win32virus汇编PE文件感染代码阅读

最新推荐文章于 2024-01-30 18:36:20 发布
最新推荐文章于 2024-01-30 18:36:20 发布
阅读量1k 收藏 12
点赞数 5
分类专栏: 软件安全 文章标签: 安全 反病毒 软件测试 windows 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52534684/article/details/117186803
版权

win32virus汇编PE文件感染

预备:

  • 选择好win32virus病毒和配置masm32环境(masm32环境搭建请参考:https://www.cnblogs.com/lsdb/p/7402955.html)
  • OllyDebug和x32Debug调试器
  • 虚拟机win7系统(需要快照机制)
  • 老师给的资源故意留有两个需要跨越的地方,做好调试的准备

步骤:

在图1中,我们发现汇编代码有三处都是两点,改为一点后保存。
在这里插入图片描述

用Masm32Edit的Project中的assemble and link功能生成.exe文件,图2为编译过程,图3表示.exe已经生成。
在这里插入图片描述
在这里插入图片描述

图4,用OllyDebug运行.exe文件,发现运行意外终止。
在这里插入图片描述
用图5所示的x32Degub调试工具运行到终止处,点击“内存布局”发现内存发现权限为ER,不可以进行写入(W),如图6。
在这里插入图片描述
在这里插入图片描述

图7为.text原来的内存权限,图8为修改后的权限,变为ERW。
在这里插入图片描述
在这里插入图片描述

再次运行,运行成功,弹出若干信息框,如图9到17所示。大体内容是该pe病毒能识别该路径下的所有合法pe文件,并且感染使得原文件大小增加4k。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
所以被感染的文件是masm32\bin\aniedit.exe文件。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

图18为快照示意图,我们用快照返回到刚安装的时候。
在这里插入图片描述
下面查看文件大小变化。
图19是未感染的文件大小为45.0KB。
在这里插入图片描述

图20是感染后的文件大小为49.0KB,正好是增加4KB。
在这里插入图片描述
病毒成功运行,非常完美!

总结:

  1. Masm32Edit是我用过的最好用的汇编编辑器,如果装有masm32的环境还能自动生成.exe文件。
  2. 内存权限ERW的意思是Execute(可执行)、Read(读)、Write(写)。
  3. win32virus通过API探索所在文件夹下所有合法的pe文件,并且感染使其文件大小增加4KB整。
clopudy
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
DarkKomet病毒研究与处置
不忘初心,护天下安全!
06-11 2930
DarkKomet 是一类后门木马程序的总称,主要功能主要是对用户行为进行监控,并为攻击者开启系统后门,窃取用户信息,该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。尽管木马作者于2012年已停止了对“暗黑彗星”木马的更新,但是目前仍有大量攻击者使用该工具进行网络攻击。运行平台:Windows 2000, Windows Server 2003, Windows
文件感染C++代码
05-05
PE 文件感染WIN32CPP代码,仅作学习交流,请勿用于其他用途!
Fx_virus_win32_ramnit_x.zip
07-15
virus.win32.ramnit.x专杀工具,用来解决ramnit.x病毒感染问题。
Virus.Win32.Ramnit.X专杀工具
07-09
Virus.Win32.Ramnit.X,Virus.Win32.Ramnit.a,Virus.Win32.Ramnit.b病毒专杀工具。
SIR SIRE 传染病预测模型与代码应用之概念篇
一只松鼠怪的博客
04-29 8186
SIR模型概念 看到网上很多人在讲新冠的预测模型,主流的是SIR 与 SIRE, 这里大致记录一下我对传染病模型的理解。之后会陆续补充该模型的应用,扩展,以及code。 一、SIR的由来(网络资料): 该模型最早是在1760年于Daniel Bernoulli对于天花预防的研究中有所提到。该模型具体被引入是20世纪初基于Hamer、Ross等人在建立传染病数学模型的研究中做出了大量的工作,直到19...
最新病毒“恶魔” Virus.Win32.Devil.a 分析
weixin_34090643的博客
09-10 1699
安天实验室提醒广大用户谨防最新病毒“恶魔”。Virus.Win32.Small.aa。 “恶魔”病毒感染大部分文件格式,包括exe/ini/bat/sys/bin等多种类型的文件。被该病毒感染后,文件图标为恶魔图标。 该病毒的感染方式为捆绑式,加载在正常文件的头部,大小为61026个字节。并把被感染文件名后添加“.exe”。如:boot.ini文件感染后的文件名为bo...
virus.win32.xorer病毒
weixin_34354173的博客
11-05 971
在公司上班不久,发现自己用的那台电脑中病毒了.下载了NOD32,因为之前感觉这个杀毒软件很不错. 不杀不知道,一杀吓一跳,一下子跑出来几个被感染文件.警报是virus.win32.xorer病毒.这会而我有点郁闷了,这种病毒还真的从来没见过.上网一查才知道这种病毒俗称是"网页杀手变种E".用杀毒软件又杀不掉,真是头都大了.它会修改注册表...
电脑中了virus.win32.sality.i和virus.win32.pioneer.c病毒,导致所以的EXE文件打不开(打开浏览器会提示:xc0000005异常)
热门推荐
pulin19940303的博客
09-18 1万+
本人的电脑最近在打开可执行文件(EXE)时,会出现打开以后没反应的情况,导致很多软件都用不了,上网查询了一下EXE文件启动不了的问题以后,我这边打算安装360软件修复一下,在首次安装了360以后,发现360只显示一个图标,点了图标以后电脑没有任何反应,这个时候我的心顿时凉了一截。跑去看了网上电脑中毒(virus.win32.sality.i和virus.win32.pioneer.c)以后,网友们...
脚本病毒---实验十三:PE病毒之感染机制与手动清除
weixin_70557959的博客
05-06 2035
目录 一、实验目的及要求 二、实验原理 三、实验环境 四、实验步骤及内容 实验步骤一:加载病毒,执行感染。 实验步骤二:通过对比分析感染过程。 实验步骤三:根据感染原理,逆向清除病毒,恢复程序运行。 五、实验总结 六、分析与思考 一、实验目的及要求 本实验介绍文件感染型病毒。通过执行病毒程序,使目标程序被感染。通过PE工具来对比查看文件感染前后的不同来确定文件感染方式,最后利用感染原理来逆向清除感染型病毒。 二、实验原理 1、病毒的测试环境搭建:常见病毒的分析都是通过静态..
PE病毒初探——向exe注入代码
weixin_34384557的博客
01-31 519
PE文件其实就是Windows可执行文件,关于它的一些简要介绍摘自百度:   PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。   http://baike.baidu.com/view/1087038.htm   有一种病毒是...
Win32 PE病毒原理分析
liwei8703的专栏
12-07 3467
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
Virus-Learning:感染PE文件的病毒学习过程
05-28
如果感染开启了ASLR的文件只会执行感染代码而无法执行原程序,原因是OEP写入问题 使用MASM编写,编译使用MASMPLUS 使用暴力搜索内存寻找kernel32.dll基址的程序在WIN10上无法运行,因为WIN10有保护机制,会进入SEH
Virus Writing Guide for Win32
06-13
WIN32的爱好者用来玩玩,介绍怎样用WIN32汇编来写病毒 纯粹出于对WIN32汇编的热爱,仅用于学习研究,请勿用来作非法用途
delphi 编译器 Virus.Win32.Induc.a 专杀工具
10-14
delphi编译器所中病毒会导致每个编译后的exe程序感染此病毒。 这是一款针对此病毒的专杀工具。英文,完全免费。
symantec FxRamnit专杀工具 Virus.Win32.Ramnit.X专杀工具.zip
07-28
Symantec FxRamnit专杀工具:virus.win32.ramnit.x病毒专杀,该病毒感染全盘EXE HTM HTML DLL文件感染后的EXE运行后会在该EXE同目录下生成一个同名+srv.exe文件,使用本工具可以真实清除并修复破坏的文件。...
virus.win32.parite.H病毒专杀工具及其查杀方法
09-28
virus.win32.parite.H病毒专杀工具及其查杀方法,是本人经过2个多小时奋战总结出的方法,希望对你们有帮助。
解决 Virus:Win32/Ramnit 蠕虫病毒的方法
最新发布
牧魂的博客
01-30 995
解决 Virus:Win32/Ramnit 蠕虫病毒的方法
Virus.Win32.Virlock.b分析
weixin_30414245的博客
02-18 154
0x00 样本说明 分析样本是被0b500d25f645c0b25532c1e3c9741667的样本感染得到。感染前的文件是Tcpview.exe,一款windows网络连接查看工具。 感染前后文件对比图示如下: 感染感染文件大小 106496 字节 818688 字节 文件md5 ...
计算机病毒如何得知pe文件,计算机病毒分析与对抗————二、PE文件
weixin_34369440的博客
07-27 625
一、PE文件定义小程序PE即(Portable Executable,可移植的执行体),它是Win32可执行文件的标准格式。数组二、PE文件结构函数 总共五部分:DOS头、PE文件头、节表、节,调试信息。spaDos头:3d由MZ文件头以及DOS插桩程序构成,其实际上就是一个在DOS环境下显示“Thisprogram can not be run in DOS mode”或“This progr...
virus.win32.pubwin.b 病毒
12-23
virus.win32.pubwin.b病毒是一种计算机病毒,它主要通过感染Windows操作系统的可执行文件和系统文件来传播和破坏计算机系统。该病毒会利用系统的漏洞和安全漏洞,使得计算机系统在未经授权的情况下遭到感染和攻击。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值