1.二十年重回首——CIH病毒源码分析
2.熊猫烧香病毒源代码
3.文件夹图标病毒病毒源代码
二十年重回首——CIH病毒源码分析
CIH病毒源码分析
随着双十一的源码临近,我在考虑为自己的病毒电脑添置一块NVME协议的固态硬盘。然而,源码我发现自己老款主板并不支持NVME协议。病毒在探索解决方案时,源码我偶然回想起了CIH病毒,病毒linux 源码矩阵一款曾引起巨大破坏的源码古老病毒。出于好奇,病毒我决定深入分析CIH源码,源码回顾那段历史,病毒并分享分析过程与心得。源码
CIH源码在GitHub上能找到,病毒版本1.4。源码源码的病毒编写者习惯良好,代码中包含了功能更新的源码时间和具体细节。时间线如下:
1.0版于年4月日完成,基本功能实现,代码长度字节。obd 协议源码
1.1版于5月日完成,增加了操作系统判断,若为WinNT则不执行病毒,长度字节。
1.2版于5月日,加入删除BIOS和破坏硬盘功能,长度字节。
1.3版于5月日,修复了感染WinZIP自解压文件的错误,长度字节。
1.4版于5月日,彻底修复错误,长度字节。
CIH病毒于年7月日在美国大面积传播,8月日全球蔓延,引发公众恐慌。最终,基金源码链病毒作者陈盈豪公开道歉,提供了解毒程序和防毒软件,病毒逐渐被控制。
源码的第一部分是PE文件头,用于符合PE文件格式,确保Windows识别和执行。接下来,病毒开始运行,通过修改SEH(Structured Exception Handling)来识别操作系统类型。如果为WinNT或之后版本,病毒将自行产生异常并停止运行。
病毒通过修改中断描述符表,获得Ring0权限。然而,在WinNT操作系统中,这种方法已失效。因此,惯性环节源码修改SEH的目的是判断当前操作系统,以避免在非Win9x系统上感染。
病毒在Win9x系统中,通过修改中断描述符表,将异常处理函数指向病毒自定义的MyExceptionHook。病毒利用此函数安装系统调用钩子,当执行文件操作时,会运行到病毒代码中。
病毒在MyExceptionHook中,通过dr0寄存器记录病毒安装状态,分配系统内存,并将病毒代码复制到内存中。之后,病毒安装钩子,当有文件读写调用时,会执行病毒代码。
当系统调用参数为关闭文件时,编译mysql源码病毒进行时间判断,直到每月日,统一开始破坏BIOS和硬盘。破坏BIOS的方法包括映射BIOS内容、设置BIOS可写性。硬盘破坏则通过VXD驱动调用命令。
综上所述,CIH病毒利用了Win9x系统的漏洞,通过修改SEH和中断描述符表进入内核,安装系统调用钩子,感染文件并在特定时间执行破坏操作。然而,其在WinNT及后续系统上的感染能力已失效。尽管如此,CIH病毒的源码和分析过程对了解历史和安全漏洞仍具有重要价值。
熊猫烧香病毒源代码
揭示熊猫烧香病毒的神秘面纱:Delphi源代码解析 **病毒核心代码片段**: 在熊猫烧香这款臭名昭著的病毒中,其Delphi编写的源代码揭示出一项狡猾的策略。以下是一些关键部分的概述:病毒体结构:病毒体大小(HeaderSize)惊人地达到了,字节,足以容纳其恶意功能。主图标(IconOffset)的位置在未压缩状态下为EB8,压缩时为BC,大小(IconSize)为字节,是其伪装身份的标志。
感染标志:**熊猫烧香使用独特标记$,作为其感染目标的识别符。
垃圾码(Catchword):**一个包含反日言论的长字符串,被用作破坏文件时的乱码混淆手段。
病毒的行动机制中,ExtractFile函数负责将病毒从宿主程序中分离,FillStartupInfo则为后续邮件传播做好准备。而SendMail虽未详尽,但可推测其核心作用在于通过电子邮件传播病毒。 恶意感染过程**:InfectOneFile 函数巧妙地避开自身,选择性地感染PE文件,一旦触发,将宿主程序、感染标记和主图标无缝嵌入。编写者的精细操作可见一斑。 源代码中,一个关键部分展示了病毒如何在感染后破坏文件,SmashFile通过插入乱码来混淆和破坏目标文件。执行完毕后,程序会删除目标文件并检测可写驱动器,进一步扩大感染范围。 最后,主程序流程开始,根据操作系统类型(Win9x或WinNT)采取不同的策略。在Win9x系统上,病毒会注册自身服务,而在WinNT系统中,它会分离病毒文件、设置启动参数并创建新进程,同时执行感染和邮件发送操作。 熊猫烧香的源代码揭示出其复杂的策略和破坏力,提醒我们在面对此类恶意软件时,网络安全的防线必须更加坚固。每个函数和操作都反映了病毒制造者背后的精心策划,为网络安全专家提供了深入研究和防范的线索。文件夹图标病毒病毒源代码
该代码片段定义了一个名为CVirousApp的类,其中包含OpenFuckFile函数,该函数的主要目的是在系统根目录下寻找并打开特定的文件(如应用程序名称加后缀)。如果文件不存在,函数将尝试创建一个,并通过调用explorer.exe执行。劫持文件的行为在check函数中实现,它会检查命令行参数,如果参数与特定的安全工具特征字符串匹配,将执行劫持操作,比如打开txt或exe文件时,可能会替换为notepad.exe或不做处理(取决于文件是否被标记为已损坏)。 接着,代码展示了如何将程序副本复制到系统目录,通过修改注册表实现自启动,分别针对txt和exe文件。ReleaseDoor函数用于释放后门并隐藏自身,通过写入注册表将后门设置为开机启动,并在后台启动另一个名为SysService.exe的程序。 最后,FuckFile函数遍历系统磁盘,查找并处理文件,对于找到的每个目录,会检查其内容并进行复制或执行特定操作,如隐藏和系统属性设置。扩展资料
文件夹图标病毒不是一个病毒,而是具有类似性质的病毒的统称,此类病毒会将真正的文件夹隐藏起来,并生成一个与文件夹同名的EXE文件,并使用文件夹的图标,使用户无法分辨,从而频繁感染,一些用户的文件夹被隐藏影响正常的工作与学习。