病毒源代码

病毒源代码是实现病毒功能的程序代码。只有用编译器编译病毒代码，才可以获得可执行的病毒程序，否则代码就是一堆文字而已。

病毒源代码可以直接用编译器 *** 病毒，脚本病毒的源代码可以直接被执行。

如果你有志于学习编程，那么阅读病毒源代码是种比较酷的办法，你不仅可以从中学到相应的编程知识和系统知识，还可以对源代码进行修改，甚至在别人成果的基础上制造自己的病毒！ 那个熊猫烧香的作者就是这么干的。

当然，DON‘T DO EVIL！

病毒的代码是什么

病毒代码就是人为的编写一些特殊的字符命令，来破坏电脑正常运行，一般编这些代码的人，编程技术都很高的。比如说最近很流行的病毒叫“熊猫烧香”，这种类似的特殊程序命令 来破坏电脑的正常运行和电脑用户的各种隐私，一旦感染，银行卡 ， *** *** 游戏账号都被洗劫一空，这就是病毒的一种！

怎么编程病毒？

搂主`你多C语言懂多少呀?通常只要在病毒代码的开始计算出delta offset，通过变址寻址的方式书写引用数据的汇编代码，即可保证病毒代码在运行时被正确重定位。假设ebp 包含了delta offset，使用如下变址寻址指令则可保证在运行时引用的数据地址是正确的：

;ebp 包含了delta offset 值

401000:

mov eax,dword ptr [ebp+0x402035]

402035:

db "hello world!",0

在书写源程序时可以采用符号来代替硬编码的地址值，上述的例子中给出的不过是编译器对符号进行地址替换后的结果。现在的问题就转换成如何获取delta offset的值了，显然：

call delta

delta:

pop ebp

sub ebp,offset delta

在运行时就动态计算出了delta offset 值，因为call要将其后的之一条指令的地址压入堆栈，因此pop ebp 执行完毕后ebp 中就是delta的运行时地址，减去delta的编译时地址“offset delta”就得到了delta offset 的值。除了用明显的call 指令外，还可以使用不那么明显的fstenv、fsave、fxsave、fnstenv等浮点环境保存指令进行，这些指令也都可以获取某条指令的运行时地址。以fnstenv 为例，该指令将最后执行的一条FPU 指令相关的协处理器的信息保存在指定的内存中fpu_addr:

fnop

call GetPhAddr

sub ebp,fpu_addr

GetPhAddr:

sub esp,16

fnstenv [esp-12]

pop ebp

add esp,12

ret

delta offset 也不一定非要放在ebp 中，只不过是ebp 作为栈帧指针一般过程都不将该寄存器用于其它用途，因此大部分病毒作者都习惯于将delta offset 保存在ebp 中，其实用其他寄存器也完全可以。

在优化过的病毒代码中并不经常直接使用上述直接计算delta offset 的代码，比如在Elkern开头写成了类似如下的代码：

call _start_ip

_start_ip:

pop ebp

;使用

call [ebp+addrOpenProcess-_start_ip]

addrOpenProcess dd 0

;而不是

call _start_ip

_start_ip:

pop ebp

sub ebp,_start_ip

call [ebp+addrOpenProcess]

为什么不采用第二种书写代码的方式？其原因在于尽管之一种格式在书写源码时显得比较罗嗦， 但是addrOpenProcess-_start_ip 是一个较小相对偏移值，一般不超过两个字节，因此生成的指令较短，而addrOpenProcess在32 Win32编译环境下一般是4 个字节的地址值，生成的指令也就较长。有时对病毒对大小要求很苛刻，更多时候也是为了显示其超俗的编程技巧，病毒作者大量采用这种优化，对这种优化原理感兴趣的读者请参阅Intel手册卷2中的指令格式说明。

API 函数地址的获取

在能够正确重定位之后，病毒就可以运行自己代码了。但是这还远远不够，要搜索文件、读写文件、进行进程枚举等操作总不能在有Win32 API 的情况下自己用汇编完全重新实现一套吧，那样的编码量过大而且兼容性很差。

Win9X/NT/2000/XP/2003系统都实现了同一套在各个不同的版本上都高度兼容的Win32 API，因此调用系统提供的Win32 API实现各种功能对病毒而言就是自然而然的事情了。所以接下来要解决的问题就是如何动态获取Win32 API的地址。最早的PE病毒采用的是预编码的 *** ，比如Windows 2000 中CreateFileA 的地址是0x7EE63260，那么就在病毒代码中使用call [7EE63260h]调用该API，但问题是不同的Windows 版本之间该API 的地址并不完全相同，使用该 *** 的病毒可能只能在Windows 2000的某个版本上运行。

因此病毒作者自然而然地回到PE结构上来探求解决 *** ，我们知道系统加载PE 文件的时候，可以将其引入的特定DLL 中函数的运行时地址填入PE的引入函数表中，那么系统是如何为PE引入表填入正确的函数地址的呢？答案是系统解析引入DLL 的导出函数表，然后根据名字或序号搜索到相应引出函数的的RVA（相对虚拟地址），然后再和模块在内存中的实际加载地址相加，就可以得到API 函数的运行时真正地址。在研究操作系统是如何实现动态PE文件链接的过程中，病毒作者找到了以下两种解决方案：

A)在感染PE 文件的时候，可以搜索宿主的函数引入表的相关地址，如果发现要使用的函数已经被引入，则将对该API 的调用指向该引入表函数地址，若未引入，则修改引入表增加该函数的引入表项，并将对该API 的调用指向新增加的引入函数地址。这样在宿主程序启动的时候，系统加载器已经把正确的API 函数地址填好了，病毒代码即可正确地直接调用该函数。

B）系统可以解析DLL 的导出表，自然病毒也可以通过这种手段从DLL 中获取所需要的API地址。要在运行时解析搜索DLL 的导出表，必须首先获取DLL 在内存中的真实加载地址，只有这样才能解析从PE 的头部信息中找到导出表的位置。应该首先解析哪个DLL 呢？我们知道Kernel32.DLL几乎在所有的Win32 进程中都要被加载，其中包含了大部分常用的API，特别是其中的LoadLibrary 和GetProcAddress 两个API可以获取任意DLL 中导出的任意函数，在迄今为止的所有Windows 平台上都是如此。只要获取了Kernel32.DLL在进程中加载的基址，然后解析Kernel32.DLL 的导出表获取常用的API 地址，如需要可进一步使用Kernel32.DLL 中的LoadLibrary 和GetProcAddress 两个API 更简单地获取任意其他DLL 中导出函数的地址并进行调用。

求简单的病毒代码

本代码尽管测试，无任何危险。病毒文件测试代码。使用 *** 如下：

This is not a real virus. It is a text file that is used to test antivirus software.

测试代码：

---------------------请复制下面的代码到文本中保存-------------------

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

---------------------请复制上面的代码到文本中保存-------------------

测试 *** ：

1.鼠标右键点击桌面空白处，创建一个“文本文档”。（什么，还不会建？我倒）

2.将下面这段测试代码复制到“文本”里，保存，然后可以直接右键点击这个文本，用杀毒软件扫描（图1）。也可以等一会，如果你的杀毒软件还行，会自动报毒并将该文本删除，那就可以初步放心了。

测试原理：

该段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫描引擎。

测试等级:

特等：复制完代码后便提示内存有病毒

优等：刚保存完就提示病毒(或者直接删除)

中等：保存后几秒提示病毒(或者直接删除)

下等：需自己启动病毒扫描查杀才提示病毒(或者直接删除)

劣等：无论怎么扫描都无法提示病毒(或者直接删除)

电脑病毒编码详解

音乐虫病毒（Music Bug）

这个发作时会大声唱歌，甚至造成资料流失、无法开机的病毒，正是台湾土产的病毒。所以，当你听到电脑自动传来一阵阵音乐声时，别以为你的电脑比别人聪明，那很有可能是中毒了。

其实这种会唱歌的病毒也不少，有另一个著名的病毒（叫什么名字倒忘了）发作时还会高唱着"两只老虎"呢！

宏病毒

随着各种Windows下套装软件的发展，许多软件开始提供所谓"宏"的功能，让使用者可以用"创造宏"的方式，将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能，在经过有心人士的设计之后，终于又使得"文件型"病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件，而宏病毒则会感染Word、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是，这种宏病毒是跨操作平台的。以Word的宏病毒为例，它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。

32位病毒

所谓"32位病毒"，则是在Windows 95之后所产生的一种新型态文件型病毒，它虽然同样是感染exe执行文件，但是这种病毒专挑Windows的32位程序下手，其中最著名的就是去年大为流行的CIH病毒了。

谁能解释下面简单的电脑病毒代码？

我帮你"翻译"一下代码的意思。

这是一段vbs代码：直到(除非)1等于2，否则就一直弹出一个写有"烦死你"的窗口，因为1永远不等于2，所以不断的弹窗。

这是VB的一个简单编程，但是代码却不怀好意。这段代码的意思是说，当双击运行这个程序的时候，执行以下代码：直到(除非)1等于2，否则隐藏这个软件的窗体，然后显示这个软件的窗体，然后调用系统的"calc.exe"程序，也就是调用系统自带的"计算器"，因为1永远不等于2，所以这些步骤永远循环的执行下去。以现在的计算机来看，并不会"运行后马上死机"，我们的计算机还不至于这么差劲，不过cpu会高涨，根据不同计算机的配置，时间范围从很快死机到数秒后死机不等。

电脑病毒的源代码是从哪生成的？

那些编程程序是他们自己做的。通过捆绑到一些文件上，或者U盘。在网上下载是最常见到。