病毒实验五

最新推荐文章于 2024-10-14 14:31:26 发布
最新推荐文章于 2024-10-14 14:31:26 发布
阅读量174 收藏 1
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/ailx10/p/5251629.html
版权

title: viruslab5
date: 2016-01-13 15:47:40
categories: virus
tags: virus
---

PE文件注入

  • part1
    • 要求:附带程序将一个完整的PE文件(hellow.exe)读到内存中
      并将其分解为PE头、节表、以及各个节。
      试编写void OutputPEInMem()函数,用其打印下列信息:
      • PE头中的ImageBase字段、AddressOfEntryPoint字段、
        NumberOfSections字段与SizeOfImage字段;

      • 节表(Section Table)中每一项的Name字段、Virtual Size字段、Virtual Address字段、
        RawData Size字段、RawData Offset字段、Characteristics字段。
        ```c

        include <windows.h>

        include <stdio.h>

        define MAX_SECTION_NUM 16

        define MAX_IMPDESC_NUM 64

      HANDLE hHeap;
      DWORD dwBaseAddress;
      PIMAGE_DOS_HEADER pDosHeader;
      PCHAR pDosStub;
      DWORD dwDosStubSize;
      DWORD dwDosStubOffset;
      PIMAGE_NT_HEADERS pNtHeaders;
      PIMAGE_FILE_HEADER pFileHeader;
      PIMAGE_OPTIONAL_HEADER32 pOptHeader;
      PIMAGE_SECTION_HEADER pSecHeaders;
      PIMAGE_SECTION_HEADER pSecHeader[MAX_SECTION_NUM];
      WORD wSecNum;
      PBYTE pSecData[MAX_SECTION_NUM];
      DWORD dwSecSize[MAX_SECTION_NUM];
      DWORD dwFileSize;

      static DWORD PEAlign(DWORD dwTarNum,DWORD dwAlignTo)
      {
      //PEAlign参数1:源节表 文件中的块大小
      //PEAlign参数2:文件对齐值
      //返回对齐后的文件大小
      return (((dwTarNum+dwAlignTo - 1) / dwAlignTo) * dwAlignTo);
      }

      static DWORD RVA2Ptr(DWORD dwBaseAddress, DWORD dwRva)
      {
      if ((dwBaseAddress != 0) && dwRva)
      return (dwBaseAddress + dwRva);
      else
      return dwRva;
      }

      //----------------------------------------------------------------
      static PIMAGE_SECTION_HEADER RVA2Section(DWORD dwRVA)
      {
      int i;
      for(i = 0; i < wSecNum; i++) {
      if ( (dwRVA >= pSecHeader[i]->VirtualAddress)
      && (dwRVA <= (pSecHeader[i]->VirtualAddress
      + pSecHeader[i]->SizeOfRawData)) ) {
      return ((PIMAGE_SECTION_HEADER)pSecHeader[i]);
      }
      }
      return NULL;
      }

      //----------------------------------------------------------------
      static PIMAGE_SECTION_HEADER Offset2Section(DWORD dwOffset)
      {
      int i;
      for(i = 0; i < wSecNum; i++) {
      if( (dwOffset>=pSecHeader[i]->PointerToRawData)
      && (dwOffset<(pSecHeader[i]->PointerToRawData +
      pSecHeader[i]->SizeOfRawData)))
      {
      return ((PIMAGE_SECTION_HEADER)pSecHeader[i]);
      }
      }
      return NULL;
      }

      //================================================================
      static DWORD RVA2Offset(DWORD dwRVA)
      {
      PIMAGE_SECTION_HEADER pSec;
      pSec = RVA2Section(dwRVA);//ImageRvaToSection(pimage_nt_headers,Base,dwRVA);
      if(pSec == NULL) {
      return 0;
      }
      return (dwRVA + (pSec->PointerToRawData) - (pSec->VirtualAddress));
      }
      //----------------------------------------------------------------
      static DWORD Offset2RVA(DWORD dwOffset)
      {
      PIMAGE_SECTION_HEADER pSec;
      pSec = Offset2Section(dwOffset);
      if(pSec == NULL) {
      return (0);
      }
      return(dwOffset + (pSec->VirtualAddress) - (pSec->PointerToRawData));
      }
      //将PE结构复制到内存的堆中
      BOOL CopyPEFileToMem(LPCSTR lpszFilename)
      {
      HANDLE hFile;
      PBYTE pMem;
      DWORD dwBytesRead;
      int i;
      DWORD dwSecOff;

      PIMAGE_NT_HEADERS pMemNtHeaders;
      PIMAGE_SECTION_HEADER pMemSecHeaders;

      hFile = CreateFile(//返回文件句柄
      lpszFilename,//文件名 这里是hello.exe可执行文件
      GENERIC_READ,//访问模式 读
      FILE_SHARE_READ,//共享模式
      NULL,//指向安全属性的指针
      OPEN_EXISTING,//如何创建
      FILE_ATTRIBUTE_NORMAL,//文件属性
      0);//用于复制文件句柄

      if (hFile == INVALID_HANDLE_VALUE) {//INVALID_HANDLE_VALUE 表示出错
      printf("[E]: Open file (%s) failed.\n", lpszFilename);
      return FALSE;
      }
      dwFileSize = GetFileSize(hFile, 0);//判断文件长度 返回文件大小
      printf("[I]: Open file (%s) ok,
      with size of 0x%08x.\n", lpszFilename, dwFileSize);

      //pMem是hello.exe在堆中的首地址 也就是dos头地址
      pMem = (PBYTE)HeapAlloc(//在堆上分配内存 返回指向所分配内存块的首地址的指针
      hHeap,//main函数中有 是全局变量 要分配堆的句柄
      HEAP_ZERO_MEMORY,//将分配的内存全部清零
      dwFileSize);//要分配堆的字节数

      if(pMem == NULL) {//在堆上分配内存失败
      printf("[E]: HeapAlloc failed (with the size of 0x%08x).\n", dwFileSize);
      CloseHandle(hFile);
      return FALSE;
      }

      ReadFile(//从文件指针指向的位置开始将数据读到一个文件中
      hFile,//文件句柄
      pMem,//用于保存读入数据的一个缓冲区 这里是堆中分配的内存首地址
      dwFileSize,//要读入的字节数
      &dwBytesRead,//指向实际读取字节数的指针
      NULL);
      CloseHandle(hFile);//关闭内核对象

      //复制dos header
      //堆中的dos头pDosHeader
      //在堆上分配内存 返回指向所分配内存块的首地址的指针
      pDosHeader = (PIMAGE_DOS_HEADER)HeapAlloc(
      hHeap,//main函数中有 是全局变量 要分配堆的句柄
      HEAP_ZERO_MEMORY,//将分配的内存全部清零
      sizeof(IMAGE_DOS_HEADER));//要分配堆的字节数
      if(pDosHeader == NULL) {//在堆上分配内存失败
      printf("[E]: HeapAlloc failed for DOS_HEADER\n");
      CloseHandle(hFile);
      return FALSE;
      }
      CopyMemory(//将内存中的数据从一个位置复制到另一个位置
      pDosHeader,//要复制内存块的目的地址
      pMem,//要复制内存块的源地址
      sizeof(IMAGE_DOS_HEADER));//要复制内存块的大小

      //复制DOS Stub
      //先计算dos stub的大小 dos头大小
      //然后分配dos stub大小的内存空间
      dwDosStubSize = pDosHeader->e_lfanew - sizeof(IMAGE_DOS_HEADER);
      dwDosStubOffset = sizeof(IMAGE_DOS_HEADER);
      pDosStub = HeapAlloc(hHeap, HEAP_ZERO_MEMORY, dwDosStubSize);
      if ((dwDosStubSize & 0x80000000) == 0x00000000)//dwDosStubSize 最高位是0
      {
      CopyMemory(pDosStub,
      (const void *)(pMem + dwDosStubOffset ), dwDosStubSize);
      }

      //复制NT header
      //先找到源堆中的NT头地址 pMemNtHeaders
      //分配NT头内存空间 返回目的NT头地址 pNtHeaders
      //复制
      pMemNtHeaders = (PIMAGE_NT_HEADERS)(pMem + pDosHeader->e_lfanew);
      //返回目的NT头地址
      pNtHeaders = (PIMAGE_NT_HEADERS)
      HeapAlloc(hHeap, HEAP_ZERO_MEMORY, sizeof(IMAGE_NT_HEADERS));
      if(pNtHeaders == NULL) {
      printf("[E]: HeapAlloc failed for NT_HEADERS\n");
      CloseHandle(hFile);
      return FALSE;
      }
      //pMemNtHeaders 源地址
      CopyMemory(pNtHeaders, pMemNtHeaders, sizeof(IMAGE_NT_HEADERS));

      //NT头里面有一个OPT头 目的 pOptHeader
      pOptHeader = &(pNtHeaders->OptionalHeader);
      //NT头里面有一个FILE头 目的 pFileHeader
      pFileHeader = &(pNtHeaders->FileHeader);

      //复制 节表
      //寻找源节表地址 pMemSecHeaders源
      //通过NT头找到FIFE头 FIFE头中有节的数目 wSecNum
      //分配节表的内存空间 返回节表地址 pSecHeaders 目的
      //复制
      pMemSecHeaders = (PIMAGE_SECTION_HEADER) ((DWORD)
      pMemNtHeaders + sizeof(IMAGE_NT_HEADERS));
      wSecNum = pFileHeader->NumberOfSections;//文件节的数目
      pSecHeaders = (PIMAGE_SECTION_HEADER)
      HeapAlloc(hHeap,
      HEAP_ZERO_MEMORY, wSecNum * sizeof(IMAGE_SECTION_HEADER));
      if(pSecHeaders == NULL) {
      printf("[E]: HeapAlloc failed for SEC_HEADERS\n");
      CloseHandle(hFile);
      return FALSE;
      }//pMemSecHeaders 源
      CopyMemory(pSecHeaders,
      pMemSecHeaders, wSecNum * sizeof(IMAGE_SECTION_HEADER));

      for(i = 0; i < wSecNum; i++) {//pSecHeaders 目的
      pSecHeader[i] = (PIMAGE_SECTION_HEADER) //pSecHeader[i] 各个节表 目的
      ((DWORD)pSecHeaders + i * sizeof(IMAGE_SECTION_HEADER));
      }

      //复制节
      //(目的节表 文件中的块偏移 + dos头地址 ) 复制到 dwSecOff
      //PEAlign()返回对齐后的文件大小 dwSecSize
      //分配堆中内存 返回内存首地址 pSecData
      //复制
      for(i = 0; i < wSecNum; i++) {//PointerToRawData 源节表 文件中节偏移
      dwSecOff = (DWORD)(pMem + pSecHeader[i]->PointerToRawData);
      //PEAlign参数1:源节表 文件中的块大小
      //PEAlign参数2:文件对齐值
      dwSecSize[i] = PEAlign(pSecHeader[i]->SizeOfRawData,
      pOptHeader->FileAlignment);
      pSecData[i] = (PBYTE)HeapAlloc(hHeap, HEAP_ZERO_MEMORY, dwSecSize[i]);
      if (pSecData[i] == NULL) {
      printf("[E]: HeapAlloc failed for the section of %d\n", i);
      CloseHandle(hFile);
      return FALSE;
      }
      CopyMemory(pSecData[i], (PVOID)dwSecOff, dwSecSize[i]);
      }

      HeapFree(//释放堆内存
      hHeap,//堆句柄
      0,
      pMem);//被释放的内存块首地址 pMem 源
      printf("[I]: Load PE from file (%s) ok\n", lpszFilename);

      return TRUE;
      }

      void OutputPEInMem()
      {
      int i;
      printf("**********************\n");
      printf("Base Address: 0x%08x\n", pDosHeader);
      printf("e_lfanew: 0x%08x\n", pDosHeader->e_lfanew);
      printf("PE NT Headers Address: 0x%08x\n", pNtHeaders);
      printf("NumberOfSections: 0x%08x\n",wSecNum);
      //AddressOfEntryPoint 程序入口RVA地址
      printf("AddressOfEntryPoint: 0x%08x\n", pOptHeader->AddressOfEntryPoint);
      //ImageBase 基址
      printf("ImageBase: 0x%08x\n", pOptHeader->ImageBase);
      //SizeOfImage 映像大小
      printf("SizeOfImage: 0x%08x\n", pOptHeader->SizeOfImage);
      printf("-------------------\n");
      for(i = 0;i < wSecNum;i++)
      {//pSecHeader 目的节表
      printf("pSecHeaders:%s\n",pSecHeader[i]->Name);
      printf("VirtualSize:0x%08x\n",
      pSecHeader[i]->Misc.VirtualSize);//内存中节大小
      printf("VirtualAddress:0x%08x\n",
      pSecHeader[i]->VirtualAddress);//内存中节RVA值
      printf("SizeOfRawData:0x%08x\n",
      pSecHeader[i]->SizeOfRawData);//文件中的节大小
      printf("PointerToRawData:0x%08x\n",
      pSecHeader[i]->PointerToRawData);//文件中的节偏移
      printf("Characteristics:0x%08x\n",
      pSecHeader[i]->Characteristics);//节属性
      printf("-------------------\n");
      }
      return;
      }

      int main()
      {
      LPCSTR lpszFileName = "hello.exe";
      //L:long指针 P:指针 C:常量 STR:字符串
      LPCSTR lpszInjFileName = "hello_inj0.exe";
      hHeap = GetProcessHeap();
      //GetProcessHeap返回调用进程的默认内存堆句柄
      if (! CopyPEFileToMem(lpszFileName)) {//复制PE结构进入堆
      return 1;
      }
      OutputPEInMem();//打印堆中的PE结构
      return 0;
      }

```

  • part2
  • 为”hello.exe”PE结构增加一个新的节,填入4个0xCC的值。具体步骤为:
    • 为PE结构添加一个新的节。
      请仔细阅读所附的AddNewSection()函数的代码,并理解如何为PE结构添加一个可执行的新节。
      请填充函数中的所缺失的两处代码。请理解并使用PEAlign函数来完成对齐操作。
    • 请编写函数SaveMemToPEFile()来将修改过的PE结构重新打包保存为可执行文件”hello_inj0.exe”。
      该函数的原型声明如下:
      BOOL SaveMemToPEFile(LPCSTR lpszFileName)
      请确保新文件”hello_inj0.exe”的正确性,并可以正常运行。
      然后请用Ollydbg来确认新节已正确插入到PE结构中。

转载于:https://www.cnblogs.com/ailx10/p/5251629.html

weixin_34417635
关注
病毒检测数据结构BF算法
myinghua的博客
01-24 8067
#include&lt;iostream&gt; #include&lt;fstream&gt; #include&lt;stdlib.h&gt; using namespace std; #define MAXLEN 100 typedef struct { char ch[MAXLEN+1]; int length; }SString; int Slength(SString...
②计算机病毒实验实验报告
m0_47110032的博客
11-18 1098
计算机病毒实验 实验报告
一次Linux中的木马病毒解决经历,附超全教程文档
2401_84248479的博客
04-11 797
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
病毒防范课程实验-ELF病毒测试
qq_61147830的博客
04-08 388
VMware虚拟机,Red Hat Enterprise 6.5 x86_64.iso镜像文件等因为原书作者使用的为老版的redhat虚拟机,为了确保编译问题及感染,所以建议使用老版redhat系统更便于实验进行。当然进行了后续的实验过程,发现主要为linux中安装的gcc版本问题影响为大。系统安装过程不过多赘述,可自行百度安装。具体安装过程可参考上述链接进行尝试。提醒:登录系统时因使用root用户登录,避免命令使用过程出现权限问题。
信息安全实验 之 计算机病毒与黑客实验脚本【恶意网页病毒演示&病毒制作&木马捆绑】
小啊呜的博客
09-23 5744
信息安全实验 之 计算机病毒与黑客实验脚本【恶意网页病毒演示&病毒制作&木马捆绑】 一、脚本及恶意网页病毒演示实验 1、创建文件 2、拷贝文件 3、删除文件 4、修改文件 二、病毒详解及批处理病毒制作 关机bat脚本 最简单的蓝屏炸弹文件 扩展名病毒 三、木马捆绑模拟实验 叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧!
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1237
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
东华大学计算机病毒实验六宏病毒实验报告.doc
11-17
计算机病毒实验六宏病毒实验报告 本实验报告的主要内容是关于宏病毒实验报告,旨在通过两个简单的宏病毒示例,说明宏病毒的原理及其安全漏洞和缺陷,提高防范意识。实验中使用了Word 2003和Office word2007两个...
U盘病毒实验报告1
08-08
【U盘病毒实验报告1】 本实验旨在深入理解U盘病毒的工作原理,以及学习如何预防和对抗这类病毒实验报告将详细记录实验过程,软硬件配置,开发环境的搭建,程序设计的关键函数及其功能,以及整个程序的流程。 **...
计算机病毒实验教程
11-15
计算机病毒实验教程是一个针对计算机病毒基础知识的进阶学习材料,主要涵盖了Windows DOS环境下的病毒分析与防护。这个教程可能是为了帮助学生或专业人士深入理解病毒的工作原理、传播方式以及如何在DOS环境下进行...
病毒感染检测实验报告.doc
05-29
5. **文件操作**:程序需要从文件《病毒感染检测输入数据.txt》中读取测试数据,并将结果写入《病毒感染检测输出结果.txt》。这涉及到文件的打开、读取、写入和关闭操作。 6. **用户界面设计**:设计一个菜单界面,...
Linux系统下用shell脚本病毒感染其它linux脚本程序
C/C++攻城狮
09-12 3348
1.前言这篇文章算是通过学习网上其它几篇关于shell脚本病毒文章后自己写的学习心得,通过写这篇文章让自己能够加深理解一下相关知识。但是其实下面用到的shell脚本病毒的现实意义不大,但是对于理解病毒传播的机制有一定的作用,仅作为参考而已。2.脚本代码及感染步骤1)首先建立一个空文件,命名以.sh结尾,例如:virus.sh。然后打开该文件输入如下代码:#!/bin/bash #B:<+!a%C&t
《数据结构》实验四【BF算法】
Lucky_Green的专栏
11-13 3098
#include using namespace std; const int Max=20; int BF(char S[],char T[]) { int i,j; i=0; j=0; if(S[i]=='\0'&&T[i]=='\0') { cout<<"数为空!"<<endl; return 0; } for(i=0;i<M
数据结构(第二版)(王卫东) 小组作业之病毒感染检测
江北绝尘
10-24 3646
非txt文本文档读写处理模板代码#include using namespace std; int next[1000001];//用来标记的next数组 int len1,len2; char string1[1000001],string2[1000001];//默认病毒的最大长度为1000000 void kmp(int len1,int len2) { int i=0,j=0;
Linux病毒技术
孤的博客
04-16 3280
Linux安全性 一个最大的误区就是很多高性能的安全操作系统可以预防计算机病毒。 另一个误区就是认为Linux系统尤其可以防止病毒的感染,因为Linux的程序都来自于源代码,不是二进制格式。 第三个误区就是认为Linux系统是绝对安全的,因为它具有很多不同的平台,而且每个版本的Linux系统有很大的不一样。 Linux病毒分类 第一种: Shell脚本病毒 第二种: 蠕虫病毒 第三种: 欺骗库...
字符串(病毒
shouwang666666的博客
01-23 2073
基础数据结构——字符串2 病毒II Description 自从计算机病毒的概念被提出之后,病毒的种类可以说是层出不穷。现在,单纯的病毒是逃不过杀毒软件的。因此现在的病毒往往隐藏一些字符之中来达到蒙混过关的目的。已知连续的字符串"bkpstor"是一段病毒编码,请分析给出的一段字符串中是否包含病毒编码。 Input 本题有多组测试数据,对于每
【转】反病毒攻防研究第003篇:添加节区实现代码的植入
雨化于画
03-25 282
声明 因为在评论区看到原博主说要把文章删掉。。。心想这么好的文章删了真的可惜,所以就先转一份。。。 一、前言         上一篇文章所讨论的利用缝隙实现代码的植入有一个很大的问题,就是我们想要植入的代码的长度不能够比缝隙大,否则需要把自身的代码截成几个部分,再分别插入不同的缝隙中。而这次所讨论的方法是增加一个节区,这个节区完全可以达到私人订制的效果,...
关于数据结构的实验报告的问题
weixin_30657541的博客
12-15 497
数据结构的实验报告已经出来了,各位童鞋请尽快阅读。 说明如下: 1、为了降低大家工作量,有些附带有实验代码,是可以直接使用的,有些嗯你懂得 2、课本上配套的代码已经给你们了,可以参考,但是严禁完全照抄代码,否则,你们懂得 3、有什么问题,可以通过课堂提问,也可以通过此博客与我互动 链接: http://pan.baidu.com/s/1c2BoICK 密码: ipif...
【Linux】解读信号的本质&相关函数及指令的介绍
最新发布
YYDsis的博客
10-14 718
一.信号的本质与相关概念1.体现中断的例子:.系统定义的信号列表1.用kill -l命令可以察看系统定义的信号列表2.(ps&kill&raise&abort)进程指令&信号相关函数【总结】【1】ps指令【2】kill&raise函数介绍与演示【3】abort函数介绍与演示三.产生信号的四种方式1.通过终端按键产生信号(Core Dump)2.调用系统函数向进程发信号3.由软件条件产生信号4.硬件异常产生信号
《Linux从小白到高手》综合应用篇:详解Linux系统调优之内存优化
qq_45732829的博客
10-11 1003
内存是影响Linux性能的主要因素之一,内存资源的充足与否直接影响应用系统的使用性能。内存调优的主要目标是合理分配和利用内存资源,减少内存浪费,提高内存利用率,从而提升系统整体性能。
验证蠕虫病毒实验及杀毒工具效果分析
5. **验证病毒感染过程**:通过主机A和B的交互,观察蠕虫如何探测并感染其他主机,这包括ARP欺骗的使用,即主机B发送大量ARP请求尝试感染主机A。 6. **杀毒工具效果验证**:使用杀毒工具WormVirusKiller.exe检测和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值