Anti-Virus Engine research_博客

/* 0F 81 */ { "jno",        0, Jv, XX, XX },
/* 0F 82 */ { "jb",         0, Jv, XX, XX },
/* 0F 83 */ { "jnb",        0, Jv, XX, XX },
/* 0F 84 */ { "jz",         0, Jv, XX, XX },
/* 0F 85 */ { "jnz",        0, Jv, XX, XX },
/* 0F 86 */ { "jbe",        0, Jv, XX, XX },
/* 0F 87 */ { "jnbe",       0, Jv, XX, XX },
/* 0F 88 */ { "js",         0, Jv, XX, XX },
/* 0F 89 */ {

阅读全文>>

类别：病毒分析 | 评论(1) | 浏览()

病毒分析基础之二_反汇编(7)

2006-10-16 14:47

static BxDisasmOpcodeInfo_t BxDisasmOpcodes[256*2] = {
// 256 entries for single byte opcodes
/* 00 */ { "add",       0, Eb, Gb, XX },
/* 01 */ { "add",       0, Ev, Gv, XX },
/* 02 */ { "add",       0, Gb, Eb, XX },
/* 03 */ { "add",       0, Gv, Ev, XX },
/* 04 */ { "add",       0, AL, Ib, XX },
/* 05 */ { "add",       0, eAX, Iv, XX },
/* 06 */ { "push",      0, ES, XX, XX },
/* 07 */ { "pop",       0, ES, XX, XX },

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之二_反汇编(6)

2006-10-16 14:46

// DC (modrm is outside 00h - BFh) (mod == 11)
/* DC C0 */ { "fadd",      0, STj, STj, XX },
/* DC C1 */ { "fadd",      0, STj, STj, XX },
/* DC C2 */ { "fadd",      0, STj, STj, XX },
/* DC C3 */ { "fadd",      0, STj, STj, XX },
/* DC C4 */ { "fadd",      0, STj, STj, XX },
/* DC C5 */ { "fadd",      0, STj, STj, XX },
/* DC C6 */ { "fadd",      0, STj, STj, XX },
/* DC C7 */ { "fadd",      0, STj, STj, XX },
/* DC C8 */ { "fmul",      0, STj, STj, XX },
/* DC C9 */ { "fmul",

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之二_反汇编(5)

2006-10-16 14:44

/* ************************************************************************ */
/* FPU Opcodes */

// floating point instructions when mod!=11b.
// the following tables will be accessed like groups using the nnn (reg) field of
// the modrm byte. (the first byte is D8-DF)

// D8 (modrm is outside 00h - BFh) (mod != 11)
static BxDisasmOpcodeInfo_t BxDisasmFPGroupD8[8] = {
/* 0 */ { "fadd",        0, Md, XX, XX },
/* 1 */ { "fmul",        0, Md, XX, XX },
/* 2 */ { "fcom",        0, Md, XX, XX },
/* 3 */ { "fcomp",       0, Md, XX, XX },
/* 4 */ { "fsub",        0, Md, XX, XX },
/* 5 */ { "fsubr",

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之二_反汇编(4)

2006-10-16 14:40

static BxDisasmOpcodeInfo_t BxDisasmGroupG2Ev[8] = {
/* 0 */ { "rol",         0, Ev, Ib, XX },
/* 1 */ { "ror",         0, Ev, Ib, XX },
/* 2 */ { "rcl",         0, Ev, Ib, XX },
/* 3 */ { "rcr",         0, Ev, Ib, XX },
/* 4 */ { "shl",         0, Ev, Ib, XX },
/* 5 */ { "shr",         0, Ev, Ib, XX },
/* 6 */ { "shl",         0, Ev, Ib, XX },
/* 7 */ { "sar",         0, Ev, Ib, XX }
};

static BxDisasmOpcodeInfo_t BxDisasmGroupG2E

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之二_反汇编(3)

2006-10-16 14:39

static BxDisasmOpcodeInfo_t BxDisasmGroupSSE_0fc2[4] = {
/* -- */ { "cmpps",      0, Vps, Wps, Ib },
/* 66 */ { "cmppd",      0, Vpd, Wpd, Ib },
/* F2 */ { "cmpsd",      0, Vsd, Wsd, Ib },
/* F3 */ { "cmpss",      0, Vss, Wss, Ib }
};

static BxDisasmOpcodeInfo_t BxDisasmGroupSSE_0fc3[4] = {
/* -- */ { "movnti", 0, Md, Gd, XX },
/* 66 */ { "(invalid)", 0, XX, XX, XX },
/* F2 */ { "(invalid)", 0, XX, XX, XX },
/* F3 */ { "(invalid)", 0, XX, XX, XX }
};

static BxDisasmOpcodeInfo_t BxDisasmGroupSSE_0fc4[4] = {
/* -- */ { "pinsrw", 0, Pq, E

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之二_反汇编(2)

2006-10-16 14:35

void disassembler::resolve32_mod0(unsigned mode)
{
const char *mod_rm_seg_reg;

if (seg_override)
mod_rm_seg_reg = seg_override;
else
mod_rm_seg_reg = "ds";

print_datasize(mode);

if (rm == 5) { /* no reg, 32-bit displacement */
dis_sprintf("[%s:0x%x]", mod_rm_seg_reg, displacement.displ32);
}
else {
dis_sprintf("%s:[%s]", mod_rm_seg_reg, general_32bit_reg_name[rm]);
}
}

void disassembler::resolve32_mod1(unsigned mode)
{
const char *mod_rm_seg_reg;

if (seg_override)
mod_rm_seg_reg = seg_override;
else
mod_rm_seg_reg = sreg_mod01_rm32[rm];

print_datasize(mode);

/* reg, 8-bit displacement, sign extend */
if (displacement.displ32)
&nbs

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之二_反汇编(1)

2006-10-16 14:32

反汇编实现有助于加深对指令的理解，有时打开一个文件，打开文件发现第一个字节是0XE9，如果熟的知道是个JMP指令，那么这个文件有可能是个COM了。反汇编后也可以区分那些时指令，那些是立即数。例如查找漏洞代码，需要比较代码而掠过数据，都需要对反汇编的了解。下面这个程序是根据BOCHS中的反汇编文件改的，可做参考。

#include "stdio.h"
#include "windows.h"

#pragma warning(disable:4996)

// 程序说明：这个程序演示如何反汇编 edited by wangwei. 2006.10.16
// 程序原理：根据指令查表获取指令。源代码取自BOCHS，为方便合为一个cpp
// 关于反汇编网上的源代码很多，可综合参考。

//***********************************************************************************************************/ disasm

// ---------------------------------------------------------------------------------- config.h
typedef unsigned char Bit8u;
typedef signed

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之一_汇编指令(2)

2006-10-16 14:26

Two-Byte Opcode Map (first byte is 0FH)

      0         1         2         3         4         5         6        7        8         9         A         B         C         D         E        F
 +---------+---------+---------+---------+---------+---------+--------+--------+---------+---------+---------+---------+---------+---------+--------+--------+
 |         |         |   LAR   |   LSL   |         |         |        |        |         |         |         |         |         |         |        |        |
0|  Grp6   |  Grp7   |         |         |         |         |  CLTS  |        |         |         |         |         |         |         |        |        |
 |         |         |  Gw,Ew  |  Gv,

阅读全文>>

类别：病毒分析 | 评论(0) | 浏览()

病毒分析基础之一_汇编指令(1)

2006-10-16 14:25

汇编是分析可执行文件的基础，主要是16位和32位8086汇编指令，还有CE下的汇编指令（ram）等。对COM,EXE,PE这些可执行文件病毒的分析一般使用IDA工具，通过汇编分析病毒做了些什么，特征码的添加一般也是根据汇编代码或者特征字符等。汇编语言原理可参考沈美明的《IBM-PC 汇编语言程序设计》。下面是一张表格，这个表格包含了基本指令，并且这个表格的划分有寻址方式，例如Eb,Gb等，很有参考价值。之后如果学习BOCHS源代码中的指令虚拟是很有帮助的，例如ADD AL,9指令是立即寻址，其微指令代码如下： void BX_CPU_C::ADD_ALIb(bxInstruction_c *i) { Bit8u op1, op2,

阅读全文>>

类别：病毒分析 | 评论(2) | 浏览()

[首页] 1 [2] [下一页]

文章分类

默认分类(0)

病毒分析(19)

应用源码(15)

数据结构(108)

操作系统(1)

虚拟调试器(3)

反病毒引擎(14)

文章存档