如何写一个简单的病毒程序作者浑浑噩噩-Daum.DOC

如何写一个简单的病毒程序??? ??作者浑浑噩噩????????转载请注明出处：???????引：前些天学病毒这门技术着实吃了很多苦头，走了很多弯路，尽管按我的知识水平，病毒已经是水到渠成的学习内容了。但是我现在学了入门才发现这门技术实际上隐藏着很多玄机，包含着许多技术，不专门学习研究根本无法达到“牛”的境界上去。如今写了这篇文章，介绍的都是相当实用的东西，可以让你少走许多弯路（有时侯一个错误够你找几个小时的）。不过需要些基础知识才能看懂。假如你有天知识储备够了，不学学病毒将是你的遗憾。另，由于是写给协会会员参考的，也没写的多“专业”，多了些赘述。???????在你看之前，你应该知道这只是篇可以带你入门的文章，如果你已经会了就不用看了。看的时候最好准备个PE表在旁边。写病毒程序可以使用很多种语言来写比如C,汇编，甚至有人用Dephi这样可视化编程工具都能写出来。但是最适合写病毒程序的还是汇编语言。汇编语言底层，灵活，速度快，体积小的优势能将一个病毒程序发挥到极至，通常一个程序写出来才几千字节就包含了所有的功能。一般一个病毒都有如下几个功能：一?代码重定位二?自己找到所需API地址三?有哪些信誉好的足球投注网站文件、目录四?感染文件五?破坏系统或文件（随便你了）其中一，二项功能是必要的，五项功能是可选的。而一个病毒程序感染文件的功能是它的核心，是衡量它质量的重要标准。（一）代码的重定位一个变量或函数其实是一个内存地址，在编译好后，程序中的指令通过变量或函数的内存地址再去存取他们，这个地址是个绝对地址。如果你将代码插入到其他任何地方，再通过原来编译时产生的地址去找他们就找不到了，因为他们已经搬家了。但是，你在写程序时考虑到这个问题，你就可以在代码最开始，放上几行代码取得程序基地址，以后变量和函数作为偏移地址，显式的加上这个基地址就能顺利找到了，这就是重定位。就象这段代码。Call?getbaseaddressGetbaseaddress:pop?ebxSub?ebx,offset?getbaseaddressMov?eax,dword?ptr?[ebx+Var1]如果你使用宏汇编语言写病毒，请尽量使用ebx做基地址指针，不要使用ebp，因为ebp在调用带参数的函数时会改变。(二)自己取得所需的API地址一个win32程序文件，所调用的API函数地址，是由系统填入到程序文件中描述各类数据位置的数据结构中的。而病毒作为一个残废是享受不到这个待遇的。因为你在把病毒的代码插入目标程序时没有把这些描述数据存放位置的数据结构信息也弄进去。它被插入到其他目标程序后就成了只有代码的残废儿童：（所以作为一个残废儿童，应当自力更生。自己搜寻自己需要的API地址。目标程序文件就包含了我们需要的东西，我们需要自己去找。目标程序文件只要还是win32程序，它的地址空间中就包含的有Kernel32.dll。如果找到了它，我们就能找到其他任何的东东。第一步，搜寻kernel32.dll的基地址。当然了，整个地址空间有4GB,可供有哪些信誉好的足球投注网站的用户进程空间也有2GB。在2GB中有哪些信誉好的足球投注网站，太吓人了。总不能在执行被感染的目标程序时，先让用户喝杯茶吧？或者斗斗地主？这里有两个技巧向大家介绍。在程序被加载后，加载程序会调用程序的主线程的第一条指令的位置。它使用的指令是CALL，就是说，你程序还没执行，堆栈区里就有了一个返回地址了，这个返回地址指向的是加载程序，而加载程序是包含在KERNEL32.dll中的，我们顺着它向上找，就能找到kernel32.dll的基地址了。当然也不是一个字节一个字节的挨者找，而是一个页面一个页面地找。因为win32下，代码或数据的开始位置总是页面单位（windows平台下为4kb）对齐的。Kernel32.dll是一个PE文件，我们按比较PE文件dos签名标志和PE签名标志的方法找。另外还有个办法是通过SHE技术找。这是最好的办法了，前一个办法因为堆栈是动态的原因不稳定，一般只能将获取地址的代码块放在最开头，这个方法完全是与堆栈无关的，放在哪里执行都不会出错，如果你的病毒需要用一些远程线程之类的技术，最好用这个方法。SHE结构，第一个成员指向下一个SEH结构，如果是最后一个那么它的值就是0ffffffffh。第二个成员指向异常处理函数，如果是最后一个SHE结构且没有指定的话，缺省的是SetUnhandlederExceptionFilter函数地址。当异常触发这个函数时就会弹出一个对话框，问你发不发送错误。98下显示蓝屏。这个函数是包含在KERNEL32.dll中的，只要取得它的地址向上找就能找到KERNEL32.dll的基地址了。在说SHE时总忘不了TEB,TEB是创建一个线程时分配的线程相关