[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解

最新推荐文章于 2024-08-26 07:28:54 发布
最新推荐文章于 2024-08-26 07:28:54 发布
阅读量1.4w 收藏 48
点赞数 12
分类专栏: 网络安全自学篇 文章标签: 系统安全 PE病毒 感染传播 软件安全 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/106204633
版权
网络安全自学篇 专栏收录该内容
122 篇文章 3383 订阅 ¥49.90 ¥99.00
订阅专栏
本文是网络安全自学教程的一部分,详细介绍了Windows PE病毒的概念、分类及感染方式。PE病毒以Windows PE程序为载体,分为文件感染和系统感染两大类。文件感染包括传统感染型和捆绑释放型,系统感染则不直接感染文件,而是寄生在操作系统中。文章还探讨了PE病毒的关键技术,如重定位、API函数自获取、目标程序遍历搜索,并列举了CIH病毒等经典案例。此外,文章还讨论了病毒如何获取控制权、传播方式以及自启动策略。
摘要由CSDN通过智能技术生成

这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~

作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~

文章目录

PS:本文参考了《软件安全》视频、安全网站和参考文献中的文章(详见参考文献),并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。

作者的github资源:
软件安全:https://github.com/eastmountyxz

了解本专栏 订阅专栏 解锁全文
Eastmount
关注
专栏目录
订阅专栏
[系统安全] 十七.Windows PE病毒概念、分类感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这文章将介绍Windows PE病毒, 包括PE病毒原理分类感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
[网络安全自学] 九十.远控木马详解及APT攻击的远控和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击常见的判断方法,利用Python调用扩展包进行溯源。这文章将详细分享远控木马及APT攻击的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多木马的文章,但这更多是讲解远控型木马,基础性文章,希望对您有所帮助~
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6355
一、相关知识 PE文件病毒原理PE文件病毒感染病毒时,将自身代码复制到目标文件 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
网络安全学习笔记(7)
qq_40316844的博客
09-11 189
具体的学习总结: PE结构详解: 1、DOS头:共40H(64字节) 0X00 WORD e_magic; //※Magic DOS signature MZ(4Dh 5Ah):MZ标记:用于标记是否是可执行文件 0x3C DWORD e_lfanew; //※Offset to start of PE header:定位PE文件,PE头相对于文件的偏移量 2、PE头: //NT...
Windows PE》2.2 加载PE文件一
最新发布
bcdaren的博客
08-26 1166
如图2-8所示:我们可以通过GDTR寄存器找到GDT全局段描述符表,在GDT全局段描述符表保存LDT1、LDT2、LDT3三个局部段描述符表的段描述符,对应的局部段描述符表的段选择子分别为Selector1、Selector2、Selector3。G=0表示界限粒度为字节(实模式下内存地址空间以字节为单位,20位段界限域可访问的地址空间就是220个字节,1MB大小),G = 1表示界限粒度是4KB(保护模式下,内存地址空间以页为单位,20位段界限域可访问的地址空间就是220*212个字节,4GB大小)。
Win32 PE病毒原理分析
liwei8703的专栏
12-07 3583
by guojpeng/CVC.GB在绝大多数病毒爱好者眼,真正的病毒技术在Win32 PE病毒才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、国黑客等病毒都是属于这
PE病毒技术剖析[转载]
我的程序世界
03-06 1457
任何语言只要表达能力足够强,都可用于编写PE病毒。但现存的绝大部分PE病毒都是直接用汇编编写的,一方面是因为汇编编译后的代码短小精悍,可以充分进行人工优化,以满足隐蔽性的要求;另外一方面之所以用汇编是因为其灵活和可控,病毒要同系统底层有时甚至是硬件打交道,由于编译器的特点不尽相同,用高级语言实现某些功能甚至会更加麻烦,比如用汇编很方便地就可以直接进行自身重定位、自身代码修改以及读写IO端口等操
病毒基本知识(PE病毒
weixin_30755393的博客
09-06 574
病毒保护技术 花指令 反跟踪技术 反调试技术 自修改技术 注册表项保护技术 进程保护技术 病毒特征 隐蔽性 传播性 破坏性 解毒代码的编写 基本思路 计算病毒代码大小 得到目标PE感染钱的入口地址 修正目标PE的相关参数 转载于:https://www.cnblogs.com/anyboo/archive/2012/09/06/...
从编程角度揭示病毒感染原理--之乾坤大挪移(PE病毒文件感染原理)
yunyu5120的专栏
12-25 5723
<br />从编程角度揭示病毒感染原理<br />                                                           --之乾坤大挪移(PE病毒文件感染原理)<br />                            作者
实验六——PE病毒分析
Onlyone_1314的博客
09-26 1万+
【实验名称】 PE病毒分析 【实验目的】 1.属性PE文件结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.掌握文件型病毒的发现方法及PE病毒的染毒原理 【实验原理】 1.PE文件常用字段解释: a)文件偏移地址(FileOffset):PE文件存储在磁盘上时,各数据相对文件初始地址的偏移量。即,UltraEdit打开文件所显示的地址。 .text段第一个数据的文件偏移地址是:0x400 b)虚拟地址(Virtual Address,VA):PE文件载入内存后,各数据的地址。
79.WindowsPE病毒原理分类感染方式详解_杨秀璋的专栏-CSDN博客1
08-03
总结,了解Windows PE病毒原理和行为模式对于保护个人和组织的网络安全至关重要。通过学习和掌握相关知识,我们可以更好地预防和应对这类威胁,维护网络环境的安全。同时,也提醒读者,技术的应用应遵循法律法规,...
[网络安全自学] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
热门推荐
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
[安全攻防进阶] 五.逆向分析之Win32 API获取及加解密目录文件、OllyDbg逆向其原理
杨秀璋的专栏
08-03 8295
这是作者安全攻防进阶,希望对您有所帮助。前文作者讲解了条件语句和循环语句源码还原及流程控制逆向方法,这文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程,第三部分分享恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。基础性文章,希望您喜欢~
PE学习笔记(病毒感染
虫子的专栏
11-15 2311
  通过一段时间对PE病毒的学习,对PE病毒感染过程有了初步的了解。 一  PE文件格式概述    PE文件结构的总体层次分布如下所示 -----------------------|DOS MZ Header ||------------------------||DOS Stub     ||------------------||PE Header  
计算机pe病毒感染过程,感染PE病毒分析与专杀修复工具的开发.pdf
weixin_30487899的博客
07-27 503
70 现代制造技术 与装备 2014 6 期 总 223 期感染PE 病毒分析与专杀修复工具的开发李西山(临沂市人民医院,临沂 276003 )摘 要:本文对感染技术在病毒发展过程的地位进行了分析、然后重点分析感染病毒,针对感染病毒的难以检测和清除以及对可执行文件的破坏,本文提出了对特定的感染病毒编写相...
关于PE病毒编写的学习(六)——关于PE文件结构操作的程序编写
蛛丝
10-06 2027
  对PE文件结构的各个值定义和作用,这里不提了,网上资源很多,百度一下就好了。所以,本章只说一下,作为代码编写者对PE文件结构操作的方法和技巧。还是通过改进代码,来体会一下吧。  你应该记得前面的BOOL IsPEFile(HANDLE hFIle) 这个函数吧,它的作用是判断文件是否为PE格式文件。它把文件句柄作为参数,虽然许多函数需要文件句柄这个参数,但是作为对PE文件结构操作的函数,这样做是不恰当的,因为如果这样做就要频繁的使用SetFilePointer()、ReadFile()、WriteFil
PE病毒学习笔记——初识感染技术
05-16 1253
说起“感染技术”,一般印象里都是——感染文件,准确说,是“感染可执行文件”。事实上,除了文件感染,也可以是“进程感染”,也就是“进程注入”。但是相比而言,文件感染古老多了——早在单进程环境的DOS下就开始发展,而且相比“进程注入”,在我看来要复杂些。现在我们只考虑Win32环境下的文件感染。毫无疑问,读写文件的过程需要大量使用到API,如果看过我之前的关于“搜索API”的学习笔记的话,那么这个工作
计算机病毒分析与对抗————3、PE文件型病毒
Fly_鹏程万里
04-24 3093
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加节:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call test pop eax sub ea...
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 3393
记录PE病毒设计的入门实验
数字签名与Signtool签名工具详解PE文件逆向原理及应用【网络安全自学
PE文件是Windows操作系统上的可执行程序文件,数字签名是对程序文件进行加密和验证的一种技术手段。数字签名可以确保程序文件的完整性和真实性,防止程序文件被篡改或恶意软件替换。Signtool是一个用于对PE文件进行...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值