Win32下病毒设计入门(3)

首先说明一下WINDOWS的内存映射,由00000000开始有一段是 无效地址(我忘了到底到多少了),用来捕获应用程序错误的指针. 
跟着一直到0x7FFFFFFF为应用程序的空间.0X80000000以后为系统 的空间,DLL和VXD都映射在这里.我们要作的就是从这2GB的空间内找到Krnl32.dll. 一般来说,Windows下的程序都是对齐在64k的边界.首先是MZ 文件头,跟着是由MZ HEADER中的信息可以得到PE HEADER的入口. 由这个标记就可以找出所有的DLL.由PE HEADER可以得到DLL的 EXPORT TABLE的入口,其中而NAME PTR TABLE的第一项为DLL的名 称,由此可以找出Krnl32.dll,并从ADDRESS TABLE中得到任何一个 API的入口. 

值得注意的是,在这2GB中并不是所有而地址都是有效的,在 一般的程序中可以通过IsXXXXXPtr来判断地址是否有效,但在病毒 中不行.只能Hook Exception,忽略访问无效的地址导致的Exception. Windows中的Exception Chain的结构如下: fs:[0] dword exception发生时esp的新值,该值指向一个如下 的结构 [esp] dword fs:[0]的新值 [esp+4] dword exception handler的入口 [esp+8] dword exception handler使用的数据首地址 [esp+12] dword -1详细的汇编代码可以用C写一段__try...__except的代码,然后 转译成汇编. 只要我们的exception handler直接跳转到病毒中寻找Krnl32.dll 的代码,就可以不引起GP Error而访问任何的地址了. 范例可以参看HPS的源码,PE HEADER,EXPORT TABLE请参看PE FORMAT. 

1、在Windows下载入的DLL在不同的process中映射到同一个地址。 
2、在DLL中导出的函数在export table中记录相对DLL Image Base 的偏移，改变这个偏移使用GetProcAddress得到的地址就会改变。 （想象一下，把CreateProcess地址指向自己的DLL中的函数，或者截获GetDlgItemText来记录Password） 
3、在Kernel32.DLL中Section Table在0x300以前就结束了，而真正的代码由0x1000处开始，其间有3K的未用空间，可以用来存放我们的代码。 Kernel32.DLL的Image Base可以由GetModuleHandleA得到。 
4、在任何版本的Windows中,3个基本的DLL总是被加载（Kernel32.DLL，User32.DLL，GDI32.DLL），而且对于同一个版本的Windows，它们的Image Base，和导出函数的地址总是固定的。可以将得到的地址直接用于病毒使用。 （ 在NT也可以写病毒了，又要换系统了8< ）