憨憨也能写出PE病毒

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量2.5k 收藏 26
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbszhenshuai/article/details/106200107
版权

导语

这是我软件安全作业,希望对想要学习PE病毒编写的同学们有所帮助。

目标

编写一个PE文件传染程序infect.exe,功能要求如下:

  1. infect.exe运行后,向同目录下的notepad.exe程序植入“病毒载荷”代码.
  2. infect.exe不能重复传染notepad.exe.
  3. notepad.exe被植入“病毒载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt文件,文件名为:学号-姓名.txt,文件内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。

基本思路

infect.exe的目标是向notepad.exe插入一段病毒载荷,也就是说我们要向一个已知的PE文件插入一段代码,使他能做到我们想要它做到的,但是实际上它并不应该能做到的功能。
一般来说PE病毒的载荷插入方式有两种,其一是在节之间插入,其二是新建节插入。
在节之间插入的好处是不用改entrypoint,在shellcode里不需要jmp回原本的entrypoint,基本上顺着执行原本的PE文件的过程中就可以将你的shellcode执行了,而缺点也显而易见,节之间的空间可能不足,可能出现无法植入shellcode的情况,而如果要利用多个节之间的空间的话就意味着载荷得分段执行,寄存器堆栈的状态都很可能变化,因此编写shellcode非常困难。
而新建节和节之间插入的优缺点刚好相反。相较之下更改entrypoint是比足够简单的,因此我们选择新建节植入shellcode。

具体实现

借鉴了网上很多的代码,大部分是使用handle非常便捷的修改了PE头的各个字段,而我由于太菜了加上正好需要具体理解PE格式,所以采用了最简单的文件指针的操作。

新建节

由之前博客的内容可知,新建节要修改的内容有

  1. PE头中的fileheader字段(IMAGE_NT_HEADERS.FileHeader的内容)
  2. PE头中的optionalheader字段(IMAGE_NT_HEADERS.OptionalHeader的内容)
  3. 新节的节首部各个字段(IMAGE_SECTION_HEADER的各个内容)

需要注意的是,由于我们多加了一个节头,这个接头会覆盖掉原本应该放IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT的位置,不过一般情况下这个地方是被保留的,全为0,因此我们只需将ntheader中指向这里的指针清空即可(也不能叫它指针吧),也就是将OptionalHeader.DataDirectory[11]的virtualaddress和size全清0。如果不清零的话,在装载PE程序的时候会装载器会报错。

具体代码如下

IMAGE_SECTION_HEADER addsection(char *file)
{

    IMAGE_DOS_HEADER image_dos_header;
    IMAGE_NT_HEADERS image_nt_headers;
    IMAGE_SECTION_HEADER image_section_header; // 用于存储新加的节表项
    IMAGE_SECTION_HEADER old_section;          // 存储旧的节表项
    int num_section = 0;
    //    byte sec[8]=".txt";



    FILE *h;
    h = fopen(file, "rb+");
    fseek(h, 0, SEEK_SET);
    fread(&image_dos_header, sizeof(IMAGE_DOS_HEADER), 1, h);
    fseek(h, image_dos_header.e_lfanew, SEEK_SET);
    fread(&image_nt_headers, sizeof(IMAGE_NT_HEADERS), 1, h); //PE头
    //printf("%d", sizeof(IMAGE_NT_HEADERS));
    //for (int a = 0; a <= 15; a++)
    //  printf("%x,%x\n", image_nt_headers.OptionalHeader.DataDirectory[a].VirtualAddress, image_nt_headers.OptionalHeader.DataDirectory[a].Size);

    num_section = image_nt_headers.FileHeader.NumberOfSections;
    fseek(h, image_dos_header.e_lfanew + sizeof(IMAGE_NT_HEADERS) + (num_section - 1) * sizeof(IMAGE_SECTION_HEADER), SEEK_SET);// 跳到最后一个节表项
    fread(&old_section, sizeof(IMAGE_SECTION_HEA
最低0.47元/天 解锁文章
π1l4r_
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
关于PE病毒编写的学习
蛛丝
08-30 3778
首先声明,因为害怕被封号,我肯定不会展示正确完整病毒代码,但是会介绍可行的学习方法。网上有很多关于介绍PE病毒编写的帖子,但基本上都是分析源码FunLove和《计算机病毒分析与对抗》中PE病毒的代码翻版。事实上这两个代码是用于原理展示,前者根本通不过编译,后者编译后并不能正确运行,虽然有部分帖子对其做了修改,受到正统汇编教材代码的影响,导致其修改方法是错误的。关于病毒编写充满了各种各样的迷信和谬论,因此在学习的过程中,我走了不少弯路,让我来一一说明:误区1:PE病毒一定要用汇编来写,其生成文件小,效率高,病
关于PE病毒编写的学习(三)
蛛丝
09-10 2425
历史上,在windows95发布后,用高级语言编写的外壳病毒,经过简单地改造编译,就能从DOS平台迁移到windows平台上。并且在这当中很多“前置病毒”,仅仅需要重新编译。另外之所以用“前置病毒”作为第一分析样本,理由如下:1.它具有基本病毒功能模块,这些模块在文件病毒中是通用的2.其框架结构,所需病毒技巧极少3.拓展方便,通过不断地加入新功能,循序渐进的学习各种病毒技巧4.加载新模块方便,适合测试其它病毒的某些功能模块那么何谓“前置病毒”?DWORD dwVirusSize=40960;HANDLE
PE 文件病毒编写实验(一)
热门推荐
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
PE病毒的学习资料包
06-08
PE型感染病毒 —— VC源码 PE型感染病毒 —— 遍历磁盘PE文件 (2) PE型感染病毒 —— 遍历磁盘驱动器 (1) PE型感染病毒 —— 增加节点修改PE入口 (3) Win32平台下的PE文件病毒的研究及实现。rar 关于PE病毒编写的学习 关于PE病毒编写的学习(八)——定位API的N种方法 关于PE病毒编写的学习(六)——关于PE文件结构操作的程序编写 关于PE病毒编写的学习(七)——重定位的谬误和它的正确写法 关于PE病毒编写的学习(三) 关于PE病毒编写的学习(四)——关于历遍磁盘的讨论 关于PE病毒编写的学习(五)——病毒如何做标记和记录信息 关于PE病毒编写的学习
关于PE病毒编写的学习(十)——追加病毒编写(下)
蛛丝
10-30 2671
  原本这一篇应该和上一篇同时发,但是我的原来代码写得很烂,而且由于我的目标是编写一个“追加病毒”框架,代码又要具备良好的模块特征。这两天改来改去,已经头脑混乱了,所以还是先发文章把原来的代码挂上,有时间再改,我会配上说明。  另外提一句,我把一个bug写再AddSection这个函数里,很多教学码也故意写这个错误,这个错误本意是修改由于PE文件头的修改使“xx值”应适当变化,实际写入的是空位置,这个值不应该变化,这个画蛇添足的行为会导致被感染文件出现一个对齐问题的错误,使系统认为它不是一个有效文件。自己独
关于PE病毒编写的学习(九)——追加病毒编写(上)
蛛丝
10-27 1827
  OK,兑现我的承诺,从本章开始讲述“追加病毒”的编写方法。我们将实现一个只弹出对话框的良性病毒,但是考虑到这个代码可能造成的危害,我会在感染模块中写入一个小Bug。不过,对于大家的学习是毫无影响的。  回到正题,先介绍一下“追加病毒”,在DOS时代中,这种病毒相当常见。由于.com文件的入口点是固定的,而且我们知道DOS平台程序可以随意使用中断,因此追加病毒只要将病毒代码追加到宿主文件尾,然后修改入口点代码成“jmp [病毒入口点]”,病毒执行完成后,再jmp到宿主程序。  到了win32平台下,这种方
我的女友都能看懂学会的python多线程
01-20
我和我的女朋友因为python而相识,同时也是因为python我才能把追到手。最近我和我女朋友在做一个项目,我负责语音识别和TTS,她负责QT界面设计。终于在上一个周我们都完成了各自预期的功能。到了两个代码整合的...
-176810022091
08-04
-176810022091 本文主要介绍了使用 Python 实现的职位信息抓取与可视化分析系统的设计与实现。该系统通过 Python 爬虫抓取拉勾网上的 Python 相关职位信息,然后对数据进行预处理、清洗和入库,最后使用 ...
Scratch 物理益智游戏:史莱姆跳跃
最新发布
07-07
调动史莱姆跳跃的力度躲过障碍达到最左方 预判线显示:界面左上,可以开启或者关闭 拖动跳动力度(Y的跳跃值)方式:界面右上,可以改为拖动模式或者跟随鼠标模式 按下空格可以让跳跃高度调整条移动 一共30关,...
的自制小游戏2.0
08-02
【标题】"的自制小游戏2.0" 涉及的知识点: 这个标题表明这是一个个人或团队制作的小游戏合集的升级版本,可能是基于编程爱好者或者独立开发者的作品。""可能是作者的自嘲或者是游戏的可爱风格的体现,而...
PE文件的感染C++源代码
01-17
PE文件的感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先执行自己写的dll,执行完后,再跳转到原代码人口处执行。 导入地址感染。这个相对简单些,在PE文件头部分,IMAGE_OPTION_HEADER中有个ImportAddress目录,这个目录中只是一些jmp指令,我们可以修改jmp指令跳转的地址,使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码,PE文件在硬盘上默认200H字节对齐,一般存有空隙,如果代码量小,不用增加新节就可以插入代码。 修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。 修改快捷方式文件。如果PE文件存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己写的程序,自写程序启动后,再执行真正的PE文件。这种做法比较猥琐,而且不可靠。
的一朵花.HTML
03-08
的一朵花.HTML
南京邮电大学恶意代码——实验:Pe病毒编写
weixin_42559271的博客
04-25 1718
前言 修改PE文件一般有两种思路。 第一种是通过编程语言来修改,这种方式的Visual Studio的Windows.h头文件里面有完全的PE相关管理结构的完整定义,通过编程来修改比较烦,但是优点是可以自动化进行,并且不需要去找相关的工具; 第二种方法是通过一些二进制工具来进行修改,这种方式是交互式的,能够直观的感受到整个过程,缺点是需要熟悉相关工具的UI使用方式,而且修改大量方式的时候市面上的这些工具一般都不提供编程接口; 因为本次实验仅仅是一个探索,所以就采用第二种方式。 需要的工具 本次实验用到的
感染PE文件一个简单实例
shangguanwaner的专栏
12-02 2486
感染PE文件一个简单实例作者:CloudQQ:329967612  感染PE文件是典型的病毒技术,利用它可以做很多事。至于怎么用就是各位读者自己的事。呵呵。这里给出一个简单的代码实例,它将代码保存在节的间隙中,然后修改入口点。很简单,写给初学者。个人觉得具体的例子要比抽象的解说更印象深刻,记得当初我刚学的时候,看那些高手们写的文章,实在是郁闷,概念是懂了但用不到实践中去。希望这篇文章能对
DLL系列------编程实现感染PE文件加载DLL
ebxds的专栏
12-13 3061
编程实现感染PE文件加载DLL 这篇文章是在网上看到的,貌似我找不到原文了。但是网上的排版非常乱,而且觉得此篇此篇文章对学习pe文件有很大帮助。 首先发张图让大家对PE文件有个整体认识 PE文件是Windows系统可执行文件采用的普遍格式,像我们平时接触的EXE、DLL、OCX,甚至SYS文件都是属于PE文件的范畴。很多Win32病毒都是基于感染PE文件来进行
EXP2 分析PE感染程序
zjlong668的博客
04-16 940
1.分析感染后的可执行程序 感染前和感染后对比: main-new.exe:最先传播病毒exe文件,大小:3KB test.exe:感染目标,感染前大小:2.5KB test2.exe:感染后的exe文件,感染后大小:6.5KB winhex打开这两个文件,利用相关功能分析(查看—>同步和比较) 感染前后文件不一样的地方就被winhex用黑色给标记出来了 一共有四处不一样: 感染前有3个节(00 03)感染后有4个节(00 04) 感染前时间戳为B...
简单感染PE文件
liujiayu2的专栏
10-08 1243
这个感染方式和win9x时代的CIH病毒感染方式很像。。。 @PandaOS 这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要,改了就完蛋了。。。别的几乎用不到 所以修改DOS头的话,只要不修改首尾字段,几乎不会影响程序运行。 源程序 感染后的 感染前程序的入口 感染后程序的入口 只要搜索节中的空隙,然后将代码分成几
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 2654
记录PE病毒设计的入门实验
spring boot用户怎么用impl,写出根据id删除用户的逻辑
06-03
在Spring Boot中,我们可以使用接口和实现类的方式来实现业务逻辑。以下是根据id删除用户的示例代码: 1. 创建一个UserService接口,定义删除用户的方法: ```java public interface UserService { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值