软件作者：被诅咒的神
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

这是一只纯ASM编写的病毒，具备文件感染，入口代码变形，自身加密，EPO等功能，是一只无任何
特征码的病毒，设计目的是为对抗反病毒软件的特征码杀毒、行为杀毒和虚拟机杀毒，现有代码
未提供任何破坏功能，但会主动感染可执行文件，而且被感染过的文件很难再还原，这点请注意

另外这东西也提供了Ring0功能，主要用于感染运行中的可执行文件

这东西写完后放了很久，不太记得怎么用了，把代码放上来有兴趣的朋友拿去研究研究，汇编工
具为TASM，由于已经不确定会产生什么后果了，测试时请自行承担风险，还有不要拿去做坏事。

这东西比熊猫危险多了,如果有人拿去加点传播的部分,估计可以死一大块了。危险东西!
另外楼主多加点注释好吗？方便一下我这样的菜鸟。

这东西比熊猫危险多了,如果有人拿去加点传播的部分,估计可以死一大块了。危险东西!
另外楼主多加点注释好吗？方便一下我这样的菜鸟。
我深有感受.没想到这个LZ还真不赖.如果是说现在编写出来的,我倒不认为有什么奇怪
但是你说你编写很久了,.这让我感到邪八没废人啊.难怪上次我要进,进不去,考核过不去

代码好看，有水平，推荐精华．．．

"入口代码变形，自身加密，EPO等功能"这些我得学学

不知道楼主能用其他的语言写出来吗？
比如C++  

当时写这个一味的追求汇编后二进制代码尽可能短小，大量进行指令长度的优化
所以代码的阅读性比较差，我现在再读都觉得挺乱的

[quote]引用第10楼helpmsg于2008-01-02 16:47发表的 :
不知道楼主能用其他的语言写出来吗？
比如C++

引用:

引用第12楼被诅咒的神于2008-01-02 21:01发表的 :


除了最初的重定位外，其它的很多高级语言也能实现
不过代码变形，EPO都是基于汇编的

是啊。C中镶嵌asm偶用的比较多。

复制内容到剪贴板

代码:

PVOID KGetGlobalVarAddr(PVOID pVar)
{
  PVOID pCurAddr = NULL;
  __asm
  {
Start:
    call lbl_Next
lbl_Next:
    pop eax
    sub eax, 5
    sub eax, offset Start
    add eax, pVar
    mov pCurAddr, eax
  }
  return pCurAddr;
}

来了这么久终于看到一个有意思的东西了。。。感动...对LZ崇高的敬意

还是无区获取Ring0.。。。。

那个。。。Length Disassembler Engine似乎哪里见过。。。不过也难怪一般都长得差不多。。。
一口气看完。感觉好爽。。。
LZ强悍。建议推荐到贵宾区
不明白为什么不用Crc32非要用16.。。

很整齐的代码。推荐

引用:

引用第10楼Anskya于2008-01-03 16:13发表的 :
来了这么久终于看到一个有意思的东西了。。。感动...对LZ崇高的敬意

还是无区获取Ring0.。。。。

那个。。。Length Disassembler Engine似乎哪里见过。。。不过也难怪一般都长得差不多。。。
.......

长度反汇编引擎之前有老外写过，我这个是重新写的，增加的对跳转指令、影响标志位指令的识别，因为EPO引擎要用到，另外优化了二进制代码的长度
API使用16位的CRC是因为当时只想写个尽可能短小的病毒，所以是能省则省

agenl居然使用天使的名称 不过这种ASM代码那么常 果然楼主是异于常人啊

这代码算短的了。。。以前看到29A的那个XX Virus。。。近1M的asm源码
我心情久久不能平静。。。

无区进Ring0太容易BSOD。反正我这里就没成功过 XP SP2
以前都是用这个SSDT UnHook。。。对ring0的应用没什么了解。。。
Virus倒是有点储备。EPO还是多层call比较好。。。嘿嘿。。。
LDE引擎基本上是现在Virus都必备的东东了。。。API-Hook
inline Hook。哪个离得开Lde。。。

楼上还有说熊猫的。。。panda顶多算一个Shell Virus和
PE Virus八竿子打不到一起。。。低俗的技术欺骗


Angel呵呵。。。我一个同学用了2年的Angle这个名字。。。直到有一天我告诉他。。。
你为什么叫菱？他才说是天使的意思。。。彻底无语了
六边形天使也不错

引用:

引用第13楼Anskya于2008-01-08 08:57发表的 :
这代码算短的了。。。以前看到29A的那个XX Virus。。。近1M的asm源码
我心情久久不能平静。。。

无区进Ring0太容易BSOD。反正我这里就没成功过 XP SP2
以前都是用这个SSDT UnHook。。。对ring0的应用没什么了解。。。
.......

ASM源码太难维护，非必要还是少用为好，1M源码绝对是恶梦
无驱Ring0和BSOD并没有太直接的关系，只要处理好BSOD基本可以避免的，
不过对这只病毒我觉得把Ring0拿掉更好
EPO目的是让杀毒软件找不到病毒入口，这和几层CALL没什么关系，
而且CALL的层数越多代码就越反常，容易暴露

本站的IP数据库好像不准啊，我怎么跑美国去了

,“设计目的是为对抗反病毒软件的特征码杀毒、行为杀毒和虚拟机杀毒"
这个强悍....

我为啥下不了啊

入口代码变形，自身加密，  这些都是通过那些代码实现的?
    纯ASM 编写的 !

可惜......现在有了主动防御.
主动防御不靠特征码

入口代码变形，自身加密，EPO等功能"精华就在这里了

引用:

引用第18楼ws355362于2008-01-17 22:15发表的 :
可惜......现在有了主动防御.
主动防御不靠特征码

主动防御靠的是程序行为特征，如果行为中没有明显的病毒特征它也拿你没办法，这就是主动防御下病毒木马依旧猖狂的原因

为什么不用masm编写啊，masm读的懂，你这个我读的不太懂

LS深受~masm32伪指令的毒害...
网络上的PE Virus大多用tasm32编译...tasm32比masm有许多优势
代码优化方面尤其突出，宏方面也很强悍...

连接器方面似乎不怎么样...无法自定义段属性等等不爽...不过现在也可以使用
tasm32编译，masm link连接~也很爽

不过tasm32毕竟不更新了.现在流行使用fasm...