一个简单的sys病毒！ - Powered by phpwind

binjo

论坛版主

注册日期2003-04-23
最后登录2012-06-25
粉丝0
关注0
积分1002分
威望142点
贡献值0点
好评度140点
原创分0分
专家分0分

加关注写私信

20楼^#

发布于：2007-10-29 08:44

周末无事看了下，这个是半成品？好多API都没用上？

.reloc:00010817 3F 00 1B A1              NtdllApizHash   dd 0A11B003Fh           ; ZwDebugActiveProcess
.reloc:0001081B 16 80 E2 61                              dd 61E28016h            ; ZwEnumerateBootEntries
.reloc:0001081F 49 0D 8D BE                              dd 0BE8D0D49h           ; ZwOpenFile

.reloc:00010F18 6C 4A EA 14              K32ApizHash     dd 14EA4A6Ch            ; CloseHandle
.reloc:00010F1C EE B9 84 82                              dd 8284B9EEh            ; CreateFileA
.reloc:00010F20 FD 48 0D F0                              dd 0F00D48FDh           ; CreateFileMappingA
.reloc:00010F24 AF 5F B7 2E                              dd 2EB75FAFh            ; DeleteFileA
.reloc:00010F28 22 AC C3 A1                              dd 0A1C3AC22h           ; GetFullPathNameA
.reloc:00010F2C F6 56 CB 56                              dd 56CB56F6h            ; LoadLibraryA
.reloc:00010F30 8D 5E E6 52                              dd 52E65E8Dh            ; MapViewOfFile
.reloc:00010F34 7B F9 50 51                              dd 5150F97Bh            ; UnmapViewOfFile
.reloc:00010F38 02 CD D8 D2                              dd 0D2D8CD02h           ; VirtualAlloc
.reloc:00010F3C 36 6E EE 19                              dd 19EE6E36h            ; VirtualFree
.reloc:00010F40 C0 70 ED 83                              dd 83ED70C0h            ; WriteFile

.reloc:00010F5F 61 64 76 61 70 69 33+    aAdvapi32_dll   db 'advapi32.dll',0
.reloc:00010F6C D7 47 6E 82              Adv32ApizHash   dd 826E47D7h            ; CloseServiceHandle
.reloc:00010F70 7F 11 02 B4                              dd 0B402117Fh           ; ControlService
.reloc:00010F74 52 91 D2 46                              dd 46D29152h            ; CreateServiceA
.reloc:00010F78 66 F1 B7 74                              dd 74B7F166h            ; DeleteService
.reloc:00010F7C 0D 74 B0 63                              dd 63B0740Dh            ; OpenSCManagerA
.reloc:00010F80 37 07 C6 74                              dd 74C60737h            ; OpenServiceA
.reloc:00010F84 95 61 3E D0                              dd 0D03E6195h           ; StartServiceA

.reloc:00010F90 6E 74 64 6C 6C 2E 64+    aNtdll_dll      db 'ntdll.dll',0
.reloc:00010F9A 16 80 E2 61                              dd 61E28016h            ; ZwEnumerateBootEntries

调试过程中，总是调到一半就bsod了，所以有错误难免哈。

回复喜欢

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	21楼^# 发布于：2007-10-29 09:17 因为可以Hook NtCreateThread()执行点Ring3的代码。
	回复(0) 喜欢(0)

binjo 论坛版主注册日期2003-04-23 最后登录2012-06-25 粉丝0 关注0 积分1002分威望142点贡献值0点好评度140点原创分0分专家分0分加关注写私信	22楼^# 发布于：2007-10-29 09:20 可惜跑不起来，看不到
	回复(0) 喜欢(0)

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	23楼^# 发布于：2007-10-29 09:33 本来就没有，还没开工。
	回复(0) 喜欢(0)

binjo 论坛版主注册日期2003-04-23 最后登录2012-06-25 粉丝0 关注0 积分1002分威望142点贡献值0点好评度140点原创分0分专家分0分加关注写私信	24楼^# 发布于：2007-10-29 09:35 引用第23楼zjjmj2002于2007-10-29 09:33发表的 : 本来就没有，还没开工。
	回复(0) 喜欢(0)

poize 驱动牛犊注册日期2005-08-17 最后登录2013-09-13 粉丝0 关注0 积分2分威望32点贡献值0点好评度29点原创分0分专家分0分加关注写私信	25楼^# 发布于：2007-10-29 09:59 哇
	回复(0) 喜欢(0)

brsj2001 驱动牛犊注册日期2003-07-17 最后登录2007-12-21 粉丝0 关注0 积分60分威望6点贡献值0点好评度6点原创分0分专家分0分加关注写私信	26楼^# 发布于：2007-12-01 20:52 sdfasf
	回复(0) 喜欢(0)

z.b.Azy 驱动牛犊注册日期2006-03-11 最后登录2013-04-29 粉丝0 关注0 积分263分威望95点贡献值0点好评度91点原创分2分专家分0分加关注写私信	27楼^# 发布于：2007-12-02 11:10 引用第22楼binjo于2007-10-29 09:20发表的 : 可惜跑不起来，看不到要跑起来得改点东西...
	回复(0) 喜欢(0)

zjg1979 驱动牛犊注册日期2006-09-21 最后登录2012-05-18 粉丝0 关注0 积分5分威望100点贡献值0点好评度49点原创分2分专家分0分加关注写私信	28楼^# 发布于：2007-12-02 13:23 look look@
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	29楼^# 发布于：2007-12-02 19:20 很好,很强大.
	回复(0) 喜欢(0)

leichijun 驱动牛犊注册日期2007-09-12 最后登录2012-03-05 粉丝0 关注0 积分3分威望63点贡献值0点好评度12点原创分0分专家分0分加关注写私信	30楼^# 发布于：2007-12-03 20:02 学习
	回复(0) 喜欢(0)

zjg1979 驱动牛犊注册日期2006-09-21 最后登录2012-05-18 粉丝0 关注0 积分5分威望100点贡献值0点好评度49点原创分2分专家分0分加关注写私信	31楼^# 发布于：2007-12-04 21:11 sys where?
	回复(0) 喜欢(0)

xjj7916 驱动牛犊注册日期2007-12-18 最后登录2009-02-08 粉丝0 关注0 积分113分威望16点贡献值0点好评度12点原创分0分专家分0分加关注写私信	32楼^# 发布于：2007-12-18 10:55 fadfasfd
	回复(0) 喜欢(0)

icetowater

驱动牛犊

注册日期2007-11-11
最后登录2011-02-10
粉丝0
关注0
积分55分
威望38点
贡献值0点
好评度5点
原创分0分
专家分0分

加关注写私信

33楼^#

发布于：2007-12-20 23:13

汇编偶也能看懂点...可要把这么多东东放一块就只有晕的份了...向各位学习...

面壁中...

英雄谁属?非我莫属.

回复喜欢

chen39 驱动牛犊注册日期2007-02-23 最后登录2010-11-08 粉丝0 关注0 积分11分威望12点贡献值0点好评度1点原创分0分专家分0分加关注写私信	34楼^# 发布于：2007-12-22 10:01 rrrrrrrrrrrrrrrr
	回复(0) 喜欢(0)

zendf 驱动牛犊注册日期2005-10-01 最后登录2008-06-16 粉丝0 关注0 积分108分威望20点贡献值0点好评度10点原创分0分专家分0分加关注写私信	35楼^# 发布于：2008-03-14 14:33 where sys?
	回复(0) 喜欢(0)

znsoft

管理员

注册日期2001-03-23
最后登录2023-10-25
粉丝300
关注6
积分910分
威望14796点
贡献值7点
好评度2410点
原创分5分
专家分100分

加关注写私信

36楼^#

发布于：2008-03-15 12:44

sys病毒,通用性是大问题

http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值，驱动提供力量! 淡泊以明志，宁静以致远。 ---------------------------------- 勤用搜索，多查资料，先搜再问。

回复喜欢

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	37楼^# 发布于：2008-03-27 15:48 早就删瓜了，俺又不是得傻的，老放在上面干什么？？？
	回复(0) 喜欢(0)

NetBiosPipe 驱动牛犊注册日期2008-02-11 最后登录2008-05-12 粉丝0 关注0 积分70分威望8点贡献值0点好评度7点原创分0分专家分0分加关注写私信	38楼^# 发布于：2008-04-10 17:33 看看不？
	回复(0) 喜欢(0)

icommander 驱动牛犊注册日期2003-03-20 最后登录2013-05-09 粉丝0 关注0 积分2分威望20点贡献值0点好评度7点原创分0分专家分0分加关注写私信	39楼^# 发布于：2008-05-22 11:06 看看
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册