[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解

已于 2025-04-05 15:19:44 修改
阅读量1w 收藏 39
点赞数 7
分类专栏: 系统安全与恶意代码分析 文章标签: 逆向分析 恶意代码分析 PE病毒 感染方式 基础原理
于 2021-02-01 19:34:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/113527586
版权
本文详细介绍了Windows PE病毒的概念、分类和感染方式,包括传统文件感染型、捆绑释放型和系统感染型。内容涵盖PE病毒的感染思路、关键技术如重定位和API函数自获取,以及病毒的传播途径。通过对CIH、熊猫烧香和WannaCry等经典案例的分析,阐述了PE病毒的工作原理和危害,旨在帮助读者理解系统安全和逆向分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了武汉大学彭国军教授的《软件安全》课程视频和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。

文章目录

从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东

了解本专栏 订阅专栏 解锁全文
[网络安全自学篇] 七十九.Windows PE病毒原理分类感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理分类感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析
杨秀璋的专栏
01-04 6900
如果你想成为一名逆向分析恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析基础性文章,希望您喜欢!同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。技术路上哪有享乐,为了提升安
Win32 PE病毒原理分析
liwei8703的专栏
12-07 3757
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
PE病毒技术剖析[转载]
我的程序世界
03-06 1489
任何语言只要表达能力足够强,都可用于编写PE病毒。但现存的绝大部分PE病毒都是直接用汇编编写的,一方面是因为汇编编译后的代码短小精悍,可以充分进行人工优化,以满足隐蔽性的要求;另外一方面之所以用汇编是因为其灵活和可控,病毒要同系统底层有时甚至是硬件打交道,由于编译器的特点不尽相同,用高级语言实现某些功能甚至会更加麻烦,比如用汇编很方便地就可以直接进行自身重定位、自身代码修改以及读写IO端口等操
从编程角度揭示病毒感染原理--之乾坤大挪移(PE病毒文件感染原理)
yunyu5120的专栏
12-25 5777
<br />从编程角度揭示病毒感染原理<br />                                                           --之乾坤大挪移(PE病毒文件感染原理)<br />                            作者
PE病毒学习笔记——初识感染技术
05-16 1299
说起“感染技术”,一般印象里都是——感染文件,准确说,是“感染可执行文件”。事实上,除了文件感染,也可以是“进程感染”,也就是“进程注入”。但是相比而言,文件感染古老多了——早在单进程环境的DOS下就开始发展,而且相比“进程注入”,在我看来要复杂些。现在我们只考虑Win32环境下的文件感染。毫无疑问,读写文件的过程需要大量使用到API,如果看过我之前的关于“搜索API”的学习笔记的话,那么这个工作
PE学习笔记(病毒感染
虫子的专栏
11-15 2357
  通过一段时间对PE病毒的学习,对PE病毒感染过程有了初步的了解。 一  PE文件格式概述    PE文件结构的总体层次分布如下所示 -----------------------|DOS MZ Header ||------------------------||DOS Stub     ||------------------||PE Header  
79.WindowsPE病毒原理分类感染方式详解_杨秀璋的专栏-CSDN博客1
08-03
Windows PE病毒原理Windows PE(Portable Executable)病毒是一种针对Windows操作系统中PE格式可执行文件的恶意软件。PE格式是Microsoft Windows系统中用于存放可执行程序、动态链接库(DLL)和其他类型文件的...
[系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解
杨秀璋的专栏
02-07 7559
作者前文介绍了宏病毒相关知识,它仍然活跃于各个APT攻击样本中,具体内容包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。本文将详细介绍什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
[安全攻防进阶篇] 五.逆向分析之Win32 API获取及加解密目录文件、OllyDbg逆向原理
杨秀璋的专栏
08-03 8487
这是作者安全攻防进阶篇,希望对您有所帮助。前文作者讲解了条件语句和循环语句源码还原及流程控制逆向方法,这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程,第三部分分享恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。基础性文章,希望您喜欢~
病毒基本知识(PE病毒篇)
weixin_30755393的博客
09-06 597
病毒保护技术 花指令 反跟踪技术 反调试技术 自修改技术 注册表项保护技术 进程保护技术 病毒特征 隐蔽性 传播性 破坏性 解毒代码的编写 基本思路 计算病毒代码大小 得到目标PE感染钱的入口地址 修正目标PE的相关参数 转载于:https://www.cnblogs.com/anyboo/archive/2012/09/06/...
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6541
一、相关知识 PE文件病毒原理PE文件病毒感染病毒时,将自身代码复制到目标文件中 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
病毒知识学习系列(1):初始病毒PE结构
梦涵飞雨de学习专栏
01-15 1465
最近组里安排对病毒防御相关知识做了讲座,个人一直以来对这方面的知识都是一知半解,所以计划好好对这方面知识做个学习,这篇文章先开个头吧。。1.什么是病毒病毒分类病毒是蓄意设计的一种软件程序,它旨在干扰计算机操作,记录、毁坏或删除数据,或者自行传播到其他计算机和整个 Internet。病毒分类感染型:感染病毒是指会修改用户机器上其他文件的病毒.  木马:是以盗取用户敏感信
实验六——PE病毒分析
热门推荐
Onlyone_1314的博客
09-26 1万+
【实验名称】 PE病毒分析 【实验目的】 1.属性PE文件结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.掌握文件型病毒的发现方法及PE病毒的染毒原理 【实验原理】 1.PE文件常用字段解释: a)文件偏移地址(FileOffset):PE文件存储在磁盘上时,各数据相对文件初始地址的偏移量。即,UltraEdit打开文件所显示的地址。 .text段第一个数据的文件偏移地址是:0x400 b)虚拟地址(Virtual Address,VA):PE文件载入内存后,各数据的地址。
利用Windows PE来检查和清除计算机病毒和流氓软件
hwman的专栏
04-17 8018
当今的网络社会,计算机病毒、木马和流氓软件是狼狈为奸,对计算机系统的安全性、运行的稳定性构成很大威胁。如何有效检测和清除我们计算机中的病毒、木马和流氓软件,一直都是杀毒领域里面的重要话题。一般的查毒和杀毒方法都是依赖于专业的病毒检测和清除软件。这些检测和清除软件因为有专业的病毒领域的专家和开发者作为支持,对流行的绝大部分计算机病毒都有一定的效果。很多人在使用杀毒软件的时候,看到满屏幕的计算机病毒
计算机病毒分析与对抗————3、PE文件型病毒
Fly_鹏程万里
04-24 3242
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加节:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存中的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call test pop eax sub ea...
学习笔记:病毒感染PE文件的基本方法
编程爱好者
03-13 5961
2007-06-27 02:40 PE病毒常见的感染其它文件的方法是在文件中添加一个新节,然后往该节中添加病毒代码和病毒执行后返回HOST程序的代码,并修改文件头中代码开始执行位置(Address Of EntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面具体分析一下感染文件
一个简单的PE感染病毒
GVFDBDF的专栏
09-22 4722
/------- 通过开辟一个新的节表放置shellcode 修改PE入口点到shellcode,并在shellcode中设置返回原PE入口点 PE文件格式参考资料: http://bbs.pediy.com/showthread.php?t=21932 ----------/ /*** 本程序只适用于载入基址定位的,非随机基址 感染指定目录的PE文件 添
Windows PE文件格式详解PE病毒分析
PE病毒就是一种利用PE文件格式的恶意软件,它们可能会篡改PE文件的头部信息,插入额外的代码或数据,或者利用PE文件的重定位机制来实现自我复制和传播。因此,对PE文件格式的深入理解和分析能力,是安全专家识别和...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值