又见感染驱动文件和驱动文件感染新思路

最新推荐文章于 2022-02-23 15:02:25 发布
最新推荐文章于 2022-02-23 15:02:25 发布
阅读量886 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook image 加密 语言 工作 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2201799
版权
看样子这玩意又出来了~不过没有ida分析过~只是想说点我的C代码的感染驱动时的一点点小技巧,我们知道驱动可以包含资源这部分资源又可以释放到内存或者怎么怎么的搞成一个executive image mapping,然后xxx.再zzz就可以执行资源,甚至里面还可以有些猥琐的各种加密之类的玩意——没错,我说的就是资源打包方式的感染,这玩意不陌生,至少二十一世纪初期这是个流行的感染方法,只要手工写一个操作资源的函数,在ring0实现资源打包就可以了,然后就是资源重载入(这个比较简单在内存里load pe而已)——至于如果实现感染,其实就更简单了,hook iocreatefile了事,至于所谓的ring3兼容式感染,更简洁的说,你可以在驱动的资源里带一个ring3 bind&load的玩意,然后就是xxx与zzz式工作了,至于更邪恶的可以YY一下啦~

高级语言实现感染後一切就再简单不过了——呵呵~
PS:
zjjmj2002放的样本ida里很难看~ 
iiprogram
关注
专栏目录
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
木马核心技术剖析读书笔记之木马驱动加载与启动
不急不躁
03-18 1212
Windows 系统启动过程 基于 UEFI 的启动过程 UEFI 固件接口可以实现 BIOS 固件接口类似的功能,逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务,是在 EFI 1.0 基础上发展起来的新型可扩展固件接口,得到了大多数行业主流企业的支持 UEFI 的几乎所有组件都用 C 语言开发完成,不再使用中断、硬件端口直接操作的方法,而是采用 ...
高级语言实现文件感染的方法
05-16 1358
序用高级语言感染文件是快速编写功能强大的病毒或者蠕虫的一条途径,本文将讲述近年来出现的一系列高级语言实现的文件感染方法。这里不提任何使用汇编代码和pe文件插入的技术。一.文件伴侣所谓文件伴侣病毒,在Windows时代也有一些不同的定义,所谓伴侣就是改名原文件,然后把自己Copy过去覆盖原文件,运行时创建伴侣进程。原理性代码:Copy codevoid FrInfect(char *sour
文件感染
weixin_30549657的博客
01-29 115
#include<stdlib.h>#include<stdio.h>typedef struct node{ int id; int fileSize; int origSize; int isFolder; struct node *parent; struct node *child; struct node *next; struct node *brother;}...
完整的驱动感染.code.编译通过
kerson的专栏
11-30 1017
<br />【原创】完整的驱动感染.code.编译通过  标 题: 【原创】完整的驱动感染.code.编译通过<br />作 者: sudami<br />时 间: 2008-05-28,21:59:10<br />链 接: http://bbs.pediy.com/showthread.php?t=65628<br /><br />完整的驱动感染.code.编译通过<br /><br />/* <br />* Module: InfectDriver.c <br />* <br />* Author : 
驱动感染技术扫盲(C描述)
M-先生
03-28 703
驱动感染技术扫盲(C描述)   Writer By 老Y 上周的上周的....周末有位同学提到过驱动感染问题,而刚好周末也没有地方可去,所以就有了这篇文章的出现.既然是扫盲版,那肯定是没有什么高深的东西了,只是一些奇淫技巧,高手请自动跳过。 好了,回归正题,很多年前(其实也就4, 5年,拌一下老人,呵呵)玩Ring3下PE感染的时候就用过相关的东西,那么我们来想想,一个标准的PE感染要解决哪
一个感染性木马病毒分析(三)--文件的修复
liujiayu2的专栏
10-24 1604
一、 序言 前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。   二、文件感染方式的分析 之前感染性木马病毒的分析中,已经提到了病毒对于用户文件感染方式有2种,分别是加密文件感染文件传播病毒,至于文件感染的时候采取
亲密接触恶意代码之文件感染和内存驻留
vrix的专栏
03-08 1372
 在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目录下的所有文件和目录了……  这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
热门推荐
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
感染PE文件示例源码(C++与汇编)
03-25
感染PE文件示例源码(C++与汇编编写)并提供使用示例
巧用 iLocker 清理恶意程序
天存信息
05-27 951
巧用 iLocker 清理恶意程序起因观察手段解决案例总结 iLocker 作为 iGuard 网页防篡改系统的文件驱动过滤模块所衍生出来的独立应用,是一个文件防护工具,可以在文件系统驱动层检查文件操作,根据规则对文件操作进行放行或拦截,可以灵活细致地对文件访问进行控制。 分享一则 iLocker 在实际运用中的案例,帮助大家拓展 iLocker 的运用思路—— 起因 和许多突发事件一样,本次案例...
virut文件感染算法
你连心爱的女人的大便都不敢吃, 还敢说爱她
01-01 989
文章目录随便词汇大流程感染过程大流程按照流程顺序---几个重要的点附录is_junk标志方式病毒块1分块指令块变形复制结构其他零碎函数声明rand_mul的返回值为rax突然增加一个变量,而且从来没有赋值? 随便 该变种+0x20处的值为0x2b845b00 根据IDA F5代码的反人类程度, 可以确定virut肯定是作者用汇编写的. 然后IDA F5先转成IL, 简化后生成C代码, 只有这样生成...
delphi 简单PE文件感染源码!
期待下集是个可爱梦儿
02-27 699
<br />文件感染是木马故有的特征,其实实现这样的功能并不难!下面是一个简单实例的源码:<br />procedure copy(s:string);///S:目标文件完整文件名(带路径的)<br />var<br />s1,s2,s3:tmemorystream; //内存流<br />file1:tfilestream;//文件流<br />id:integer;<br />iid:longint;<br />const<br />id=$66666666;//感染标识<br />begin<br /
文件捆绑感染(一)
08-20 918
 【摘要】最近在研究病毒木马程序的感染和捆绑方式。发现文件困绑有多种方式 我只和大家探讨两种方式 一种是附加的方式,一种是内嵌式 第一种方式 就是将木马程序附加在别的程序头部 也就是说 运行的目标程序是木马然后木马程序将原程序解压出来再运行 听说熊猫烧香的程序用的就是这种方法这种方式有缺点也有优点优点是:  可以捆绑任何程序缺点是:  运行时需要把目标程序给拷贝出来然后 然后再运行真正的程序 这种
关于win32汇编的调试
raiky的专栏
05-13 821
在VC6环境下的win32汇编的调试,网上找的一篇文章,照着试了试,蛮不错的,特别是习惯VC编程的人来说,这种调试方法使用起来得心应手。用VC6调试器源码级调试win32汇编程序  使用一个好的调试器无疑对学习win32汇编是至关重要的,本人更偏爱VC的强大调试环境, 不要makefile文件。编程环境:VC6.0,Masm32v8 方法如下:1、 使用VC6新建一
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9080
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3606
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Windows内核驱动文件操作实战:读写与复制
在Windows内核驱动开发中,文件操作是一个重要的部分,尤其是对于系统日志记录和调试信息的输出。以下将详细解释代码中的关键知识点: 1. **文件句柄**:在Windows内核驱动中,文件操作通常通过句柄进行。`HANDLE ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值