2006-11-24

Virus Infecting Portable Executable File (2)

【工具篇】
工欲善其事,必先利其器。我们先不着急动手,先看看有什么好工具,一方面帮助我们对知识有更好的认识,另一方面为我们动手实践铺平道路。

1.PE文件查看和编辑工具
我使用的是Stud PE,可以在看雪工具下载中找到更多相关工具。Stud PE列出了所有PE文件头字段和各个Section的描述字段,可以直接修改,十分方便。

2.反汇编工具
C32Asm是一个做的挺漂亮的反汇编工具。它的最大特点就是可以查看反汇编代码对应的十六进制数据。
另一个是OllyICE,功能强大,不仅能够查看PE的一些字段、反汇编、改十六进制数据,更可以直接写汇编语句,生成相应的Binary,十分方便修改代码。

3.汇编工具(可选)
用其他的exe太复杂了,自己写一个简单的做研究吧。用masm汇编一段简短的代码是很好的主意。我用masm汇编了一段:

.386
.model flat, stdcall

include \masm32\INCLUDE\windows.inc
include \masm32\INCLUDE\user32.inc
include \masm32\INCLUDE\kernel32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

.data
msgtitle db "Hello World",0
msgtext db "Hello Kitty",0

.code
start:
invoke MessageBox, NULL, addr msgtext, addr msgtitle, MB_OK
invoke ExitProcess, 0
invoke MessageBox, NULL, addr msgtext, addr msgtitle, MB_OK
end start

3 comments:

Anonymous said...

忽略,无视,飘走~

saintfish said...

飘走了还拉下这么一驮东西……

Alan said...

这篇颜色怎么这么e啊~~