病毒常用方法之回到起点---PE文件

最新推荐文章于 2022-04-23 09:20:25 发布
最新推荐文章于 2022-04-23 09:20:25 发布
阅读量421 收藏
点赞数
分类专栏: 恶意样本分析 文章标签: 病毒 api 内存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/79523676
版权

一般的可执行恶意样本的INT(导入名称表)在一定程度上就暴露了自己的行为,所以又来保护自己了。下面是一个样本中的实际应用,从PE文件结构入手。为了可以调用相关的API (由kernel32.dll ,ntdll.dll等导出,它先找到目标dll在内存中加载的地址(这些系统dll已经有系统加载到内存中),然后就是根据PE文件结构一顿操作,主要是通过导出名称字符生成一个DWORD数去比对,在找到FuncAddr。下面是相关操作的反汇编代码:

 GetModuleAddr   proc near 
                 push ebp
                 mov  ebp,esp
                 mov  eax,large fs:30h ;fs 寄存器指向当前线程环境块,是内核的结构,可以通过WinDbg去详细查看。在偏移为30h 的地方是Teb->ProcessEnvironmentBlock 进程环境块
                 mov  eax,[eax+0ch] ; Peb->Ldr
                 mov  eax,[eax+1ch];Ldr->InitializationOrderModuleList
                 mov  eax,[eax+8] ;由于系统的版本不一样,同一个dll加载的顺序可能不一样
                 pop  ebp
                 retn 
 GetModuleAddr   endp

 ;通过名称在ENT中找到该函数的导出序号,再去EAT得到地址就可以调用了  
 GetFuncAddr     proc near                                                
  var_24          = dword ptr -24h
  var_20          = dword ptr -20h
  var_1C          = dword ptr -1Ch
  var_18          = dword ptr -18h
  var_14          = dword ptr -14h
  var_10          = dword ptr -10h ;该函数用的变量
  var_C           = dword ptr -0Ch
  var_8           = dword ptr -8
  ExportDirectory = dword ptr -4
  arg_0           = dword ptr  8
  arg_4           = dword ptr  0Ch;3个参数
  Addr            = dword ptr  10h
  ;可以对照PE结构文档看
                  push    ebp
                  mov     ebp, esp
                  sub     esp, 24h
                  mov     eax, [ebp+arg_0];模块地址
                  mov     eax, [eax+3Ch] ;3c---ImageDosHeader->e_lfanew PE文件头的偏移 
                  mov     ecx, [ebp+arg_0]
                  lea     eax, [ecx+eax+18h];[eax+ecx]是PE文件头的地址,再加上18h 是扩展头的地址
                  mov     [ebp+var_10], eax
                  mov     eax, [ebp+var_10] ; OptionalHeader
                  mov     ecx, [ebp+arg_0]
                  add     ecx, [eax+60h]  ;IMAGE_DATA_DIRECTORY 
                  mov     [ebp+ExportDirectory], ecx
                  mov     eax, [ebp+arg_4]
                  shr     eax, 10h ;右移10h位
                  movzx   eax, ax  ;去低16位
                  test    eax, eax
                  jnz     short loc_402672;是否使用原可执行文件中得到地址
                  mov     eax, [ebp+arg_4]
  loc_40265F:                 
                  and     eax, 0FFFFh
                  movzx   eax, ax
                  mov     ecx, [ebp+ExportDirectory]
                  sub     eax, [ecx+10h]  ; Base
                  mov     [ebp+var_C], eax
                  jmp     short loc_4026E9
  loc_402672:                       
                  mov     eax, [ebp+ExportDirectory]
                  mov     ecx, [ebp+arg_0]
                  add     ecx, [eax+20h]  ; AddressOfNames
                  mov     [ebp+var_1C], ecx
                  mov     eax, [ebp+ExportDirectory]
                  mov     ecx, [ebp+arg_0]
                  add     ecx, [eax+24h]  ; AddressOfNameOrdinals
                  mov     [ebp+var_24], ecx
                  and     [ebp+var_20], 0
                  jmp     short loc_4026A8
  loc_402690:                         
                  mov     eax, [ebp+var_20]
                  inc     eax
                  mov     [ebp+var_20], eax
                  mov     eax, [ebp+var_1C]
                  add     eax, 4
                  mov     [ebp+var_1C], eax
                  mov     eax, [ebp+var_24]
                  inc     eax
                  inc     eax
                  mov     [ebp+var_24], eax
  loc_4026A8:                       
                  mov     eax, [ebp+ExportDirectory]
                  mov     ecx, [ebp+var_20]
                  cmp     ecx, [eax+18h];NumberOfNames
                  jnb     short loc_4026DA  ;是否超过了导出名称数 
                  push    [ebp+arg_4]
                  mov     eax, [ebp+var_1C]
                  mov     ecx, [ebp+arg_0]
                  add     ecx, [eax]
                  push    ecx
                  call    CompareStr ;匹配成功返回1
                  pop     ecx
                  pop     ecx
                  movzx   eax, al
                  test    eax, eax
                  jz      short loc_4026D8 
                  mov     eax, [ebp+var_24]
                  movzx   eax, word ptr [eax]
                  mov     [ebp+var_C], eax;var_c目标序号
                  jmp     short loc_4026DA
  loc_4026D8:                         
                  jmp     short loc_402690 ;匹配失败,往回走
  loc_4026DA:                         
                  mov     eax, [ebp+ExportDirectory]
                  mov     ecx, [ebp+var_20]
                  cmp     ecx, [eax+18h]
                  jnz     short loc_4026E9
                  xor     eax, eax
                  jmp     short  locret_402715  
  loc_4026E9:                            
                  mov     eax, [ebp+ExportDirectory]
                  mov     ecx, [ebp+arg_0]
                  add     ecx, [eax+1Ch]  ; AddressOfFunctions
                  mov     [ebp+var_8], ecx
                  mov     eax, [ebp+var_C]
                  mov     ecx, [ebp+var_8]
                  mov     eax, [ecx+eax*4] ;最后从EAT中取出地址
                  mov     [ebp+var_18], eax
                  mov     eax, [ebp+arg_0]
                  add     eax, [ebp+var_18]
                  mov     [ebp+var_14], eax
                  mov     eax, [ebp+Addr]
                  mov     ecx, [ebp+var_14]
                  mov     [eax], ecx
                  xor     eax, eax
                  inc     eax             ; succeed
  locret_402715:                   
                  leave
                  retn
  GetFuncAddr     endp
pureman_mega
关注
专栏目录
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE文件结构与计算机病毒.pdf
08-26
PE文件的加载原理整个复杂的过程都是由PE装载器完成的,PE装载器将PE文件文件映射的方式从磁盘映射到内存,在映射时PE文件被加载到内存的开始位置叫做基址,我们用lPImageBase来表示。我们首先需要知道我们如何将一个PE文件加载到内存,并获得基址 .......
PE文件格式回顾
qq_43470425的博客
07-15 351
PE文件格式详解(上) 摘要 Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。   本文旨在解决这一问题,它会对整个的PE文件格式作一个十分彻底的解释。 介绍 PE文件格式主要来自于UNIX操作系统所通用的COFF规范,同时为了保证与旧版本MS-DOS及Windows操作.
PE文件格式TLS回调
BeanJoy的专栏
12-28 2974
从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于调试
恶意软件PE文件重建指南
weixin_33755649的博客
03-08 428
左懒 · 2015/09/28 9:43http://int0xcc.svbtle.com/a-guide-to-malware-binary-reconstruction在分析恶意软件或对恶意软件进行脱壳的时候,我们经常会遇到重建PE文件的需求。现在大多数自动化的PE重建工具虽然很棒,但并不能针对每一种情况,有时候需要我们自己手动重建PE文件。在这篇博客中,我们将介绍一些重建PE文件方法。0x...
checkPE.rar_Pe-file_infector_pe
09-22
1. **DOS头**:这是PE文件起点,包含了一个简短的DOS程序,允许在不支持PE格式的旧系统上运行。 2. **NT头**:包含了PE文件的关键信息,如文件类型、目标CPU、代码和数据的位置等。 3. **节区(Sections)**:PE...
OEP.rar_OEP_Pe-file_infector
09-24
而OEP(Original Entry Point),即原始入口点,是PE文件加载到内存后执行的第一个指令的地址,它是程序执行流程的起点。 在《OEP.rar_OEP_Pe-file_infector》这个压缩包中,我们主要关注的是如何通过编程来获取PE...
Virus-Learning:感染PE文件病毒学习过程
05-28
感染PE文件病毒学习过程 学习技术: 重定位 API函数地址的获取: 1)暴力搜内存中kernel32.dll基址 2)通过PEB获取kernel32.dll基址 感染PE文件 磁盘递归搜索技术 主要功能: 感染桌面上所有的exe后缀文件,使之弹...
PE文件格式详解 PDF
08-01
PE文件格式详解》的PDF版本 ------------------------
PE文件病毒示例程序
03-22
很简单的PE文件病毒示例
终点再回到起点
quan3201的博客
10-24 401
一楼,起点,二楼,终点;一楼红本,二楼紫本;一楼,搂着出来,二楼,保持距离;二楼,表情各异,有无奈的,有麻木的,有平和的,甚至有难掩窃喜的...自愿的表面掩盖着各异的内幕......或放手,或放弃!...或许,都是一种解脱吧!失去爱,或不再爱了....或许,是一种新的开始,终点再回到起点的开始!...就像赛场上的失利,不要遗憾努力的付出!相信下一轮的比赛,会多了一些经验,教训的综合实力的凝聚力!.
反调试技术
bj5716的博客
04-21 966
前言反调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含反调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些反调试技术。0x1探测调试器使用windows api使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
恶意代码对抗技术入门
kelxLZ的博客
01-20 1022
Author:ZERO-A-ONE Date:2021-01-20 来自视频《漏洞银行|浅谈恶意代码对抗技术》,主要从两个方面进行入手: 对抗反汇编 反调试 一、对抗反汇编(静态) 1.1 基本概念 汇编语言:CPU执行的是机器码,为了方便记忆,在汇编语言中用助记符代替机器指令的操作码 反汇编:把目标代码转为汇编代码的过程 对抗反汇编技术:就是在程序中使用一些特殊构造的代码或数据,让反汇编工具产生不正确的汇编代码 1.2 反汇编算法 1.2.1 线性反汇编算法 线性扫描是一种基础的反汇编算法,.
【恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1544
【恶意代码与软件安全】课程与实验
计算机病毒分析与对抗————3、PE文件病毒
Fly_鹏程万里
04-24 3034
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加节:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存中的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call test pop eax sub ea...
恶意软件分析基础-PE文件简单分析记录
LoopherBear的博客
05-11 1055
PE文件简单分析记录 通常在分析一些样本时会遇到如下程序 Handle hImageBase=LoadLibraryA("Kernel32.dll"); void* aAddr =hImageBase+0x3c; void* bAddr=aAddr++0x78; 的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。 DosHeader 这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头 以MZ标志开头,表示这个一个PE文件。如果要读取Ri
学习笔记:病毒感染PE文件的基本方法
编程爱好者
03-13 5854
2007-06-27 02:40 PE病毒常见的感染其它文件方法是在文件中添加一个新节,然后往该节中添加病毒代码和病毒执行后返回HOST程序的代码,并修改文件头中代码开始执行位置(Address Of EntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面具体分析一下感染文件
免疫与D-S证据理论结合的未知病毒检测方法
"这篇论文提出了一种基于免疫原理和D-S证据理论的计算机病毒检测方法,旨在解决传统特征码检测方法无法识别未知病毒和已知病毒新变种的问题。研究中,作者深入分析了现有的计算机病毒免疫系统,并设计了一种新的抗原...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值