学习笔记:病毒感染PE文件的基本方法

最新推荐文章于 2021-11-22 15:40:57 发布
最新推荐文章于 2021-11-22 15:40:57 发布
阅读量5.8k 收藏 5
点赞数
分类专栏: Windows编程 VC++ C C++ MFC 文章标签: image
VC++ 同时被 3 个专栏收录
112 篇文章 2 订阅
订阅专栏
Windows编程
107 篇文章 1 订阅
订阅专栏
C++
107 篇文章 0 订阅
订阅专栏
2007-06-27 02:40

PE病毒常见的感染其它文件的方法是在文件中添加一个新节,然后往该节中添加病毒代码和病毒执行后返回HOST程序的代码,并修改文件头中代码开始执行位置(Address Of EntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面具体分析一下感染文件的步骤。

感染文件的基本步骤:

1,  判断目标文件开始的两个字节是否为“MZ”。

2,  判断PE文件标记“PE”

3,  判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。

4,  获得Directory(数据目录)的个数,每个数据目录信息占8个字节。

5,  得到节表起始位置:

       Directory的偏移地址+数据目录占用的字节数=节表起始位置

6,  得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)。

节表起始位置+节的个数×(每个节表占用的字节数28H)=目前最后节表的末尾偏移

7,  开始写入节表。

l  写入节名(8B)。

l  写入节的实际字节数(4B)。

l  写入新节在内存中的开始偏移地址(4B),同时可以计算出病毒入口位置。

上节在内存中的开始偏移地址+(上节大小/节对齐+1)×节对齐=本节在内存中的开始偏移地址

l  写入本节(即病毒节)在文件中对齐后的大小。

l  写入本节在文件中的开始位置。

上节在文件中的开始位置+上节对齐后的大小=本节(即病毒)在文件中的开始位置

l  修改映象文件头中的节表数目。

l  修改Address Of EntryPoint,同时保存旧的Address Of EntryPoint,以便返回HOST继续执行。

l  更新Size Of Image(内存中整个PE映象尺寸=原Size Of Image+病毒节经过内存节对齐后的大小)

l  写入感染标记

l  写入病毒代码到新添加的节中:

ECX=病毒长度

ESI=病毒代码位置(并不一定等于病毒执行代码开始位置)

EDI=病毒节写入位置

l  将当前文件设置为文件结尾。

PE 病毒感染其它文件的方法还有很多,例如 PE 病毒还可以将自己分散插入到每个节的空隙中等
(摘自 http://hi.baidu.com/westbeck/blog/item/0d56a01ce7bc858986d6b626.html)
 
dlyhlq
关注
专栏目录
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
PE文件感染程序设计(PE病毒)
Zyecho的博客
01-11 3289
记录PE病毒设计的入门实验
简单感染PE文件
liujiayu2的专栏
10-08 1285
这个感染方式和win9x时代的CIH病毒感染方式很像。。。 @PandaOS 这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要,改了就完蛋了。。。别的几乎用不到 所以修改DOS头的话,只要不修改首尾字段,几乎不会影响程序的运行。 源程序 感染后的 感染前程序的入口 感染后程序的入口 只要搜索节中的空隙,然后将代码分成几
浅析PE文件感染
Puzzle的专栏
05-15 1591
作 者: zyhfut 时 间: 2010-12-27,21:21:28 链 接: http://bbs.pediy.com/showthread.php?t=127202 PE文件感染,早已不是什么新鲜的话题。论坛中也有很多反复摧残PE文件的文章。这段时间在看病毒方面的知识,所以重新温习了下PE文件的结构,介绍PE结构的帖子很多,我就不详细介绍了,再介绍也不一定由牛人们介绍的详细。
关于PE病毒编写的学习(十一)——空隙覆盖病毒的实现方法
蛛丝
11-27 2049
这类病毒名字很多,选这个名字主要是它比较形象说明其感染方式,即将病毒代码分成多份,分别注入到程序各节由于对齐产生的空白中。1.核心——病毒描述表  将病毒代码分割成多份,分别注入到未知地址的区域内,却能完整运行。这看似神奇,其实实现方法却很简单———建立病毒分割描述表病毒分割描述表举例(汇编):Virus_Distribution struct;病毒片段描述符   Code_Base     dword  0;该病毒片段的起始地址   Code_Length  dword  0;该病毒片段的长度Virus_
从编程角度揭示病毒感染原理--之乾坤大挪移(PE病毒文件感染原理)
yunyu5120的专栏
12-25 5721
<br />从编程角度揭示病毒感染原理<br />                                                           --之乾坤大挪移(PE病毒文件感染原理)<br />                            作者
OPENCV学习笔记一:图像基本操作
01-20
标题学习opencv第一天: 一、图像基本操作: 1.图像读取:cv.imread(“文件位置:D:/python/picture.png” ) 函数功能:从文件路径中读取图片文件并显示出来,可读取的文件类型有JPG、JPEG、PNG、Webp等 函数原型:...
华为HCIA学习笔记文件系统基础
最新发布
06-16
HCIA基础实验 - 文件系统操作 & eNSP 拓扑
PE文件病毒实验(二)——实验报告
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
python病毒攻击代码_用python写的简单病毒(无害) -
weixin_39531992的博客
11-24 6411
(二)文件型病毒文件型病毒主要是感染可执行文件PE文件)的病毒,如EXE,COM。病毒对宿主文件进行修改,把自身代码添加到宿主文件上。执行宿主程序时,将会先执行病毒程序再执行宿主程序1.感染COM文件:对于COM文件,系统加载时在经过一系列处理之后将全部文件读入内存,并把控制权交给该文件的第一条指令。如果该指令恰为病毒指令则病毒就会获得控制权。COM后缀带毒文件有两种结构:? 病毒主体在原文件之...
Win32 PE病毒原理分析
liwei8703的专栏
12-07 3566
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
感染PE文件的一个简单实例
shangguanwaner的专栏
12-02 2524
感染PE文件的一个简单实例作者:CloudQQ:329967612  感染PE文件是典型的病毒技术,利用它可以做很多事。至于怎么用就是各位读者自己的事。呵呵。这里给出一个简单的代码实例,它将代码保存在节的间隙中,然后修改入口点。很简单,写给初学者。个人觉得具体的例子要比抽象的解说更印象深刻,记得当初我刚学的时候,看那些高手们写的文章,实在是郁闷,概念是懂了但用不到实践中去。希望这篇文章能对
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
学习日记——(计算机病毒)PE文件病毒
weixin_54055099的博客
11-22 6323
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒的感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件
通过病毒原理较好的阐述了如何在pe中添加一个section
xuplus的专栏
04-15 2583
PE 文件的修改和感染策略  既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射文件的方式进行,这样可以避免自己管理缓冲的麻烦,因而为较
PE文件感染和内存驻留
杨航的专栏
03-12 1734
这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。   在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目录下的
PE扩展节方式感染
weixin_33989058的博客
11-14 155
原理是:修改最后一个节并给最后一个节增加长度,然后在增加的区域中间写入代码,本方法的好处是相对前面一种方法可以写入更多的代码,并且拥有更好的兼容性。。 code: CodeprogramPE_Infection;{CodeBy箫竹}{$APPTYPECONSOLE}usesSysUtils,windows,classes;constDEBUG=TRUE;...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值