怎么编程病毒

搂主`你多C语言懂多少呀通常只要在病毒代码的开始计算出delta offset，通过变址寻址的方式书写引用数据的汇编代码，即可保证病毒代码在运行时被正确重定位。假设ebp 包含了delta offset，使用如下变址寻址指令则可保证在运行时引用的数据地址是正确的：

;ebp 包含了delta offset 值

401000:

mov eax,dword ptr [ebp+0x402035]

402035:

db "hello world!",0

在书写源程序时可以采用符号来代替硬编码的地址值，上述的例子中给出的不过是编译器对符号进行地址替换后的结果。现在的问题就转换成如何获取delta offset的值了，显然：

call delta

delta:

pop ebp

sub ebp,offset delta

在运行时就动态计算出了delta offset 值，因为call要将其后的第一条指令的地址压入堆栈，因此pop ebp 执行完毕后ebp 中就是delta的运行时地址，减去delta的编译时地址“offset delta”就得到了delta offset 的值。除了用明显的call 指令外，还可以使用不那么明显的fstenv、fsave、fxsave、fnstenv等浮点环境保存指令进行，这些指令也都可以获取某条指令的运行时地址。以fnstenv 为例，该指令将最后执行的一条FPU 指令相关的协处理器的信息保存在指定的内存中fpu_addr:

fnop

call GetPhAddr

sub ebp,fpu_addr

GetPhAddr:

sub esp,16

fnstenv [esp-12]

pop ebp

add esp,12

ret

delta offset 也不一定非要放在ebp 中，只不过是ebp 作为栈帧指针一般过程都不将该寄存器用于其它用途，因此大部分病毒作者都习惯于将delta offset 保存在ebp 中，其实用其他寄存器也完全可以。

在优化过的病毒代码中并不经常直接使用上述直接计算delta offset 的代码，比如在Elkern开头写成了类似如下的代码：

call _start_ip

_start_ip:

pop ebp

;

;使用

call [ebp+addrOpenProcess-_start_ip]

;

addrOpenProcess dd 0

;而不是

call _start_ip

_start_ip:

pop ebp

sub ebp,_start_ip

call [ebp+addrOpenProcess]

为什么不采用第二种书写代码的方式？其原因在于尽管第一种格式在书写源码时显得比较罗嗦， 但是addrOpenProcess-_start_ip 是一个较小相对偏移值，一般不超过两个字节，因此生成的指令较短，而addrOpenProcess在32 Win32编译环境下一般是4 个字节的地址值，生成的指令也就较长。有时对病毒对大小要求很苛刻，更多时候也是为了显示其超俗的编程技巧，病毒作者大量采用这种优化，对这种优化原理感兴趣的读者请参阅Intel手册卷2中的指令格式说明。

API 函数地址的获取

在能够正确重定位之后，病毒就可以运行自己代码了。但是这还远远不够，要搜索文件、读写文件、进行进程枚举等 *** 作总不能在有Win32 API 的情况下自己用汇编完全重新实现一套吧，那样的编码量过大而且兼容性很差。

Win9X/NT/2000/XP/2003系统都实现了同一套在各个不同的版本上都高度兼容的Win32 API，因此调用系统提供的Win32 API实现各种功能对病毒而言就是自然而然的事情了。所以接下来要解决的问题就是如何动态获取Win32 API的地址。最早的PE病毒采用的是预编码的方法，比如Windows 2000 中CreateFileA 的地址是0x7EE63260，那么就在病毒代码中使用call [7EE63260h]调用该API，但问题是不同的Windows 版本之间该API 的地址并不完全相同，使用该方法的病毒可能只能在Windows 2000的某个版本上运行。

因此病毒作者自然而然地回到PE结构上来探求解决方法，我们知道系统加载PE 文件的时候，可以将其引入的特定DLL 中函数的运行时地址填入PE的引入函数表中，那么系统是如何为PE引入表填入正确的函数地址的呢？答案是系统解析引入DLL 的导出函数表，然后根据名字或序号搜索到相应引出函数的的RVA（相对虚拟地址），然后再和模块在内存中的实际加载地址相加，就可以得到API 函数的运行时真正地址。在研究 *** 作系统是如何实现动态PE文件链接的过程中，病毒作者找到了以下两种解决方案：

A)在感染PE 文件的时候，可以搜索宿主的函数引入表的相关地址，如果发现要使用的函数已经被引入，则将对该API 的调用指向该引入表函数地址，若未引入，则修改引入表增加该函数的引入表项，并将对该API 的调用指向新增加的引入函数地址。这样在宿主程序启动的时候，系统加载器已经把正确的API 函数地址填好了，病毒代码即可正确地直接调用该函数。

B）系统可以解析DLL 的导出表，自然病毒也可以通过这种手段从DLL 中获取所需要的API地址。要在运行时解析搜索DLL 的导出表，必须首先获取DLL 在内存中的真实加载地址，只有这样才能解析从PE 的头部信息中找到导出表的位置。应该首先解析哪个DLL 呢？我们知道Kernel32DLL几乎在所有的Win32 进程中都要被加载，其中包含了大部分常用的API，特别是其中的LoadLibrary 和GetProcAddress 两个API可以获取任意DLL 中导出的任意函数，在迄今为止的所有Windows 平台上都是如此。只要获取了Kernel32DLL在进程中加载的基址，然后解析Kernel32DLL 的导出表获取常用的API 地址，如需要可进一步使用Kernel32DLL 中的LoadLibrary 和GetProcAddress 两个API 更简单地获取任意其他DLL 中导出函数的地址并进行调用。

用 *** 作符 Addressof。这不是一个函数，你只能像运算符一样使用并且只能用在函数调用时的参数里（当然变通一下也是可以返回地址的）

p=fun2(addressof func1)

func1 要定义为 Public，fun2 定义如下，其实就是把addressof 包装了下，这样就可以直接获取函数的地址了

function fun2(varAddr as long) as long

fun2=varAddr

end function

某些API函数需要函数地址（比如定义消息回调函数），就可以用这个 *** 作符。

dll本来就是动态基址，不可能一堆dll都加载到同一个地址去，冲突的dll只能进行重定位 *** 作加载到其他地址去了，所以dll的地址肯定不是固定的，也就意味着dll里的导出函数地址也不固定

一、在VB中声明API函数有两种方法：如果我们只在某个窗体中使用API函数，我们可以在窗体代码的General部分声明它：

声明的语法是：

Private Declare Function 

Private Declare Sub

这里必须采用Private声明，因为这个API函数只能被一个窗体内的程序所调用。

如果我们的程序有多个窗体构成，而且我们需要在多个窗体中使用同一个API函数，就需要在模块中声明了。

先添加一个模块（如图示），

然后采用如下语法声明：

Public Declare Function

Public Declare Sub

Public声明的含义是把API函数作为一个公共函数或过程，在一个工程中的任何位置（包括所有的窗体和模块）都能直接调用它。 声明完毕我们就能在程序中使用此API函数了。

二、可采用以下几种方式使用API函数，以SetWindowPos函数为例：

（1）忽略函数返回值的调用：

SetWindowPos Form1hWnd, -2 ,0 ,0 ,0, 0, 3

注意此时函数的参数是不加括号的。

（2）Call方法调用：

Call SetWindowPos(Form1hWnd, -2, 0, 0, 0, 3)

注意这里需要加上括号，但我们不取回函数的返回值。

（3）取得函数返回值的调用：

MyLng = SetWindowPos(Form1hWnd, -2, 0, 0, 0, 3)

此时需要加上括号，而且我们必须事先定义一个变量（变量的类型与函数返回值类型相同）来存储API函数的返回值。

三、几个问题的说明：

（1）声明中的Lib 和 Alias 是怎么回事

一般情况下WIN32API函数总是包含在Windows系统自带的或是其它公司提供的动态连接库DLL中，而Declare语句中的Lib关键字就用来指定DLL（动态连接库）文件的路径，这样VB才能找到这个DLL文件，然后才能使用其中的API函数。如果我们只是列出DLL文件名而不指出其完整的路径的话，VB会自动到EXE文件所在目录、当前工作目录、WINDOWS\SYSTEM目录、WINDOWS目录下搜寻这个DLL文件。所以如果所要使用DLL文件不在上述几个目录下的话，我们应该指明其完整路径。

Alias用于指定API函数的别名，如果我们调用的API函数要使用字符串（参数中包含String型）的话，Alias关键字是必须的。这是因为在ANSI和Unicode字符集中同一API函数的名称可能是不一样的，为了保证不出现声明错误，我们使用Alias关键字指出API函数的别名，一般来说在WIN9X平台下我们把API函数名后加一个大写A作为别名即可。

（2）常见的API参数类型的说明

API函数的参数中最常见的是长整Long型数据类型，例如API中的句柄、一些特定的常量、函数的返回值都是此类型 的值；另外几种常见的参数类型有：整型Integer、Byte型、String型等。

（3）声明中的ByVal是作什么用的

这跟VB的参数传递方式有关，在默认情况下VB是通过地址传递方式传递函数的参数、而有些API函数要求必须采用传值方式来传递函数参数（这两种参数传递方式是不同的，前者传递的是一个指针，而后者要求是参数真实的值）。这样就会发生错误，解决的办法是在API函数参数声明的前面加上ByVal关键字，这样VB就采用传值方式传递参数了。

（4）怎样得到完整的API函数声明

VB自带了API文本查看器API TEXT VIEWER，我们可以在其中找到API函数的完整声明，然后把它粘贴到程序中即可。

如下所示：

Public Declare Function MessageBox Lib "user32" Alias "MessageBoxA" (ByVal hwnd As Long, ByVal lpText As String, ByVal lpCaption As String, ByVal wType As Long) As Long

public class getInfo

{

/// <summary>

/// 获取CPU序列号

/// </summary>

/// <returns>CPU序列号(string类型 )</returns>

public string getCpuID()

{

string cpuInfo =" ";

ManagementClass cimobject = new ManagementClass("Win32_Processor");

ManagementObjectCollection moc = cimobjectGetInstances();

foreach (ManagementObject mo in moc)

{

cpuInfo = moProperties["ProcessorId"]ValueToString();

}

return cpuInfoToString();

} /// <summary>

/// 获取硬盘ID

/// </summary>

/// <returns>返回硬盘ID(string类型) </returns>

public string getHDid()

{

string HDid = " ";

ManagementClass cimobject1 = new ManagementClass("Win32_DiskDrive");

ManagementObjectCollection moc1 = cimobject1GetInstances();

foreach (ManagementObject mo in moc1)

{

HDid = (string)moProperties["Model"]Value;

}

return HDidToString(); } /// <summary>

/// 获取网卡硬地址

/// </summary>

/// <returns>返回网卡硬地址(string类型)</returns>

public string GetMoAddress()

{

string MoAddress =" ";

ManagementClass mc = new ManagementClass("Win32_NetworkAdapterConfiguration");

ManagementObjectCollection moc2 = mcGetInstances();

foreach (ManagementObject mo in moc2)

{

if ((bool)mo["IPEnabled"] == true)

{

MoAddress = mo["MacAddress"]ToString();

moDispose();

}

}

return MoAddressToString();

}

}</p>我空间日志写过，希望能帮到你

问题一解：在MSDN中可以找到Windows绝大多数编程所能用到的API，有些API，微软没有用文档说明，没有比MSDN资料更全的API说明文档了。

问题二解：2200多个确实差很多。

问题三解：MSDN的版本是对应相应的SDK的，如果你用Windows SDK XP的话，那么你用最新版本的MSDN就会出现问题，比如最新版本的MSDN说明的一些API在XP系统中根本不存在。

学会使用

dumpbinexe /exports xxxdll

命令查看xxxdll导出的所有函数

dll 导出函数名的那些事

关键字：　VC++DLL 导出函数　

经常使用VC6的Dependency查看DLL导出函数的名字，会发现有DLL导出函数的名字有时大不相同，导致不同的原因大多是和编译DLL时候指定DLL导出函数的界定符有关系。

VC++支持两种语言：即C/C++，这也是造成DLL导出函数差异的根源

我们用VS2008新建个DLL工程，工程名为"TestDLL"

把默认的源文件后缀 CPP改为C（C文件）

输入测试代码如下：

01 int _stdcall MyFunction(int iVariant)

02 {

03 return 0;

04 }

为了导出上面这个函数，我们有以下几个方法：

1 使用传统的模块定义文件 (def)

新建一个 后缀为def的文本文件(这里建一个TestDllDef)，文件内容为：

LIBRARY TestDll

EXPORTS

MyFunction

在 Link 时指定输入依赖文件：/DEF:"TestDllDef"

2 Visual C++ 提供的方便方法

在01行的int 前加入 __declspec(dllexport) 关键字

通过以上两种方法，我们就可以导出MyFunction函数。

我们用Dependency查看导出的函数：

第一种方法导出的函数为：

MyFunction

第二种方法导出的函数为：

_MyFunction@4

__stdcall会使导出函数名字前面加一个下划线，后面加一个@再加上参数的字节数，比如_MyFunction@4的参数（int iVariant）就是4个字节

__fastcall与 __stdcall类似，不过前面没有下划线，而是一个@，比如@MyFunction@4

__cdecl则是始函数名。

小结：如果要导出C文件中的函数，并且不让编译器改动函数名，用def文件导出函数。

下面我们来看一下C++文件

我们用VS2008新建个DLL工程，工程名为"TestDLL"

默认的源文件后缀为 CPP （即C++文件）。

输入测试代码如下：

01 int _stdcall MyFunction(int iVariant)

02 {

03 return 0;

04 }

为了导出上面这个函数，我们有以下几个方法：

3 使用传统的模块定义文件 (def)

新建一个 后缀为def的文本文件(这里建一个TestDllDef)，文件内容为：

LIBRARY TestDll

EXPORTS

MyFunction

在 Link 时指定输入依赖文件：/DEF:"TestDllDef"

4 Visual C++ 提供的方便方法

在01行的int 前加入 __declspec(dllexport) 关键字

通过以上两种方法，我们就可以导出MyFunction函数。

我们用Dependency查看导出的函数：

第一种方法导出的函数为：

MyFunction

第二种方法导出的函数为：

MyFunction@@YGHH@Z

可以看到 第二种方法得到的 导出函数名 并不是我们想要的，如果在exe中用显示方法（LoadLibrary、GetProcAddress）调用 MyFunction 肯定会失败。

但是用引入库(LIB)的方式调用，则编译器自动处理转换函数名，所以总是没有问题。

解决这个问题的方法是：

用VC 提供的预处理指示符 "#pragma" 来指定链接选项。

如下：

#pragma comment(linker, "/EXPORT:MyFunction=MyFunction@@YGHH@Z")

这时，就会发现导出的函数名字表中已经有了我们想要的MyFunction。但我们发现原来的那个 MyFunction@@YGHH@Z 函数还在，这时就可以把 __declspec() 修饰去掉，只需要 pragma 指令即可。

而且还可以使如下形式：

#pragma comment(linker, "/EXPORT:MyFunction=_MyFunction@4,PRIVATE")

PRIVATE 的作用与其在 def 文件中的作用一样。更多的#pragram请查看MSDN。

小结：如果要导出C++文件中的函数，并且不让编译器改动函数名，用def文件导出函数。

同时可以用#pragma指令（C 中也可以用）。

总结：

C++编译器在生成DLL时，会对导出的函数进行名字改编，并且不同的编译器使用的改编规则不一样，因此改编后的名字也是不同的（一般涉及到C++ 中的重载等）。

如果利用不同编译器分别生成DLL和访问DLL的exe程序，后者在访问该DLL的导出函数时就会出现问题。如上例中函数MyFunction在C++编译器改编后的名字是MyFunction@@YGHH@Z。我们希望编译后的名字不发生改变，这里有几种方法。

第一种方法是通过一个称为模块定义文件DEF来解决。

LIBRARY TestDll

EXPORTS

MyFunction

LIBRARY 用来指定动态链接库内部名称。该名称与生成的动态链接库名一定要匹配，这句代码不是必须的。

EXPORTS说明了DLL将要导出的函数，以及为这些导出函数指定的符号名。

第二种是定义导出函数时加上限定符：extern "C"

如：#define DLLEXPORT_API extern "C" _declspec(dllexport)

但extern "C"只解决了C和C++语方之间调用的问题(extern "C" 是告诉编译器，让它按C的方式编译)，它只能用于导出全局函数这种情况 而不能导出一个类的成员函数。

同时如果导出函数的调用约定发生改变，即使使用extern "C"，编译后的函数名还是会发生改变。例如上面我们加入_stdcall关键字说明调用约定（标准调用约定，也就是WINAPI调用约定）。

#define DLLEXPORT_API extern "C" _declspec(dllexport)

01 DLLEXPORT_API int _stdcall MyFunction(int iVariant)

02 {

03 return 0;

04 }

编译后函数名MyFunction改编成了_MyFunction@4

通过第一种方法模块定义文件的方式DLL编译后导出函数名不会发生改变。

DLL(动态库)导出函数名乱码含义

C++编译时函数名修饰约定规则：

__stdcall调用约定：

1、以""标识函数名的开始，后跟函数名；

2、函数名后面以"@@YG"标识参数表的开始，后跟参数表；

3、参数表以代号表示：

X--void

D--char

E--unsigned char

F--short

H--int

I--unsigned int

J--long

K--unsigned long

M--float

N--double

_N--bool

PA--表示指针，后面的代号表明指针类型，如果相同类型的指针连续出现，以"0"代替，一个"0"代表一次重复；

4、参数表的第一项为该函数的返回值类型，其后依次为参数的数据类型,指针标识在其所指数据类型前；

5、参数表后以"@Z"标识整个名字的结束，如果该函数无参数，则以"Z"标识结束。

其格式为"functionname@@YG@Z"或"functionname@@YGXZ"，例如

int Test1(char var1, unsigned long)-----"Test1@@YGHPADK@Z" void Test2()-----"Test2@@YGXXZ"

__cdecl调用约定：

规则同上面的_stdcall调用约定，只是参数表的开始标识由上面的"@@YG"变为"@@YA"。

__fastcall调用约定：

规则同上面的_stdcall调用约定，只是参数表的开始标识由上面的"@@YG"变为"@@YI"。

如果要用DEF文件输出一个"C++"类，则把要输出的数据和成员的修饰名都写入def模块定义文件

所以 通过def文件来导出C++类是很麻烦的,并且这个修饰名是不可避免的

以上就是关于怎么编程病毒全部的内容，包括:怎么编程病毒、vb里怎样实现传递函数地址、为什么远程注入某个dll时候，里面的api函数的起始地址就不是原来的那个呢等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！