[求助]病毒如何自身复制？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 2 楼 call CopyFileA ←他干的 mov esi offset xxxx push esi 这个是传递CopyFileA的参数 ps: 请去学习一下汇编基础再玩儿IDA pss: 槽点太多不知从哪吐起 2017-5-17 14:55 0
天涯一鸿雪币： 1040 活跃值： (1678) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 3 楼哈哈哈哈哈，逗死了…… 2017-5-17 14:56 0
IamHuskar 雪币： 1515 活跃值： (5982) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1668 粉丝 77 关注私信	IamHuskar 4 4 楼你猜下面那么大一个CopyFile是干嘛的 2017-5-17 14:57 0
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 248 粉丝 1 关注私信	大只狼 5 楼 2017-5-17 18:37 0
bjcyberman 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	bjcyberman 6 楼谢谢！对不起，现在的汇编不熟（30年前的汇编还行）。还有两个问题烦请指教： call CopyFileA 往文件中拷贝的数据包括自身（call ds：CopFfileA）指令代码吗？CopyFileA函数执行是使用操作系统写文件调用API？还是使用底层写磁盘扇区中断调用（INT）？ 2017-5-18 15:27 0
MOVESP 雪币： 44 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 95 粉丝 0 关注私信	MOVESP 7 楼不包括，API－>ntdll如果需要sysenter找到对应的内核函数执行 2017-5-18 21:48 0
bjcyberman 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	bjcyberman 8 楼谢谢！病毒拷贝文件不包括指令call ds：CopFfileA代码本身，为什么叫“自身拷贝”？如何理解病毒自我复制传播？ 2017-6-2 18:32 0
张来喜雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	张来喜 9 楼汇编不会，来学习的 2017-6-3 00:01 0
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 10 楼不是简单的复制粘贴吗 2017-6-3 03:15 0
bjcyberman 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	bjcyberman 11 楼 ”自身拷贝“的意思不就是拷贝的内容包括实施拷贝的指令”call ds：CopFfileA“本身吗？如果是这样，”自身拷贝“的行为是可以发现的。 2017-6-19 19:22 0
天涯一鸿雪币： 1040 活跃值： (1678) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 12 楼 7f4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7$3c8F1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8X3I4A6j5Y4u0S2M7Y4W2Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0r3k6r3g2K6K9%4c8G2M7q4)9J5c8X3q4S2x3K6j5K6z5o6f1I4i4K6t1^5k6q4)9K6c8s2m8J5K9h3&6@1k6i4u0Q4x3V1y4$3i4K6y4p5N6Y4y4Q4x3X3f1^5y4g2)9J5z5g2)9J5k6h3q4K6M7s2R3`. b16K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0S2K9h3E0W2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3&6C8i4K6y4r3N6i4u0D9i4K6y4p5y4@1y4V1e0f1!0%4k6p5)9%4i4K6u0V1z5p5g2d9x3f1E0S2y4X3!0V1N6i4g2u0f1@1!0X3N6U0q4Q4y4h3k6B7i4K6g2X3x3Y4b7$3g2h3I4u0M7q4N6d9L8h3y4x3b7f1W2q4g2#2g2d9y4h3j5#2h3W2)9J5k6s2A6e0M7U0k6U0N6$3c8U0x3i4c8j5b7W2V1@1i4K6u0V1M7#2)9J5k6s2M7I4K9p5q4p5N6X3D9K6k6V1c8$3c8i4N6J5d9V1M7I4x3f1S2F1e0Y4m8w2e0o6g2p5e0K6c8k6N6p5u0d9L8g2y4c8b7%4p5`. 麻烦查一下这个API行不行？有空先学一下编程，再来搞逆向吧…… 2017-6-19 19:34 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 13 楼 bjcyberman 谢谢！对不起，现在的汇编不熟（30年前的汇编还行）。还有两个问题烦请指教： call CopyFileA 往文件中拷贝的数据包括自身（call ds：CopFfileA）指令代码吗？CopyFi ... 30年前，楼主年龄几岁啊。。 2017-6-26 10:16 0
Inse 雪币： 399 活跃值： (1600) 能力值： ( LV3，RANK：35 ) 在线值：发帖 1 回帖 59 粉丝 2 关注私信	Inse 14 楼 85年就有80386了把，而且就算是386以前的16位汇编，也有call的啊！！！ 2017-6-30 01:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 2 楼 call CopyFileA ←他干的 mov esi offset xxxx push esi 这个是传递CopyFileA的参数 ps: 请去学习一下汇编基础再玩儿IDA pss: 槽点太多不知从哪吐起 2017-5-17 14:55 0
天涯一鸿雪币： 1040 活跃值： (1678) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 3 楼哈哈哈哈哈，逗死了…… 2017-5-17 14:56 0
IamHuskar 雪币： 1515 活跃值： (5982) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1668 粉丝 77 关注私信	IamHuskar 4 4 楼你猜下面那么大一个CopyFile是干嘛的 2017-5-17 14:57 0
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 248 粉丝 1 关注私信	大只狼 5 楼 2017-5-17 18:37 0
bjcyberman 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	bjcyberman 6 楼谢谢！对不起，现在的汇编不熟（30年前的汇编还行）。还有两个问题烦请指教： call CopyFileA 往文件中拷贝的数据包括自身（call ds：CopFfileA）指令代码吗？CopyFileA函数执行是使用操作系统写文件调用API？还是使用底层写磁盘扇区中断调用（INT）？ 2017-5-18 15:27 0
MOVESP 雪币： 44 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 95 粉丝 0 关注私信	MOVESP 7 楼不包括，API－>ntdll如果需要sysenter找到对应的内核函数执行 2017-5-18 21:48 0
bjcyberman 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	bjcyberman 8 楼谢谢！病毒拷贝文件不包括指令call ds：CopFfileA代码本身，为什么叫“自身拷贝”？如何理解病毒自我复制传播？ 2017-6-2 18:32 0
张来喜雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	张来喜 9 楼汇编不会，来学习的 2017-6-3 00:01 0
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 10 楼不是简单的复制粘贴吗 2017-6-3 03:15 0
bjcyberman 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	bjcyberman 11 楼 ”自身拷贝“的意思不就是拷贝的内容包括实施拷贝的指令”call ds：CopFfileA“本身吗？如果是这样，”自身拷贝“的行为是可以发现的。 2017-6-19 19:22 0
天涯一鸿雪币： 1040 活跃值： (1678) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 12 楼 7f4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7$3c8F1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8X3I4A6j5Y4u0S2M7Y4W2Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0r3k6r3g2K6K9%4c8G2M7q4)9J5c8X3q4S2x3K6j5K6z5o6f1I4i4K6t1^5k6q4)9K6c8s2m8J5K9h3&6@1k6i4u0Q4x3V1y4$3i4K6y4p5N6Y4y4Q4x3X3f1^5y4g2)9J5z5g2)9J5k6h3q4K6M7s2R3`. b16K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0S2K9h3E0W2i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3&6C8i4K6y4r3N6i4u0D9i4K6y4p5y4@1y4V1e0f1!0%4k6p5)9%4i4K6u0V1z5p5g2d9x3f1E0S2y4X3!0V1N6i4g2u0f1@1!0X3N6U0q4Q4y4h3k6B7i4K6g2X3x3Y4b7$3g2h3I4u0M7q4N6d9L8h3y4x3b7f1W2q4g2#2g2d9y4h3j5#2h3W2)9J5k6s2A6e0M7U0k6U0N6$3c8U0x3i4c8j5b7W2V1@1i4K6u0V1M7#2)9J5k6s2M7I4K9p5q4p5N6X3D9K6k6V1c8$3c8i4N6J5d9V1M7I4x3f1S2F1e0Y4m8w2e0o6g2p5e0K6c8k6N6p5u0d9L8g2y4c8b7%4p5`. 麻烦查一下这个API行不行？有空先学一下编程，再来搞逆向吧…… 2017-6-19 19:34 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 13 楼 bjcyberman 谢谢！对不起，现在的汇编不熟（30年前的汇编还行）。还有两个问题烦请指教： call CopyFileA 往文件中拷贝的数据包括自身（call ds：CopFfileA）指令代码吗？CopyFi ... 30年前，楼主年龄几岁啊。。 2017-6-26 10:16 0
Inse 雪币： 399 活跃值： (1600) 能力值： ( LV3，RANK：35 ) 在线值：发帖 1 回帖 59 粉丝 2 关注私信	Inse 14 楼 85年就有80386了把，而且就算是386以前的16位汇编，也有call的啊！！！ 2017-6-30 01:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]病毒如何自身复制？

上面第一条mov指令是把程序自身（包括本mov指令代码）写到盘文件c:\intel\lgxbrzjmuzoyt1531吗？