§ 定义

PE病毒是指所有感染Windows下PE文件格式文件的病毒.

PE病毒大多数采用Win32汇编编写.

PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.

只有在PE病毒中,我们才能真正感受到高超的病毒技术.

编写Win32病毒的几个关键

Api函数的获取

不能直接引用动态链接库

需要自己寻找api函数的地址,然后直接调用该地址

§ 其他

一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.

病毒没有.data段,变量和数据全部放在.code段

• 《福星闯江湖》
• 《福星高照猪八戒》
• 《福杯满溢》
• 《福楼拜小说全集(上、中、下)》
• 《福楼拜小说全集(上中下)》
• 《福禄双霸天2000》
• 《福艳天下》
• 《福音》
• 《禹迹图》
• 《离.合》
• 《离》
• 《离之恋》
• 《离乡恨》
• 《离人心头点点秋》
• 《离别是一首黄昏的歌》
• 《离别，轻诉》
• 《离去的爱》
• 《离婚》
• 《离婚再婚》
• 《离婚合同》
• 《离婚喜剧》
• 《离婚律师》
• 《离婚时代》
• 《离子通道与心脑血管疾病――基础与临床》
• 《离开你，我不会再幸福》