关于感染型病毒的那些事(三)

    前段时间,我在网上下载了一个3D游戏,想要玩的时候却被提示需要将IE的主页设置为特定的网址才能玩这个游戏.对于我这种有"系统洁癖"的人来说,最反感的就是这种要求,用Peid查了下,发现没有加壳,一路跟下来,发现这个程序也提供了一种病毒感染的思路,那就是资源感染,既将宿主程序作为病毒程序的一个资源保存,将附加了宿主程序资源的病毒程序覆盖原宿主程序,在打开病毒程序时,病毒发作同时将宿主程序释放出来,运行之.这个3D游戏的反汇编片段:

    Csdn没有汇编代码的高亮- -,用C++的注释形式给出,上面的反汇编代码的思路是这样的:GetModuleFileNameA()获取当前程序路径,设置释放资源(宿主)程序的路径->CreateFileA()创建资源程序文件->FindResourceA()查找该资源->LoadResource()->SizeofResource()->WriteFile()通过载入,获取大小得到参数后写入->GetStartupInfoA()获取启动信息->CreateProcessA(),至此宿主程序已经启动,但等其运行完后,我们还要将其删除->WaitForSingleObject()等待ProcessInformation.hProcess,当宿主程序结束时会得到通知->CloseHandle()关闭ProcessInformation.hProcess和ProcessInformation.hThread->TerminateProcess()我觉得这步不是必须的,此时宿主程序本身已经结束运行了->DeleteFileA()删除刚才生成的资源程序文件.

    这个游戏的IE主页判断在释放资源之前,nop之后,单步到WriteFile之后把资源文件复制出来,之后启动就可以直接玩游戏了,这是题外话^_^

    这样提供了进行资源感染后,打开感染文件的一个运行流程.如何将宿主文件作为资源添加到病毒程序中去?利用UpdateResource()这个api来完成,具体代码如下(详见注释):

    这样就完成了资源感染,这个方法需要注意的一点是,你的病毒编译的时候是需要有初始资源的,如果本身病毒程序没有任何资源使用UpdateResource()将会失败.另外,如果采用这个感染方法,还要修改图标资源为宿主程序图标才能起到较好的隐蔽性,不然就是像熊猫烧香一样,明白着告诉人家,这个程序被感染了- -

    图片是感染后效果,图标改变

 

   

    To be continue...

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
如果您在使用火绒杀毒软件时发现无法清除感染病毒,可能有几种原因导致这种情况发生: 1. 杀毒软件未及时更新:病毒家族不断进化和变异,如果您的火绒杀毒软件没有及时更新病毒库,就可能无法识别和清除最新的感染病毒。确保您的杀毒软件及时更新到最新版本,以获得最佳的保护效果。 2. 感染病毒具有隐藏和自我保护能力:一些高级的感染病毒可能会采取各种技术手段来隐藏自身,避免被杀毒软件检测和清除。这些病毒可能会修改系统文件、注册表项等,使其难以被杀毒软件发现和处理。 3. 网络环境不安全:如果您的计算机频繁连接到不安全的网络,例如未经身份验证的公共Wi-Fi,您的计算机可能容易受到感染。此时,杀毒软件可能无法完全阻止感染病毒进入系统。 如果您遇到这种情况,我建议您采取以下措施: 1. 确保火绒杀毒软件已更新到最新版本,并定期更新病毒库。 2. 运行全盘扫描功能,确保杀毒软件能够检测到并清除可能存在的感染病毒。 3. 如果问题仍然存在,您可以尝试其他杀毒软件进行扫描和清除。有时不同的杀毒软件对于不同的病毒样本有不同的识别和处理能力。 4. 确保您的操作系统和应用程序都是最新版本,并定期进行系统更新。 5. 注意安全上网,避免访问不信任的网站和下载未经验证的文件。 如果问题仍然无法解决,建议您寻求专业的技术支持或咨询杀毒软件厂商以获取进一步帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值