PE病毒
PE病毒是指所有感染Windows下PE文件格式文件的病毒.
PE病毒大多数采用Win32汇编编写.
PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.
只有在PE病毒中,我们才能真正感受到高超的病毒技术.
编写Win32病毒的几个关键
Api函数的获取
不能直接引用动态链接库
需要自己寻找api函数的地址,然后直接调用该地址
一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.
病毒没有.data段,变量和数据全部放在.code段
PE的意思是可移植的执行体,即portable executable,是windows下的一个32位的文件格式,保留了MZ文件头以便于运行于DOS,在windows中广泛存在这种格式,除了.dll和VxD格式不属于这个格式,是病毒喜欢感染的类型,可以在安全模式下删除,危害和一般病毒是一样的,就是普通病毒,只不过病毒通过修改可执行文件的代码中程序入口地址,变成病毒的程序入口,导致运行的时候执行病毒文件,这是比较常用的方式,删除就没事了
包括以下
WINDOWS下的PE病毒(391)
1.Backdoor.HacDef.apg
2.Backdoor.HacDef.aph
3.Backdoor.Agobot.fuo
4.Backdoor.HacDef.api
5.Backdoor.HacDef.apj
6.Backdoor.HacDef.apk
7.Backdoor.HacDef.apl
8.Backdoor.Agobot.fup
9.Backdoor.HacDef.apm
10.Backdoor.HacDef.apn
11.Backdoor.Agobot.fuq
12.Backdoor.HacDef.apo
13.Backdoor.HacDef.app
14.Backdoor.HacDef.apq
15.Backdoor.HacDef.apr
16.Backdoor.HacDef.aps
17.Backdoor.HacDef.apt
18.Backdoor.Agobot.fur
19.Backdoor.HacDef.apu
20.Backdoor.HacDef.apv
21.Backdoor.HacDef.apw
22.Backdoor.Agobot.fus
23.Backdoor.HacDef.apx
24.Backdoor.HacDef.apy
25.Backdoor.HacDef.apz
26.Backdoor.Agobot.fut
27.Backdoor.HacDef.aqa
28.Backdoor.HacDef.aqb
29.Backdoor.Agobot.fuu
30.Backdoor.HacDef.aqc
31.Backdoor.HacDef.aqd
32.Backdoor.HacDef.aqe
33.Backdoor.HacDef.aqf
34.Backdoor.Agobot.fuv
35.Backdoor.HacDef.aqg
36.Backdoor.HacDef.aqh
37.Backdoor.HacDef.aqi
38.Backdoor.HacDef.aqj
39.Backdoor.HacDef.aqk
40.Backdoor.Agobot.fuw
41.Backdoor.HacDef.aql
42.Backdoor.HacDef.aqm
43.Backdoor.HacDef.aqn
44.Backdoor.HacDef.aqo
45.Backdoor.HacDef.aqp
46.Backdoor.Agobot.fux
47.Backdoor.HacDef.aqq
48.Backdoor.HacDef.aqr
49.Backdoor.HacDef.aqs
50.Backdoor.HacDef.aqt
51.Backdoor.Agobot.fuy
52.Backdoor.HacDef.aqu
53.Backdoor.HacDef.aqv
54.Backdoor.Agobot.fuz
55.Backdoor.HacDef.aqw
56.Backdoor.Agobot.fva
57.Backdoor.HacDef.aqx
58.Backdoor.Agobot.fvb
59.Backdoor.Agobot.fvc
60.Backdoor.HacDef.aqy
61.Backdoor.HacDef.aqz
62.Backdoor.Agobot.fvd
63.Backdoor.HacDef.ara
64.Backdoor.HacDef.arb
65.Backdoor.HacDef.arc
66.Backdoor.HacDef.ard
67.Backdoor.Agobot.fve
68.Backdoor.HacDef.are
69.Backdoor.Agobot.fvf
70.Backdoor.HacDef.arf
71.Backdoor.HacDef.arg
72.Backdoor.Agobot.fvg
73.Backdoor.Agobot.fvh
74.Backdoor.Agobot.fvi
75.Backdoor.Agobot.fvj
76.Backdoor.Agobot.fvk
77.Backdoor.Agobot.fvl
78.Backdoor.Agobot.fvm
79.Backdoor.Agobot.fvn
80.Backdoor.Agobot.fvo
81.Backdoor.Agobot.fvp
82.Backdoor.Agobot.fvq
83.Backdoor.Agobot.fvr
84.Backdoor.Agobot.fvs
85.Backdoor.Agobot.fvt
86.Trojan.Dialer.yzr
87.Trojan.Dialer.yzs
88.Trojan.Dialer.yzt
89.Trojan.Dialer.yzu
90.Trojan.Dialer.yzv
91.Trojan.Dialer.yzx
92.Trojan.Dialer.zaa
93.Trojan.Dialer.zac
94.Trojan.Dialer.zaf
95.Trojan.Dialer.zam
96.Trojan.Dialer.zao
97.Trojan.Dialer.zap
98.Trojan.Dialer.zaq
99.Trojan.Dialer.zar
100.Trojan.Dialer.zau
101.Trojan.Dialer.zav
102.Trojan.Dialer.zax
103.Trojan.Dialer.zay
104.Trojan.Dialer.zaz
105.Trojan.Dialer.zba
106.Trojan.Dialer.zbc
107.Trojan.Dialer.zbh
108.Trojan.Dialer.zbj
109.Trojan.Dialer.zbl
110.Trojan.Dialer.zbn
111.Trojan.Dialer.zec
112.Trojan.Dialer.zce
113.Trojan.Dialer.zbx
114.Trojan.Dialer.zdr
115.Trojan.Dialer.zdy
116.Trojan.Dialer.zeg
117.Trojan.Dialer.zcz
118.Trojan.Dialer.zdd
119.Trojan.Dialer.zck
120.Trojan.Dialer.zdp
121.Trojan.Dialer.zcc
122.Trojan.Dialer.zee
123.Trojan.Dialer.zcw
124.Trojan.Dialer.zcy
125.Trojan.Dialer.zcf
126.Trojan.Dialer.zdg
127.Trojan.Dialer.zcj
128.Trojan.Dialer.zby
129.Trojan.Dialer.zcn
130.Backdoor.Bifrose.aol
131.Backdoor.Bifrose.aom
132.Backdoor.Bifrose.aon
133.Backdoor.Bifrose.aoo
134.Backdoor.Bifrose.aop
135.Backdoor.Bifrose.aoq
136.Backdoor.Bifrose.aor
137.Backdoor.Bifrose.aos
138.Backdoor.Bifrose.aot
139.Backdoor.Bifrose.aou
140.Backdoor.Bifrose.aov
141.Backdoor.Bifrose.aow
142.Backdoor.Bifrose.aox
143.Backdoor.Bifrose.aoy
144.Backdoor.Bifrose.aoz
145.Backdoor.Bifrose.apa
146.Backdoor.Bifrose.apb
147.Backdoor.Bifrose.apc
148.Backdoor.Bifrose.apd
149.Backdoor.Bifrose.ape
150.Backdoor.Bifrose.apf
151.Backdoor.Bifrose.apg
152.Backdoor.Bifrose.aph
153.Backdoor.Bifrose.api
154.Backdoor.Bifrose.apj
155.Backdoor.Bifrose.apk
156.Backdoor.Bifrose.apl
157.Backdoor.Bifrose.apm
158.Backdoor.Bifrose.apn
159.Backdoor.Bifrose.apo
160.Backdoor.Bifrose.app
161.Backdoor.Agobot.fwc
162.Backdoor.Agobot.fsu
163.Backdoor.Agobot.fsv
164.Backdoor.Agobot.fsw
165.Backdoor.Agobot.fsx
166.Backdoor.Agobot.fsy
167.Backdoor.Agobot.fsz
168.Backdoor.Agobot.fta
169.Backdoor.Agobot.ftb
170.Backdoor.Agobot.ftc
171.Backdoor.Agobot.ftd
172.Backdoor.IRCBot.ctj
173.Backdoor.MyBot.evr
174.Worm.IM.Kelvir.fc
175.Worm.IM.Kelvir.fe
176.Worm.IM.Kelvir.ff
177.Backdoor.IRCBot.ctk
178.Worm.IM.Kelvir.fg
179.Worm.IM.Opanki.ch
180.Worm.IRC.Daur.a
181.Worm.IRC.Fagot.f
182.Worm.IRC.Nowim.a
183.Worm.Dedler.cd
184.Worm.Dedler.ce
185.Worm.Dedler.cf
186.Worm.Francette.at
187.Worm.Aidid.e
188.Worm.Antinny.bk
189.Worm.Agent.z
190.Worm.Delf.ba
191.Worm.Delf.bb
192.Worm.Agent.aa
193.Trojan.DL.Small.kpr
194.Trojan.DL.Small.kps
195.Trojan.DL.Small.kpt
196.Trojan.DL.Small.kpu
197.Trojan.DL.Small.kpv
198.Trojan.DL.Small.kpw
199.Trojan.DL.Small.kpx
200.Trojan.DL.Small.kpy
201.Trojan.DL.Small.kpz
202.Trojan.DL.Small.kqa
203.Trojan.DL.Small.kqb
204.Trojan.DL.Small.kqc
205.Trojan.DL.Small.kqd
206.Trojan.DL.Small.kqe
207.Trojan.DL.Small.kqf
208.Trojan.DL.Small.kqg
209.Trojan.DL.Small.kqh
210.Trojan.DL.Small.kqi
211.Trojan.Spy.Bancos.etd
212.Trojan.Spy.Bancos.ete
213.Trojan.Spy.Bancos.etf
214.Trojan.Spy.Bancos.etg
215.Trojan.Spy.Bancos.eth
216.Trojan.Spy.Bancos.eti
217.Trojan.Spy.Bancos.etj
218.Trojan.Spy.Bancos.etk
219.Trojan.Spy.Bancos.etl
220.Trojan.Spy.Bancos.et
221.Trojan.Spy.Bancos.etn
222.Trojan.Spy.Bancos.eto
223.Trojan.Spy.Bancos.etp
224.Trojan.Spy.Bancos.etq
225.Trojan.Spy.Bancos.etr
226.Trojan.Spy.Bancos.ets
227.Trojan.Spy.Bancos.et
228.Trojan.Spy.Bancos.etu
229.Trojan.Spy.Bancos.etv
230.Trojan.Spy.Bancos.etw
231.Trojan.Spy.Bancos.etx
232.Trojan.Spy.Bancos.ety
233.Trojan.Spy.Bancos.etz
234.Trojan.Spy.Bancos.eua
235.Trojan.Spy.Bancos.eub
236.Trojan.Spy.Bancos.euc
237.Trojan.Spy.Bancos.eud
238.Trojan.Spy.Bancos.eue
239.Trojan.Spy.Bancos.euf
240.Trojan.Spy.Bancos.eug
241.Trojan.Spy.Bancos.euh
242.Trojan.Spy.Bancos.eui
243.Trojan.Spy.Bancos.euj
244.Trojan.Spy.Bancos.euk
245.Trojan.Spy.Bancos.eul
246.Worm.Mail.Bagle.ru
247.Trojan.Spy.Bancos.eum
248.Trojan.Spy.Bancos.eun
249.Trojan.Spy.Bancos.euo
250.Trojan.Spy.Bancos.eup
251.Trojan.Spy.Bancos.euq
252.Trojan.Spy.Bancos.eur
253.Trojan.Spy.Bancos.eus
254.Trojan.Spy.Bancos.eut
255.Trojan.Spy.Bancos.euu
256.Trojan.Spy.Bancos.euv
257.Trojan.Spy.Bancos.euw
258.Trojan.Spy.Bancos.eux
259.Trojan.Spy.Bancos.euy
260.Trojan.Spy.Bancos.euz
261.Trojan.Spy.Bancos.eva
262.Trojan.Spy.Bancos.evb
263.Trojan.Spy.Bancos.evc
264.Trojan.Spy.Bancos.evd
265.Trojan.Spy.Bancos.eve
266.Trojan.Spy.Bancos.evf
267.Trojan.Spy.Bancos.evg
268.Trojan.Spy.Bancos.evh
269.Trojan.Spy.Bancos.evi
270.Trojan.Spy.Bancos.evj
271.Trojan.Spy.Bancos.evk
272.Trojan.Spy.Bancos.evl
273.Trojan.Spy.Bancos.evm
274.Trojan.Spy.Bancos.evn
275.Trojan.Spy.Bancos.evo
276.Trojan.Spy.Bancos.evp
277.Trojan.Spy.Bancos.evq
278.Trojan.Spy.Bancos.evr
279.Trojan.Spy.Bancos.evs
280.Trojan.Spy.Bancos.evt
281.Trojan.Spy.Bancos.evu
282.Trojan.Spy.Bancos.evv
283.Trojan.Spy.Bancos.evw
284.Trojan.Spy.Bancos.evx
285.Worm.Bobic.dy
286.Worm.Bobic.dz
287.Worm.Bobic.ea
288.Worm.Bobic.eb
289.Worm.Bobic.ec
290.Backdoor.MyBot.evs
291.Backdoor.MyBot.evt
292.Backdoor.Agobot.fte
293.Backdoor.Agobot.ftf
294.Backdoor.Agobot.ftg
295.Backdoor.Agobot.fth
296.Backdoor.Agobot.fti
297.Backdoor.Agobot.ftj
298.Backdoor.Agobot.ftk
299.Backdoor.Agobot.ftl
300.Backdoor.Agobot.ftm
301.Backdoor.Agobot.ftn
302.Backdoor.Agobot.fto
303.Backdoor.Agobot.ftp
304.Backdoor.Agobot.ftq
305.Backdoor.Agobot.ftr
306.Backdoor.Agobot.fts
307.Backdoor.Agobot.ftt
308.Backdoor.Agobot.ftu
309.Backdoor.Agobot.ftv
310.Backdoor.Agobot.ftw
311.Backdoor.Agobot.ftx
312.Backdoor.Agobot.fty
313.Backdoor.Agobot.ftz
314.Backdoor.Agobot.fua
315.Backdoor.Agobot.fub
316.Backdoor.Agobot.fuc
317.Backdoor.Agobot.fud
318.Backdoor.Agobot.fue
319.Backdoor.Agobot.fuf
320.Backdoor.Agobot.fug
321.Backdoor.Agobot.fuh
322.Backdoor.Agobot.fui
323.Backdoor.Agobot.fuj
324.Backdoor.Agobot.fuk
325.Backdoor.HacDef.aos
326.Backdoor.HacDef.aot
327.Backdoor.HacDef.aou
328.Backdoor.Agobot.ful
329.Backdoor.HacDef.aov
330.Backdoor.HacDef.aow
331.Backdoor.HacDef.aox
332.Backdoor.HacDef.aoy
333.Backdoor.Agobot.fum
334.Backdoor.HacDef.aoz
335.Backdoor.HacDef.apa
336.Backdoor.HacDef.apb
337.Backdoor.HacDef.apc
338.Backdoor.Agobot.fun
339.Backdoor.HacDef.apd
340.Backdoor.HacDef.ape
341.Backdoor.HacDef.apf
342.Backdoor.Agobot.fvu
343.Backdoor.Agobot.fvv
344.Backdoor.Agobot.fvw
345.Backdoor.Agobot.fvx
346.Backdoor.Agobot.fvy
347.Backdoor.Agobot.fvz
348.Backdoor.Agobot.fwa
349.Backdoor.Agobot.fwd
350.Backdoor.IRCBot.ctl
351.Dropper.Agent.vt
352.Dropper.Agent.vu
353.Trojan.DL.Agent.alj
354.Trojan.DL.Agent.alk
355.Trojan.PSW.LMir.kgi
356.Trojan.PSW.JHOnline.eoy
357.Backdoor.Smoke.a
358.Trojan.PSW.QQGhost.ch
359.Backdoor.WinShell.50.ao
360.Trojan.Killproc.q
361.Backdoor.IRCBot.ctm
362.Trojan.DL.VB.bfy
363.Trojan.PSW.QQPass.pgz
364.Backdoor.Gpigeon.cnm
365.Trojan.PSW.QQPass.pha
366.Trojan.DL.DrSmart.l
367.Trojan.Spy.Ruby.Kakkeys.b
368.Backdoor.Gpigeon.xnb
369.Backdoor.Gpigeon.ewv
370.Backdoor.RemoteSh.a
371.Trojan.QQMSG.MSGSender.es
372.Trojan.PSW.Misc.jyg
373.Backdoor.Gpigeon.2006.jj
374.Backdoor.Gpigeon.xnd
375.Backdoor.Gpigeon.xne
376.Backdoor.Gpigeon.xnf
377.Trojan.PSW.Lineage.um
378.Trojan.DL.QQHelper.fc
379.Backdoor.Gpigeon.eww
380.Backdoor.Gpigeon.xnp
381.Backdoor.Gpigeon.xnq
382.Backdoor.Gpigeon.xnr
383.Backdoor.Gpigeon.xns
384.Backdoor.Hackdoor.av
385.Backdoor.Hackdoor.aw
386.Backdoor.Hackdoor.ax
387.Backdoor.Gpigeon.xnt
388.Backdoor.Gpigeon.xnu
389.Backdoor.Gpigeon.xnv
390.Backdoor.Gpigeon.2006.jk
391.Trojan.DL.Zlob.fg
392. Worm.VB.ny
393 adware.win32.agent
394.Rootkit.Win32.HideReg.a
395.Trojan.Win32.Undef.bnf
396,Win32.explorerDL.i