关于PE病毒编写的学习
首先声明,因为害怕被删帖,我肯定不会展示正确完整病毒代码,但是会介绍可行的学习方法。
网上有很多关于介绍PE病毒编写的帖子,但基本上都是分析源码FunLove和 《计算机病毒分析与对抗》中PE病毒的代码翻版。事实上这两个代码是用于原理展示,前者根本通不过编译,后者编译后并不能正确运行,虽然有部分帖子对其做 了修改,受到正统汇编教材代码的影响,导致其修改方法是错误的。
关于病毒编写充满了各种各样的迷信和谬论,因此在学习的过程中,我走了不少弯路,让我来一一说明:
误区1:PE病毒一定要用汇编来写,其生成文件小,效率高,病毒最好小于4KB
实际上,从DOS时代的文件型病毒开始,就有相当多的著名文件型病毒使用C、Pascal编写,到了windows时代,PE病毒的编写成员又加入了 VB、dephi等重要角色。用这些高级语言开发病毒的优势相当明显,开发快,升级快,调试方便,Bug少,有时能跨平台。
如今病毒短小,再也不是汇编的优势,现在百G磁盘是常态,磁盘缺少几百MB不会引起用户的注意,大一点病毒文件反而增大了安全分析人员的分析难度。
但是还是有相当多的病毒编写技巧是汇编所独有的,不过本人十分懒惰并且汇编优化功底欠佳,可是偷懒的方法我是有的,我先用VC的写出初始代码,设置为 Release,然后用它自带的调试器反汇编,copy到Radasm上,再进行手工修改,这样用汇编写的代码就成了。
误区2:DOS病毒毫无参考价值,FunLove代码是最好的入门教材
相当长的一段时间,我也秉持这种看法。然而我对PE病毒的顿悟,却完全来自DOS病毒的灵感,才写出我的第一个病毒代码。事实上,现在的PE病毒除了网络方面,各种技术的思想基本都是源自DOS病毒,只是技术上的另一种实现。
DOS病毒也不是都有用,比如引导区病毒的扇区引导方面就没什么参考价值,但作为早期病毒,它的很多其他思想至今仍在应用。
误区3:win32汇编与16位汇编有很大不同,可以直接学习win32汇编,16位汇编没什么价值
也许在其他地方,这是是正确的,虽然中断很少应用(不是不用,内核代码依然可用),但是像Radasm这样很好支持.if .while invoke 的高级宏汇编的编译,可我还是很少用它们,跳转、call、这两门功课不能回避。很多病毒独有的汇编技巧,是.if .while 所不能表达的
误区4:网上帖子PE代码的常见错误,建立(.data?)段或向(.code)段写入数据
虽然建立(.data?)段也不是不可以,但是建立(.data?)后,重定位技术单靠简单(call delt |delt: pop ebp)是不可能成功的,因为它不在.code里,还得建立单独的寻址表,感染时,还得将其写如.idata节里,重定位自然与.code里不一样,反正 挺复杂,写多节感染PE病毒时可以试一试。
.code是只读的,虽然可以改为可写,但是杀毒软件可是不会轻易放过它的。在.code嵌入常量是可以,变量还是用sub esp,xxx申请堆栈吧
误区5:用汇编写病毒应该使用Tasm,大牛们都用它们
这个误解来自于DOS病毒的书籍,1989年,TASM早在1.0版本就有了对80386处理器指令的完全支持(MASM要到5.0版本才支持80386 指令),Tasm4.0版是编写DOS程序使用比较广泛。它与Masm又比较大的差异,但Tasm5.0已经全面兼容Masm
目前,Tasm已经停止更新,而Masm随Visual Studio不断更新。
如果分要我推崇某个编译器,那么Nasm是个不错的选择,原因如下:
1.免费
2.使用Intel汇编格式
3.各个平台都有这个软件,学Masm的人写跨平台程序的首选
另外有人说fasm很好,我从未接触过,所以没有发言权
http://blog.csdn.net/yangbostar/archive/2010/08/30/5851009.aspx