PE文件感染杂谈

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量1k 收藏 4
点赞数
文章标签: dll header windows image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carche/article/details/2056114
版权
        PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。

        导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先执行自己写的dll,执行完后,再跳转到原代码人口处执行。

        导入地址感染。这个相对简单些,在PE文件头部分,IMAGE_OPTION_HEADER中有个ImportAddress目录,这个目录中只是一些jmp指令,我们可以修改jmp指令跳转的地址,使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码,PE文件在硬盘上默认200H字节对齐,一般存有空隙,如果代码量小,不用增加新节就可以插入代码。

        修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。

         修改快捷方式文件。如果PE文件存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己写的程序,自写程序启动后,再执行真正的PE文件。这种做法比较猥琐,而且不可靠。

       
carche
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件感染C++源代码
01-17
PE文件感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先执行自己写的dll,执行完后,再跳转到原代码人口处执行。 导入地址感染。这个相对简单些,在PE文件头部分,IMAGE_OPTION_HEADER中有个ImportAddress目录,这个目录中只是一些jmp指令,我们可以修改jmp指令跳转的地址,使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码,PE文件在硬盘上默认200H字节对齐,一般存有空隙,如果代码量小,不用增加新节就可以插入代码。 修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。 修改快捷方式文件。如果PE文件存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己写的程序,自写程序启动后,再执行真正的PE文件。这种做法比较猥琐,而且不可靠。
windowsPE文件感染
01-18 397
。 转载于:https://www.cnblogs.com/beyond-Acm/p/4232123.html
PE文件感染
magedhenary的专栏
05-20 1068
最近学习了一下PE文件,看了份PE文件感染源码,分析了一下,其实就是修改进程,抛砖引玉 本来想把整个代码发下,但是太大了,只发函数的 #/////读取文件PE信息 BOOL readPEInfo(FILE* fp,MZHeader* outMZ,PE_Header* outPE,PE_ExtHeader* outpeXH,SectionHeader** outSecHdr) {
浅析PE文件感染
Puzzle的专栏
05-15 1568
作 者: zyhfut 时 间: 2010-12-27,21:21:28 链 接: http://bbs.pediy.com/showthread.php?t=127202 PE文件感染,早已不是什么新鲜的话题。论坛中也有很多反复摧残PE文件的文章。这段时间在看病毒方面的知识,所以重新温习了下PE文件的结构,介绍PE结构的帖子很多,我就不详细介绍了,再介绍也不一定由牛人们介绍的详细。
通过病毒原理较好的阐述了如何在pe中添加一个section
xuplus的专栏
04-15 2562
PE 文件的修改和感染策略  既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射文件的方式进行,这样可以避免自己管理缓冲的麻烦,因而为较
PE文件感染程序设计(PE病毒)
最新发布
Zyecho的博客
01-11 2684
记录PE病毒设计的入门实验
PE感染病毒 —— 遍历磁盘PE文件 (2)
~ 飞 扬 的 天 空 ~
02-27 812
自己在测试过程中,感觉效率不是很好,所以希望哪位大佬能提出宝贵的意见,在此深表感谢!   1、遍历磁盘中PE文件 [cpp] view plaincopyprint? /************************************************************************/  /* 函数说明:遍历感染指定驱动器中所有exe文件
PE文件感染和内存驻留
杨航的专栏
03-12 1705
这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。   在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目录下的
感染PE文件源码
哈哈Delphi学习空间
04-25 650
program XX;{$APPTYPE CONSOLE}usesSysUtils,Windows,ShellApi,TlHelp32;//-----------------------DETERMINE PROCESS EXISTANCE-----------------------------function process_exists(exeFileName: string): Boole
EXP2 分析PE感染程序
zjlong668的博客
04-16 950
1.分析感染后的可执行程序 感染前和感染后对比: main-new.exe:最先传播病毒的exe文件,大小:3KB test.exe:感染目标,感染前大小:2.5KB test2.exe:感染后的exe文件感染后大小:6.5KB winhex打开这两个文件,利用相关功能分析(查看—>同步和比较) 感染前后文件不一样的地方就被winhex用黑色给标记出来了 一共有四处不一样: 感染前有3个节(00 03)感染后有4个节(00 04) 感染前时间戳为B...
JIURL PE 格式学习总结(一)-- PE文件概述
jiurl的专栏
05-01 3214
零 前言     PE格式,是Windows的可执行文件的格式。Windows中的 exe文件dll文件,都是PE格式。PE 就是Portable Executable 的缩写。Portable 是指对于不同的Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CPU指令的二进制编码是不一样的。只是文件中各种东西的布局是一样的。 图 1.1    图
VC实现简单的PE文件感染(增加的是downloader功能)
weixin_34004750的博客
03-17 162
所有的的实现都封装好。调用的头文件pe1.h中。有两个方法 一个是int PeFiles(),实现对system32下面指定的exe文件进行感染 第二个是void ScanDisk(const char* path),对指定目录实现遍历感染PE感染源代码下载 转载于:https://blog.51cto.com/realwizard/912...
PE文件感染学习之一__通过现成代码加入一节信息来研究EXE文件的变化
Eagle_pompom的专栏
04-23 939
     最近在学习CODEPROJECT网站上的一个程序示例,名字叫做插入自己的节信息在任何的EXE文件中.尤其这个程序的危害比较的所以作者是提供了自己的一个弹出对话框的节信息.我尝试过加入一些EXE文件中,有成功运行的,有显示错误提示的(也许原因是有奇偶检验位的问题吧),后期文章我会介绍校验位的算法,希望大家能多关注我,多支持我的文章,希望得到大家的宝贵意见.对了.我的QQ号码是3655563
delphi 简单PE文件感染源码!
期待下集是个可爱梦儿
02-27 687
<br />文件感染是木马故有的特征,其实实现这样的功能并不难!下面是一个简单实例的源码:<br />procedure copy(s:string);///S:目标文件完整文件名(带路径的)<br />var<br />s1,s2,s3:tmemorystream; //内存流<br />file1:tfilestream;//文件流<br />id:integer;<br />iid:longint;<br />const<br />id=$66666666;//感染标识<br />begin<br /
感染PE文件的几种讨论
chengman3837的博客
02-10 613
PE文件在这里你可以简单而不怎么准确地理解为windows上的DLL,EXE,COM…后缀的那些可执行文件,即使没有黑框眼镜的加成,如何感染PE文件,对于混迹在Bin或者是逆向分析界的猴子们也是身经百战见得多了。虽然本人并不是二进制安全方面的老司机,不过没见过猪跑,总也吃过猪肉,所以下面的几个...
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
感染PE文件的一个简单实例
shangguanwaner的专栏
12-02 2490
感染PE文件的一个简单实例作者:CloudQQ:329967612  感染PE文件是典型的病毒技术,利用它可以做很多事。至于怎么用就是各位读者自己的事。呵呵。这里给出一个简单的代码实例,它将代码保存在节的间隙中,然后修改入口点。很简单,写给初学者。个人觉得具体的例子要比抽象的解说更印象深刻,记得当初我刚学的时候,看那些高手们写的文章,实在是郁闷,概念是懂了但用不到实践中去。希望这篇文章能对
Java学习杂谈1-12:动态加载机制和寻找class文件原理
Java 学习杂谈1-12 在这篇文章中,我想谈谈我学习 Java 的经验和感受,并希望能帮助其他软件学院的同学们少走弯路。尽管我不能说自己非常精通 Java,但我希望通过分享我的经验,能够促进大家的技术进步。 首先,我...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值