好长，好暴力！
强帖前留名！

这不就是传统的Virus吗？有什麽特别的地方吗？
代码优化做的很。。。
罗云彬BOSS的书看完即可写成。。。
看Virus的代码还是看TASM的爽一点。多态，变型，压缩，加密，29A最好的Virus文章
这几句是忽悠编译器的。。。
2k下无导入表无法执行。没这几句不成呀
一般ExitProcess。。。
感觉这代码不地道。总觉的缺少点什么。。。

还是学习了。。。那个字符串比较函数写的真强。。。PFPF

main:
   pushad
   push @@curAddr ;这两句写的好，功能相当于下面的call @@curAddr
   jmp @@curAddr

embedMain:
   pushad                              
   call @@curAddr
@@curAddr:
   mov ebp, [esp]
   add esp, 4
   sub ebp, @@curAddr - main
   sub ebp, main                   ;重定位

这两句起不到重定位作用吧？
push进去的是硬编码吧。。。
不过感染U盘还是学了

两们都　走召　弓虽

[QUOTE=Anskya;415812]
main:
   pushad
   push @@curAddr ;这两句写的好，功能相当于下面的call @@curAddr
   jmp @@curAddr

embedMain:
   pushad                              
   call @@curAddr
@@curAddr:
   mov ebp, [esp]
   add esp, 4
   sub ebp, @@curAddr - main
   sub ebp, main                   ;重定位

这两句起不到重定位作用吧？
push进去的是硬编码吧。。。
[/QUOTE]

感染到别的exe 之后执行的是下面的call 而不是push/jmp

第一次执行没必要重定位

支持了，其实感染PE用来做流氓比用来做病毒还爽……

素r，赚了钱去找小姐，搞一夜情更爽。

诱惑青少年犯罪..........LZ不厚道

修改pe文件的eop,让病毒体代码获取执行权。

最普通的PE感染才这么做~

MS描述的这个病毒也没什么奇特的地方啊,普通病毒的共性, 反正俺是没看出来~

Hook~~Hook才是王道。。。直接改入口的方法有点过时了
EPO都没有使用这样的Virus估计很难过AV检测。。。

路过

很黄很暴力~~

怎么没有源文件提供啊？耍弄！

附件是分析文章还是病毒样本啊在我的机子上运行出错看不到东西，有些紧张啊

感染的方式不是捆绑而是在原exe文件最后一节上添加内容。修改pe文件的eop,让病毒体代码获取执行权。

会不会被主动防御软件报？而且入口点在文件的末尾很另人怀疑（自己的看法）
如果能加入动态变形就更好了（我不知道它的学名叫什么，对抗杀毒的特征码），在邪恶八进制上面有个源码，大牛门可以去看看，嘿嘿
要写就要写最bt的