[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解

最新推荐文章于 2024-04-10 15:00:00 发布
最新推荐文章于 2024-04-10 15:00:00 发布
阅读量1w 收藏 37
点赞数 7
分类专栏: 系统安全与恶意代码分析 文章标签: 逆向分析 恶意代码分析 PE病毒 感染方式 基础原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/113527586
版权
本文详细介绍了Windows PE病毒的概念、分类和感染方式,包括传统文件感染型、捆绑释放型和系统感染型。内容涵盖PE病毒的感染思路、关键技术如重定位和API函数自获取,以及病毒的传播途径。通过对CIH、熊猫烧香和WannaCry等经典案例的分析,阐述了PE病毒的工作原理和危害,旨在帮助读者理解系统安全和逆向分析。
摘要由CSDN通过智能技术生成

您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。

文章目录

从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面

了解本专栏 订阅专栏 解锁全文
Eastmount
关注
专栏目录
订阅专栏
[网络安全自学篇] 七十九.Windows PE病毒原理分类感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理分类感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析
杨秀璋的专栏
01-04 6711
如果你想成为一名逆向分析恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析基础性文章,希望您喜欢!同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。技术路上哪有享乐,为了提升安
Win32 PE病毒原理分析
liwei8703的专栏
12-07 3583
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
PE病毒技术剖析[转载]
我的程序世界
03-06 1457
任何语言只要表达能力足够强,都可用于编写PE病毒。但现存的绝大部分PE病毒都是直接用汇编编写的,一方面是因为汇编编译后的代码短小精悍,可以充分进行人工优化,以满足隐蔽性的要求;另外一方面之所以用汇编是因为其灵活和可控,病毒要同系统底层有时甚至是硬件打交道,由于编译器的特点不尽相同,用高级语言实现某些功能甚至会更加麻烦,比如用汇编很方便地就可以直接进行自身重定位、自身代码修改以及读写IO端口等操
从编程角度揭示病毒感染原理--之乾坤大挪移(PE病毒文件感染原理)
yunyu5120的专栏
12-25 5723
<br />从编程角度揭示病毒感染原理<br />                                                           --之乾坤大挪移(PE病毒文件感染原理)<br />                            作者
PE病毒学习笔记——初识感染技术
05-16 1253
说起“感染技术”,一般印象里都是——感染文件,准确说,是“感染可执行文件”。事实上,除了文件感染,也可以是“进程感染”,也就是“进程注入”。但是相比而言,文件感染古老多了——早在单进程环境的DOS下就开始发展,而且相比“进程注入”,在我看来要复杂些。现在我们只考虑Win32环境下的文件感染。毫无疑问,读写文件的过程需要大量使用到API,如果看过我之前的关于“搜索API”的学习笔记的话,那么这个工作
PE学习笔记(病毒感染
虫子的专栏
11-15 2311
  通过一段时间对PE病毒的学习,对PE病毒感染过程有了初步的了解。 一  PE文件格式概述    PE文件结构的总体层次分布如下所示 -----------------------|DOS MZ Header ||------------------------||DOS Stub     ||------------------||PE Header  
79.WindowsPE病毒原理分类感染方式详解_杨秀璋的专栏-CSDN博客1
08-03
Windows PE病毒原理Windows PE(Portable Executable)病毒是一种针对Windows操作系统中PE格式可执行文件的恶意软件。PE格式是Microsoft Windows系统中用于存放可执行程序、动态链接库(DLL)和其他类型文件的...
[系统安全] 七.逆向分析PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6243
系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
[安全攻防进阶篇] 五.逆向分析之Win32 API获取及加解密目录文件、OllyDbg逆向其原理
杨秀璋的专栏
08-03 8295
这是作者安全攻防进阶篇,希望对您有所帮助。前文作者讲解了条件语句和循环语句源码还原及流程控制逆向方法,这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程,第三部分分享恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。基础性文章,希望您喜欢~
病毒基本知识(PE病毒篇)
weixin_30755393的博客
09-06 574
病毒保护技术 花指令 反跟踪技术 反调试技术 自修改技术 注册表项保护技术 进程保护技术 病毒特征 隐蔽性 传播性 破坏性 解毒代码的编写 基本思路 计算病毒代码大小 得到目标PE感染钱的入口地址 修正目标PE的相关参数 转载于:https://www.cnblogs.com/anyboo/archive/2012/09/06/...
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6355
一、相关知识 PE文件病毒原理PE文件病毒感染病毒时,将自身代码复制到目标文件中 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
病毒知识学习系列(1):初始病毒PE结构
梦涵飞雨de学习专栏
01-15 1435
最近组里安排对病毒防御相关知识做了讲座,个人一直以来对这方面的知识都是一知半解,所以计划好好对这方面知识做个学习,这篇文章先开个头吧。。1.什么是病毒病毒分类病毒是蓄意设计的一种软件程序,它旨在干扰计算机操作,记录、毁坏或删除数据,或者自行传播到其他计算机和整个 Internet。病毒分类感染型:感染病毒是指会修改用户机器上其他文件的病毒.  木马:是以盗取用户敏感信
解决virus:win32/ramnit.a病毒
庐陵居士
05-30 3310
现在导航到C:C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service。在这里,通过在键盘上按下 Shift + Del来删除DetectionHistory文件夹。转到顶部的"查看"选项卡并勾选"隐藏项"选项。按下win+E打开文件资源管理器。
PE文件感染程序设计(PE病毒
最新发布
m0_59598029的博客
04-10 668
python提供的glob库可以实现,glob是python自己带的一个文件操作相关模块,用它可以查找符合自己目的的文件,类似于Windows下的文件搜索,支持通配符操作,*,?修改入口点,使得新的EntryPoint指向我写入的shellcode处,并且shellcode的最后一条指令是跳转指令,在shellcode执行完毕后跳转至原EntryPoint继续执行,达到不改变原文件功能的目的。Format)文件格式。我们知道,一个文件的本质上是什么类型的文件取决于它的文件结构,而不是后缀。
实验六——PE病毒分析
Onlyone_1314的博客
09-26 1万+
【实验名称】 PE病毒分析 【实验目的】 1.属性PE文件结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.掌握文件型病毒的发现方法及PE病毒的染毒原理 【实验原理】 1.PE文件常用字段解释: a)文件偏移地址(FileOffset):PE文件存储在磁盘上时,各数据相对文件初始地址的偏移量。即,UltraEdit打开文件所显示的地址。 .text段第一个数据的文件偏移地址是:0x400 b)虚拟地址(Virtual Address,VA):PE文件载入内存后,各数据的地址。
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
关于PE病毒编写的学习(四)——关于历遍磁盘的讨论
蛛丝
09-19 1871
在上一章中的“前置病毒”中,由于它只是一个测试病毒,因此该病毒只是搜索病毒文件所在文件夹的exe文件。显然,为了让它具有更好传染性,能够历遍整个磁盘或某些重要文件夹的特性,是十分重要的。回到正题,让我们来改进原来的代码首先,在原来的代码中,只要结尾是“.exe”就判断为"可执行程序",这种方法在大多数情况下是正确的,但是如果程序经过压缩或加密后,某些行为会出错。因此,更加详细的文件类型检查很多时是必要的,参考代码如下:BOOL IsExeFile(HANDLE hFile){ IMAGE_DOS_HEADE
学习笔记:病毒感染PE文件的基本方法
编程爱好者
03-13 5892
2007-06-27 02:40 PE病毒常见的感染其它文件的方法是在文件中添加一个新节,然后往该节中添加病毒代码和病毒执行后返回HOST程序的代码,并修改文件头中代码开始执行位置(Address Of EntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面具体分析一下感染文件
Windows PE文件格式详解PE病毒分析
PE病毒就是一种利用PE文件格式的恶意软件,它们可能会篡改PE文件的头部信息,插入额外的代码或数据,或者利用PE文件的重定位机制来实现自我复制和传播。因此,对PE文件格式的深入理解和分析能力,是安全专家识别和...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值