|
#2
Valenciax2016-06-20 13:42
|
病毒目前的已知的兼容平台 WINXP, WIN7(需管理员权限) (如果在其他Windows平台可以工作请分享下)
病毒具体的行为:
-重定位
-取得kernel32.dll基址
-取得GetProcAddress地址
-取得LoadLibraryA地址
-获取15个需要的API(如GetCurrentDirectory等)
-感染当前目录下的5个文件(上限是5),文件的感染标志为PE头内4CH处的"BZV0"字符串
-感染后的文件打开是会调用MessageBox显示讯息
测试方法(重要):
-将病毒(BV0.1.EXE)放入单独的一个目录内
-往目录添加任意程序
-运行病毒一次
-添加的程序的大小会变大,若用OLLYDBG调试会发现入口点改变成了病毒代码在宿主内的入口点
-运行被感染的程序将会做和病毒一样的行为
被感染前的程序:
只有本站会员才能查看附件,请 登录
被感染后的程序
只有本站会员才能查看附件,请 登录
病毒源码(NASM版本,MASM之后发)和EXE均在压缩包内,下载后若使用不恰当后果自负
只有本站会员才能查看附件,请 登录
如果发现病毒有问题也无碍留贴告诉我,我会尽快修改
[此贴子已经被作者于2016-6-19 11:28编辑过]
