 原理 所謂的映像劫持 ifeo 就是image file execution options 它位於登錄檔的 hk...