PE文件感染学习之一__通过现成代码加入一节信息来研究EXE文件的变化

最新推荐文章于 2017-02-10 10:09:00 发布
最新推荐文章于 2017-02-10 10:09:00 发布
阅读量939 收藏
点赞数
文章标签: exe 汇编 算法 xp qq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eagle_pompom/article/details/2316826
版权

     最近在学习CODEPROJECT网站上的一个程序示例,名字叫做插入自己的节信息在任何的EXE文件中.尤其这个程序的危害比较的所以作者是提供了自己的一个弹出对话框的节信息.我尝试过加入一些EXE文件中,有成功运行的,有显示错误提示的(也许原因是有奇偶检验位的问题吧),后期文章我会介绍校验位的算法,希望大家能多关注我,多支持我的文章,希望得到大家的宝贵意见.对了.我的QQ号码是365556303,希望和更多的志同道合的朋友们一起进步提高.

      下面我们来研究一下加入节信息后,EXE文件有那些变化.我以作者提供的CALC.EXE 计算机程序为示例讲解. 我们通过WINHEX来对比原CALC.EXE和加入一个节信息的CALC.EXE程序,加入节信息的内容我们暂定为两条简单的汇编语句:mov eax,01012475   jmp eax 这个很简单我来大概解释一下.01012475这个地址就是计算机程序在XP SP2 中的OEP. 我们的节信息的数据就包括这些简单的内容.

      下面我们来看一下它们的区别:

       原程序                          加入节信息的程序

 1 在节数量(NumberOfSections)中,原程序的节数量+1=加入1个新节的程序的节数量;

 2  在AddressOfEntryPoint 这个区域的区别(载入内存中的相对于映像基址的偏移值)

(未完待续)

 

Eagle_pompom
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
添加,插入PE文件
10-31
把任何二进制文件,以新添加一个区的方式,插入到可执行文件中!
PE文件区添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
windows下PE文件感染
01-18 397
。 转载于:https://www.cnblogs.com/beyond-Acm/p/4232123.html
PE文件感染和内存驻留
杨航的专栏
03-12 1705
这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。   在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目录下的
PE文件感染
weixin_33738982的博客
10-02 313
2019独角兽企业重金招聘Python工程师标准>>> ...
VC实现简单的PE文件感染(增加的是downloader功能)
weixin_34004750的博客
03-17 162
所有的的实现都封装好。调用的头文件pe1.h中。有两个方法 一个是int PeFiles(),实现对system32下面指定的exe文件进行感染 第二个是void ScanDisk(const char* path),对指定目录实现遍历感染PE感染代码下载 转载于:https://blog.51cto.com/realwizard/912...
pe 文件编程:编辑文件头.rar_asm win32_pe_头文件_编程文件
09-19
在Windows操作系统中,PE(Portable Executable)文件格式是用于存放可执行...在实际应用中,更常见的是使用现成的工具或库,如PEfile(Python)或PELib(C++),它们提供更安全和方便的方式来处理PE文件的头部信息
GetHttpFile1.rar_HTTP协议_HTTP远程文件_http 文件_远程
09-21
在描述中提到的“很不错哦”,暗示这个工具或代码可能易于使用且功能实用。 首先,让我们深入了解一下HTTP协议。HTTP基于TCP/IP通信协议来交换各类数据,其主要特点是简单、快速、可靠。HTTP协议的工作流程通常包括...
ppmd.zip_ppm_ppm compression_ppmd_vc PP_文件压缩
最新发布
09-21
标签中的"ppm"和"ppm_compression"指向PPM算法,这是一种基于概率建模的压缩方法,通过学习输入数据的统计特性来预测未来的字符,然后对预测误差进行编码。"ppmd"是PPM-D的简称,是PPM算法的一种变体,通常在效率和...
inifile.rar_ini_ini 文件_ini 文件读取
07-14
4. **内存数据结构**:为了存储ini文件中的信息,可以创建一个结构体或类,如`IniSection`表示一个,包含一个键值对的映射(如`std::map, std::string>`)。这样可以方便地进行查找、添加和修改操作。 5. **写入...
profile-ini.rar_C++ ini_ini_ini 文件_ini文件_ini文件 C
07-14
我们可以遍历文件的每一行,通过检测行首的`[`来确定是否为,通过`=`来分割键和值。为了方便,可以自定义一个类来封装ini文件的读取和写入功能。 4. **C++实现ini文件读写**: `PROFILE-ini.C`和`profile-ini.h`...
PE文件简单加密(加壳)--源码 <img src="/images/sunny.gif" ali
02-23
这个小软件通过在可执行文件(.exe)的尾部添加一个新(Section),并且修改PE的入口地址,使可执行文件在运行时,跳出一个输入密码的对话框,从而实现了简单的加密。源程序采用Delphi 6.0编写, 兼有少量的asm代码,用於可执行文件的加密。如需传播,请保留作品的完整性!
delphi 简单PE文件感染源码!
期待下集是个可爱梦儿
02-27 687
<br />文件感染是木马故有的特征,其实实现这样的功能并不难!下面是一个简单实例的源码:<br />procedure copy(s:string);///S:目标文件完整文件名(带路径的)<br />var<br />s1,s2,s3:tmemorystream; //内存流<br />file1:tfilestream;//文件流<br />id:integer;<br />iid:longint;<br />const<br />id=$66666666;//感染标识<br />begin<br /
PE文件感染杂谈
carche的专栏
01-21 1047
        PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。         导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个区,修改ImportAddress中的地址,使其指向新增加的,这样,程序加载后,只要调用相关函数,就会先执行自
PE感染病毒 —— 遍历磁盘PE文件 (2)
~ 飞 扬 的 天 空 ~
02-27 812
自己在测试过程中,感觉效率不是很好,所以希望哪位大佬能提出宝贵的意见,在此深表感谢!   1、遍历磁盘中PE文件 [cpp] view plaincopyprint? /************************************************************************/  /* 函数说明:遍历感染指定驱动器中所有exe文件
感染PE文件的几种讨论
chengman3837的博客
02-10 613
PE文件在这里你可以简单而不怎么准确地理解为windows上的DLL,EXE,COM…后缀的那些可执行文件,即使没有黑框眼镜的加成,如何感染PE文件,对于混迹在Bin或者是逆向分析界的猴子们也是身经百战见得多了。虽然本人并不是二进制安全方面的老司机,不过没见过猪跑,总也吃过猪肉,所以下面的几个...
PE文件加新显示启动信息
itaolu的专栏
11-25 1788
下载本例子程序和源代码 (7.66 KB)病毒并不神秘,也不复杂。相当多的大侠已经在这方面作出了杰出的贡献,例如 29A 组织,我对他们的崇拜之情啊,真是……咳咳,先别扔鸡蛋。其实我想说的是:技术是一柄双刃剑,我们应该把它运用在对社会有益的事情上。所以请勿利用本文的代码进行违法违纪的活动,否则本人保留追究的权利。本文的技术其实早已是老掉牙的东西了,so如果你已经懂得了
手动构造PE文件
huobengle
01-13 208
很早以前就拜读了A1Pass得手工构造PE文件一文,可是一直没有去动手实践下,寒假本来想写个PE分析工具结果愣是发现自己PE结构都忘得毛都没了。。。so 蛋疼 今天就参考该文来自己手动构造一个。 这里先提个问题,WinMain函数是符合_stdcall调用约定的,我们都知道winmain接收四个参数,这四个参数的堆栈是有谁来清理呢?理论上应该是系统吧,但是调试程序最后总会发现个 ...
手动增加pe并修改oep
wangbabadan的专栏
03-26 910
一直想学学怎么动动pe文件学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加和修改oep,写出来供和我一样菜的一起进步。 一、       增加pe需要的操作 1.    确定内存中的的对齐粒度和文件中的的对齐粒度,分别是pe+0038h 和3ch   也就是说 内存和文件的对齐粒度都是1000h. 2.    在文件末尾增加数据。 因为文件对齐的粒度是1000
PE加新 执行指定程序
04-16 1059
/********************************************************************author:  Hanker98purpose: 增加一个新用于C盘的程序被执行程序可以在 windows 或system32 和被修改程序的目录都可以运行成功*************************************************
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值