关于PE病毒编写的学习(八)——定位API的N种方法(2010年10月25更新)

最新推荐文章于 2022-05-26 19:14:37 发布
最新推荐文章于 2022-05-26 19:14:37 发布
阅读量2.1k 收藏
点赞数
分类专栏: win32病毒 文章标签: api 2010 exception windows dll image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangbostar/article/details/5928365
版权

由于大部分的文件感染型病毒框架都不可以像“前置病毒”那样拥有自己的输入表,因此需要自行定位API

说一千道一万,想要定位API,向是要定位Kernel32.dll的基地址

 

总结所以这些方法,可以分为是五个小方向,它们又产生很多变种。

 

一、定位kernel32.dll基地址的方法

(1)硬编码方式

    由于kernel32.dll的基地址在相同版本windows下,基本上它的位置是固定的。这种方法在早期的PE病毒中很常见,现在已经很少使用了。

 

(2)利用程序初始化时,首先寄存器或堆栈中保留的kernel32.dll内存模块中的某个地址,之后无论哪种变体,都是以这个kernel内的地址向前搜索,找到kernel.dll的基地址。

以下地方就存储着这些地址: 

                                     ①寄存器EDI

                                     ②刚刚初始化的堆栈:[esp]、[esp+4H]、[esp+10H]

 

以[esp+10h]为例,我们看一下参考代码(另外注释里有一些常见错误代码的写法):

Start: 

  mov edx,[esp+10h]
SearchDosHeader:
  dec  edx
  xor  dx,dx                       ;加速搜索,因为DLL以1M长度对齐,所以这里以64K字节为跨度来加速搜索
  cmp word ptr[edx],'ZM'  ;不要自作聪明写成'MZ',那是以字节逐个读取的结果

最低0.47元/天 解锁文章
yangbostar
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shellcode定位kernel32与LoadLibrary
Mr.Out的专栏
02-05 3233
<br />//定位Kernel32 __declspec(naked) int GetKernel32Base() { __asm { XOR ECX, ECX ; ECX = 0 MOV ESI, FS:[ECX + 0x30] ; ESI = &(PEB) ([FS:0x30]) MOV ESI, [ESI + 0x0C] ; ESI = PEB->Ldr MOV
shellcode API的自动定位
u200915331的专栏
07-20 938
1.背景知识补充 在使用shellcode的时候有个很大的问题就是动态定位API,下面这段代码介绍的是利用PE结构来寻址API方法。 步骤: a.找到PEB b.找到PEB_LDR_DATA c.找到InInitializationOrderModuleList d.找到kernel32.dll基地址 e.找到PE头 f.找到函数导出表 g.
利用shellcode来实现API的自动定位
Misaka10046的博客
09-16 439
代码 #include<stdio.h> void main() { _asm{ CLD//CF标志位清0,防止影响跳转 push 0x1e380a6a push 0x4fd18963 push 0x0c917432//保存MassageBox,ExitProcess,LoadLibrary //的hash值 mov esi,esp//保存栈顶的值 lea edi,[esi - 0xc] xor ebx,ebx mov bh,0x04 sub esp
定位API的原理
weixin_33743703的博客
03-06 141
参考:0Day 安全   所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的API地址   1,首先通过段选择字FS在内存中找到当前的线程环境快TEB。   2,线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针。   3,进程环境块中偏移位置为0x0C的地方存放着...
病毒分析技巧之API地址获取
蚁景网安学院
02-24 1043
点击蓝字关注我们0x00目的 通过该实验,使学生掌握使用PEB结构确定kernel32.dll基地址的方法与原理,通过对PE导出表结构分析来理解获取API函数地址的方法,最终通过编码完...
关于PE病毒编写学习(九)——追加病毒编写(上)
蛛丝
10-27 1830
  OK,兑现我的承诺,从本章开始讲述“追加病毒”的编写方法。我们将实现一个只弹出对话框的良性病毒,但是考虑到这个代码可能造成的危害,我会在感染模块中写入一个小Bug。不过,对于大家的学习是毫无影响的。  回到正题,先介绍一下“追加病毒”,在DOS时代中,这病毒相当常见。由于.com文件的入口点是固定的,而且我们知道DOS平台程序可以随意使用中断,因此追加病毒只要将病毒代码追加到宿主文件尾,然后修改入口点代码成“jmp [病毒入口点]”,病毒执行完成后,再jmp到宿主程序。  到了win32平台下,这
shellcode编写
qq_44657899的博客
05-26 2488
文章目录注意事项基础知识开始编写第一步 初始化第二步 实现其他函数动态调用第三部 实现GetProcAddress和LoadLibraryA的动态调用获取kernel32.dll基址动态调用GetProcAddress实战CreateFileAMessageBoxA导出shellcode第一shellcode编写实例1第一shellcode编写实例2(优化结构)shellcode加载器 注意事项 不使用全局变量 不使用类似于"abc"这样的字符串,通过数组定义字符串,char name[] = {0x
PE病毒学习资料包
06-08
关于PE病毒编写学习()——定位API的N方法 关于PE病毒编写学习(六)——关于PE文件结构操作的程序编写 关于PE病毒编写学习(七)——重定位的谬误和它的正确写法 关于PE病毒编写学习(三) 关于PE病毒编写的...
一个简单的pe病毒编写.zip
最新发布
04-18
新冠病毒溯源的目的只有一个,科学地应对新冠病毒。包括两个方面,一方面,要搞清楚它从哪来,到哪去,作为一个蛋白,怎么样寄生,怎么样对人的健康产生威胁,以及怎么样从动物身上来。目的就是不要再发生类似疫情,...
基于逻辑语义流图的Win32PE病毒检测方法 (2009)
06-13
通过详细分析Win32PE病毒程序的搜索模块和传染模块,提出基于逻辑语义流图的病毒检测方法。该方法总结Win32PE病毒的语义特征构造出病毒模式库,提取模式库中模式集与目标文件逻辑流图的节点集进行模式匹配,同时利用...
pe 文件编程:清除文件头中的重定位表.rar_pe_清楚重定位
09-21
在实际操作中,清除PE文件的重定位表需要深入理解PE文件格式,并使用专用工具或编程语言(如C/C++)编写代码来修改文件。常见的步骤包括读取PE文件头,找到重定位表的位置,然后将其设置为无效或删除。这个过程中...
C/C++ HOOK API(原理深入剖析之-LoadLibraryA)
热门推荐
masefee C/C++游戏编程
09-18 2万+
9都快结束了,之前一直忙到写自己的东西加上上班。基本没有时间研究下汇编和C C++方面的感兴趣的东西。再怎么说嘛,9还是得写一篇撒,以后每至少一篇吧。给自己定了,希望大家监督。嘿嘿!这篇文章就来谈谈平常很常见的HOOK技术,这里呢。写得比较简单,方法很多。只讲原理!希望大鸟们别吐我口水哈 - -。好!切入正题。首先是概念吧。什么是钩子(HOOK)? 钩子(Hook),是Win
根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址
神经网络爱好者
06-03 2803
☆ 根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址本节与PE文件格式相关的术语以>为准([13]),不再强调该点。winnt.h中定义了部分相关数据结构,后面如未单独注明来自哪个头文件,均隐指来自winnt.h。执行vulnerable_0.exe,进入windbg调试状态。> !list -t _LIST_ENTRY.Flink -x "dd" -a "+
PE病毒初探——向exe注入代码
weixin_34384557的博客
01-31 535
PE文件其实就是Windows可执行文件,关于它的一些简要介绍摘自百度:   PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。   http://baike.baidu.com/view/1087038.htm   有一病毒是...
写精简的shellcode
农家小舍
09-30 1411
写精简的shellcode(译自:Writing Small Shellcode)信息来源:http://www.ngssoftware.com/文章作者:Dafydd Stuttard (daf[at]ngssoftware[dot]com)译文作者:fqucuo、wangweinoo1原作时间:应为05左右译者声明:本人在https://forum.eviloct
动态定位API的shellcode
weixin_34320724的博客
11-09 224
前面的<<HOOK IAT RING3>>文章中使用到了shellcode,那么这个shellcode是怎么制造出来的呢,本文将为你一步一步的解惑 这个shellcode的主要功能是调用MessageBoxA弹出一个空的对话框,注意此时的地址空间是在别的进程,由于不同的操作系统会影响动态链接库的加载地址,而且不同版本的dll中函数的偏移量RVA也不尽相同,因此写一个通用型...
实现自己的LoadLibrary
weixin_33994429的博客
02-27 1053
2019独角兽企业重金招聘Python工程师标准>>> ...
抗去除花指令(一)——花指令基础
蛛丝
02-18 7153
<br />    入门知识,高手勿读<br />一、概述<br />花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。<br /> <br />二、花指令分类<br />[2.1]可执行式花指令<br />顾名思义,可执行式花指令指的是能够正常运行的但又不改变原始程序逻辑性的一组无用指令。这类花指令有如下特点:①可以正
"软件安全实验3报告:定位相关API函数地址及PE病毒分析
在进行PE病毒分析与清除之前,我们需要先定位相关的API函数地址。这些API函数包括用于文件操作、内存操作、进程操作等,是我们分析病毒行为的基础。 2. 打开“test.exe”文件,获得文件大小,创建映射文件,得到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值