最近又翻到了以前写过的一款病毒,可惜从未使用过,现在剖析其中一点小技术
我见过的病毒并不多,感染PE文件的病毒也不显见,我也很懒得去了解病毒的历史,但是我曾开发过一款,这里和大家分享一点心得.
大部分病毒喜欢新添加一个区段,但是这很容易引起察觉,我推荐采用的模式是扩展最后一个区段,把代码都方在扩展的空间里,这样初一看只会在文件大小上存在差异.
代码位置决定后,一般的病毒把入口点都指向了病毒代码,但是我采用的技术是从原始文件入口寻找hook点,当然这就牵涉到程序分析代码,当然我的病毒用的是自己写的一个简单的,其实代码并不复杂.
关于代码运行位置,都在申请的内存空间中运行,不要有任何文件生成,创建线程后和原来程序完全无关联,这样杀毒软件很难追踪,有时候不得不采用独立进程的,直接模拟PE装载,随便使用一个其他windows自带程序,然后WriteProcessMemory完成
关于生存能力,最好的方式是感染服务,穿透SFC后,感染掉,生存能力很强,然后是感染DLL,然后是感染EXE,然后感染特定软件.
我的病毒拥有以上所有特性,当然其中技术有不少难点但肯定可是实现,而且效果良好.
5864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
