ProgrammingRing的专栏

前置病毒，和资源感染类似，资源感染是病毒把宿主程序添加到程序的资源中，替换覆盖原程序，运行时将宿主程序释放成一个临时文件运行。前置病毒是读取病毒和宿主程序数据，然后将病毒和宿主程序数据再以病毒 --> 宿主程序的顺序写入宿主程序文件，运行时创建一个临时文件，读取程序中宿主程序的数据写入临时文件运行。文件型病毒至少有这四个模块：1> 条件模块：判断触发条件和寻找符合条件的宿主文件2>

本文学习自：关于感染型病毒的那些事(三) by gaa_ra 代码也来自gaa_ra资源感染，就是将宿主程序作为病毒程序的一个资源来保存，将附加了宿主程序的病毒程序覆盖原来的宿主程序，当打开病毒文件时，病毒发作并将宿主程序释放出来运行。进行资源感染后，打开感染文件的过程大致如下：CreateFile创建资源文件，用于存放要被释放出来的宿主文件 --> FindResource查

首先看下我们内存加载引擎的流程。  1. 申请一段大小为dll映射内存后的映像大小的内存空间。  2. 移动各个区段的数据到申请的内存。  2. 修复引入表结构的地址表。  4. 通过重定位结构修复需要重定位的地址。  5. 调用DllMain入口点流程解析：pe结构中nt header结构当中的ImageSize存放的是我们整个文件

原文：http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题上面代码中include了VirusLib.asm文件，里面包含了一些病毒中常用函数：;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>; 测试是否是P

原文：http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题

原文链接：点击打开链接1> 变形PE头的原理：这里的变形PE头的思路是用的比较方便的方法,就是将IMAGE_DOS_HEADER 和 IMAGE_NT_HEADER 结构融合到一起。因为我们都知IMAGE_DOS_HEADER和IMAGE_NT_HEADER的结构成员很多我们是用不到的，所以我们可以按照相应的结构排列，把这些无用的结构成员，融合到一起后，替换成一些有用的

一些代码的优化方法：(1)测试寄存器是否为0        cmp     eax,00000000h                   ; 6 bytes    jz      bribriblibli                    ; 2 bytes (if jz is short)      optimization:        or

本文仅是PE和SEH的一部分知识，很有很多需要学习！KSSD --> 系统篇 --> 结构化异常处理 --> SEH in ASM两篇http://bbs.pediy.com/showthread.php?t=86657

下面的代码无法比较在函数名地址表中位于第一个的函数 .386 .model flat, stdcall option casemap:noneinclude windows.incinclude user32.incinclude kernel32.incincludelib user32.libincludelib kernel32.lib .cons

原文链接:点击打开链接第一种方法通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址，然后通过搜索获得kernel32.dll的基地址。线程在被初始化的时，其堆栈指针指向ExitThread函数的地址，windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是程序入口点处)通过获得堆栈指针中E

原文链接:点击打开链接下面的代码都是内联汇编，较比较汇编会有些限制，可能写法上有时候会不一样。黑色是代码，红色是编译的汇编代码int g_nTest; __asm { call Dels00401004 call 013C13A3 ; call指令会将下一句指令的地址入栈Dels: pop ebx004