感染可执行文件加载Dll

最新推荐文章于 2022-03-22 00:40:32 发布
最新推荐文章于 2022-03-22 00:40:32 发布
阅读量1k 收藏
点赞数
分类专栏: 安全相关 文章标签: dll byte 汇编 header 引擎 image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gudujianjsk/article/details/5856629
版权
本文介绍了如何在可执行文件的代码节中找到剩余空间,插入Dll启动代码,并修改入口点,以实现感染文件并加载Dll。通过汇编语言和PE文件结构,文章详细阐述了定位代码节、修改文件头、插入和跳转指令的过程,以及如何避免杀毒软件的检测。
摘要由CSDN通过智能技术生成

 

       以前看过一篇文章《捆绑任意可执行文件做木马》深感作者对汇编运用之熟练。但经过实际练习感觉到办法还有些欠缺,比如说修改文件头AddressOfEntryPoint域的RVA这一招连360都盯上了。另外创建一个节来写入数据使程序变得臃肿。实际上每一个可执行文件的代码节都有很大的剩余空间没利用,我们只要在剩余空间里写入不到200个字节的Dll启动代码就行了。

本文假设读者已经具备了汇编语言pe结构体和使用msdn的能力

       本文的主要思路是:

找出目标文件剩余空间

将开始的代码修改为跳转指令跳转到指定的代码处

在剩余空间里写入启动代码

在剩余空间里写入被修改的代码和回跳代码

被感染后的文件执行流程如图一所示:



 

还是看看具体的实现代码吧:


 


 

对一个pe文件修改最方便的还是用CreateFile()CreateFileMapping()之类的api函数来创建一个文件映像。这些就不多说了不懂的可以看msdn

假设我们得到的文件映像基地址是pFileImage首先定位文件的代码段(这里需要用到pe文件的知识)


最低0.47元/天 解锁文章
gudujianjsk
关注
专栏目录
rmnet蠕虫启动代码赏析
yellow的博客
03-03 2510
被rmnet蠕虫感染后的PE文件启动代码赏析。
c++ 感染exe运行DLL
11-12
由vc编译的 感染exe运行DLL例子 供大家参考,主要学习思路
DLL系列------编程实现感染PE文件加载DLL
ebxds的专栏
12-13 3076
编程实现感染PE文件加载DLL 这篇文章是在网上看到的,貌似我找不到原文了。但是网上的排版非常乱,而且觉得此篇此篇文章对学习pe文件有很大帮助。 首先发张图让大家对PE文件有个整体认识 PE文件是Windows系统可执行文件采用的普遍格式,像我们平时接触的EXE、DLL、OCX,甚至SYS文件都是属于PE文件的范畴。很多Win32病毒都是基于感染PE文件来进行
VC++实现感染文件式加载DLL文件
weixin_30664051的博客
08-15 143
源码分析如下#include "windows.h" #include "stdio.h" //判断文件是否为合法PE文件 BOOL CheckPe(FILE* pFile) { fseek(pFile,0,SEEK_SET); BOOL bFlags=FALSE; WORD I...
编程实现感染PE文件加载DLL
12-14
在深入探讨如何编程实现感染PE文件加载DLL之前,我们需要对PE文件结构有所了解。PE文件,全称为Portable Executable文件,是Windows操作系统中可执行文件采用的一种普遍格式。几乎所有我们熟知的Windows可执行文件,...
改写PE文件导入表加载DLL
03-18
例如,"感染PE文件加载DLL"的恶意软件可能会在目标PE文件的导入表中插入恶意DLL的引用,以此达到控制或监视的目的。 在逆向工程和软件安全中,理解这一过程可以帮助我们识别和分析潜在的威胁。通过对PE文件的导入表...
Execs:可执行文件下载
03-29
在IT领域,可执行文件(Executables)是程序的一种形式,它们可以直接由操作系统加载和运行,无需编译。在Windows、Linux、Mac OS等不同的操作系统中,可执行文件有着不同的扩展名和格式。本篇文章将深入探讨可执行...
iis.dll 无法加载iis.dll
08-23
在标签 "iis.dll下载" 提示下,用户可能需要从可信赖的源下载正确的iis.dll文件,以避免下载到恶意软件。同时,Readme说明.html文件可能包含了更多关于如何解决问题的详细指导,建议用户仔细阅读。
延迟加载库的应用:Dll嵌入可执行文件
lixiangminghate的专栏
06-29 915
搜索到一篇英文文章:Packing Dlls into your exe 文章大意是把dll文件嵌入到可执行文件的资源表中,用延迟加载方式编译链接可执行文件。由于所依赖的dll在正式调用时才被加载,因此能顺利的通过链接阶段。Exe正式运行时,先搜索文件资源表,获得嵌入到资源区中dll并保存到磁盘,然后调用。调用完卸载和删除该Dll。我也顺着这个思路做了一遍,记录于此。     要嵌入dll,首先
超强补丁技术_让EXE启动时自动加载你的DLL(含VC6写的DLL源码模版)
追逐光芒,追随内心
03-03 2145
目前很多EXE都是没有源代码的,如果要让这个EXE加载你写的DLL,除了LPK这种只能在旧系统里面运行的技术,还有一种方法就是给EXE加一个代码段,让exe启动的时候加载你写的DLL。那些不如写个exe直接修改目标程序的汇编内存,岂不是更方便,何必搞这个呢。其实不然,本贴的技术可以大大提高程序的安全性和简约化,至少不用你自己写一个exe把dll去注入到目标程序。 本帖技术,在PC时代的时候,很流行。特别是病毒感染这块。 本帖技术 支持win10,win7, 包括64位的win7系,和老系统XP,这个是PE加
病毒感染可执行文件初探
hu_zhn的专栏
01-13 1685
大部分病毒都是感染可执行文件可执行文件的格式有多种,常用的COFF与ELF,ELF主要在linux下,ELF文件的内容按一下的格式组织,只要你知道这个格式就能编写程序将自己的代码加到ELF文件中,下面转贴一篇这方面的文章上。/*ELF infector source fileStudent: Student ID:Class: */#include stdio.h>#includ
动态库DLL回调函数实现示例
psy361212的专栏
06-14 4239
DLL开发中,对涉及到具体的业务时,我们通常希望上层应用程序来处理,此时,使用回调函数可解决该需求。下面基于VC++ 6.0来实现DLL回调函数的使用例子。 一、建立DLL 新建一个“Win32 Dynamic=Link Library”空项目,分别添加CallBackAPI.h和CallBackAPI.cpp文件到Header Files和Source Files中,添加导出函数: ...
简单快速清理 联想电脑 顽固可疑程序文件 comup.dll(风险名称: Adware/Hyideo )的方法 PS:该方法对于删除 .dll 文件均有效
m0_53228017的博客
03-22 2万+
!!!该方法对删除任何一个.dll文件均有效,请继续阅读!!! 文章目录前言一、删除comup.dll文件1.方法:下载**Unlocker**软件2. 关于下载对于联想电脑用户而言,对于非联想电脑用户,3.删除二、删除该文件的再生comup.dll文件 前言 最近笔者在使用电脑【联想拯救者R7000】时,总是会出现如下图所示可疑程序,无论是点了“清除”还是“自动清除,免打扰”,还总是会反复出现,对于一个讨厌恶意程序的人来讲,这使我感到十分烦躁。因此想要把它彻底清除掉!
感染PE文件的一个简单实例
shangguanwaner的专栏
12-02 2498
感染PE文件的一个简单实例作者:CloudQQ:329967612  感染PE文件是典型的病毒技术,利用它可以做很多事。至于怎么用就是各位读者自己的事。呵呵。这里给出一个简单的代码实例,它将代码保存在节的间隙中,然后修改入口点。很简单,写给初学者。个人觉得具体的例子要比抽象的解说更印象深刻,记得当初我刚学的时候,看那些高手们写的文章,实在是郁闷,概念是懂了但用不到实践中去。希望这篇文章能对
编程实践:感染PE文件与强制加载DLL
"编程实现感染PE文件加载DLL,探讨了如何通过编程使PE文件感染加载指定的DLL,涉及Windows系统API、DLL动态链接库、PE文件格式和结构等相关知识。文章介绍了PE文件的功能,包括API调用机制和DLL加载原理,并提到了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值