Win32 viruses


******************************************************************************
{{{{{{{{{{{{{{{{{{{{{{{{{{{  The Stack Method  }}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}
******************************************************************************

Pour povoir utiliser les apis il faut tout d'abord localiser kernel32 en m้moire. Pour ceci il existe diff้rentes m้thodes. Celle que je vais vous expliquer ici est la m้thode de la pile. Je ne sais pas qui la trouv้e en premier mais ็a m'้tonnerait pas que ce soit une des 29A. Bref, lorsque un programme d้marre dans windows, une valeur est mise sur la pile pour permettre au programme de quitter. Par exemple vous avez du remarquer que vous pouviez stopper votre programme เ l'aide d'une simple instruction RET.

Cette adresse qui est mise sur la pile est une adresse de kernel32. Cependant nous ce que nous d้sirons c'est le d้but de kernel en m้moire. C'est เ dire lเ o๙ on trouve le MZ header.

En faisant :

mov edx,[esp]

on r้cup่re cette valeur. Attention เ ne pas modifier la pile avant. (je ne citerais personne...). Cette adresse est du type BFF8XXXX. La premi่re op้ration เ r้aliser est un:

AND edx,0FFFF0000h

Certains rajoutent un F mais cela nous ้loigne du MZ au lieu de nous en rapprocher. Un petite explication de cette instruction est n้c้ssaire. Le AND agit sur les bits. pour mettre un bit เ 1 il faut que les deux bits compar้s soient เ 1. F ้tant une succession de 1 et 0 une succession de 0.
Par exemple dans notre cas si la valeur de edx ้tait BFF85632 (pris au hasard), apr่s ce AND, la valeur sera BFF80000. Ensuite on va d้cr้menter edx jusqu'เ trouver le MZ header. Si on le trouve on regarde si il y a le PE header pas loin. Si on trouve le PE header, c'est bon c'est finit.

Voila un petit exemple en Masm pour tester tout ็a:

;คคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคค
;
;Kernel32 Search Routine - TiPiaX/2001
;HTTP://www.multimania.com/hccc
;
;คคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคค

.386
.model flat, stdcall
option casemap :none   ; case sensitive

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

.data

kernel   db "Kernel adress:",0
kernel32 dd 0
buffer   db 50 dup (0)
print    db "%lX",0

.code

start:
;*********************************************************
;  Kernel Search Proc
;*********************************************************

mov	edx, [esp]
mov	eax,edx

AND	edx,0FFFF0000h
inc edx

boucle:
	dec	edx
	cmp	word ptr [edx],"ZM"
	jnz	boucle

MZ_found:
	mov	ecx,edx
	mov	ecx,[ecx+03ch] 
	add	ecx,edx 
	cmp	ecx,eax
	jg	boucle            ;v้rifie que c'est une adresse valide
	cmp	word ptr [ecx] ,"EP"
	jnz	boucle

	mov	kernel32,edx

pushad
   invoke wsprintf,offset buffer,offset print,edx
   invoke MessageBox,NULL,offset buffer,offset kernel,NULL
popad
invoke ExitProcess,0

end start

;คคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคคค

Bon bah voila je pense que lเ c'est assez simple เ comprendre. Cette m้thode de la pile est เ mon avis la meilleure, mais apr่s c'est เ vous de voir. ps: l'exe compil้ est joint.

Un petit message เ certains vxers, arr๊tez de copier coller du code que vous ne comprenez m๊me pas, c'est vraiment con je trouve. Voila.

TiPiaX/VDS