关于PE病毒编写的学习(八)——定位API的N种方法(2010年10月25更新)

最新推荐文章于 2021-11-22 15:40:57 发布
最新推荐文章于 2021-11-22 15:40:57 发布
阅读量2.1k 收藏
点赞数
分类专栏: win32病毒 文章标签: api 2010 exception windows dll image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangbostar/article/details/5928365
版权

由于大部分的文件感染型病毒框架都不可以像“前置病毒”那样拥有自己的输入表,因此需要自行定位API

说一千道一万,想要定位API,向是要定位Kernel32.dll的基地址

 

总结所以这些方法,可以分为是五个小方向,它们又产生很多变种。

 

一、定位kernel32.dll基地址的方法

(1)硬编码方式

    由于kernel32.dll的基地址在相同版本windows下,基本上它的位置是固定的。这种方法在早期的PE病毒中很常见,现在已经很少使用了。

 

(2)利用程序初始化时,首先寄存器或堆栈中保留的kernel32.dll内存模块中的某个地址,之后无论哪种变体,都是以这个kernel内的地址向前搜索,找到kernel.dll的基地址。

以下地方就存储着这些地址: 

                                     ①寄存器EDI

                                     ②刚刚初始化的堆栈:[esp]、[esp+4H]、[esp+10H]

 

以[esp+10h]为例,我们看一下参考代码(另外注释里有一些常见错误代码的写法):

Start: 

  mov edx,[esp+10h]
SearchDosHeader:
  dec  edx
  xor  dx,dx                       ;加速搜索,因为DLL以1M长度对齐,所以这里以64K字节为跨度来加速搜索
  cmp word ptr[edx],'ZM'  ;不要自作聪明写成'MZ',那是以字节逐个读取的结果

最低0.47元/天 解锁文章
yangbostar
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shellcode定位kernel32与LoadLibrary
Mr.Out的专栏
02-05 3227
<br />//定位Kernel32 __declspec(naked) int GetKernel32Base() { __asm { XOR ECX, ECX ; ECX = 0 MOV ESI, FS:[ECX + 0x30] ; ESI = &(PEB) ([FS:0x30]) MOV ESI, [ESI + 0x0C] ; ESI = PEB->Ldr MOV
利用shellcode来实现API的自动定位
Misaka10046的博客
09-16 439
代码 #include<stdio.h> void main() { _asm{ CLD//CF标志位清0,防止影响跳转 push 0x1e380a6a push 0x4fd18963 push 0x0c917432//保存MassageBox,ExitProcess,LoadLibrary //的hash值 mov esi,esp//保存栈顶的值 lea edi,[esi - 0xc] xor ebx,ebx mov bh,0x04 sub esp
定位API的原理
weixin_33743703的博客
03-06 141
参考:0Day 安全   所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的API地址   1,首先通过段选择字FS在内存中找到当前的线程环境快TEB。   2,线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针。   3,进程环境块中偏移位置为0x0C的地方存放着...
病毒/壳中用到的代码重定位技术
潜心学习
06-10 1194
当把壳加在软件上(或者病毒感染PE文件/补丁加在软件上)时,在壳代码上定义的变量和常量的地址都会无法访问,因为编译器给壳中变量A生成的地址是A,但是把壳段加在软件上时变量A的地址就不在是A了,为了继续能够寻址到壳的变量,需要对代码重新定位 下面是一个壳中用到的重定位代码: DepackerCode: pushad call CallMe CallMe: pop ebp
C/C++ HOOK API(原理深入剖析之-LoadLibraryA)
热门推荐
masefee C/C++游戏编程
09-18 2万+
9都快结束了,之前一直忙到写自己的东西加上上班。基本没有时间研究下汇编和C C++方面的感兴趣的东西。再怎么说嘛,9还是得写一篇撒,以后每至少一篇吧。给自己定了,希望大家监督。嘿嘿!这篇文章就来谈谈平常很常见的HOOK技术,这里呢。写得比较简单,方法很多。只讲原理!希望大鸟们别吐我口水哈 - -。好!切入正题。首先是概念吧。什么是钩子(HOOK)? 钩子(Hook),是Win
PE病毒初探——向exe注入代码
weixin_34384557的博客
01-31 533
PE文件其实就是Windows可执行文件,关于它的一些简要介绍摘自百度:   PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。   http://baike.baidu.com/view/1087038.htm   有一病毒是...
PE病毒学习资料包
06-08
关于PE病毒编写学习()——定位API的N方法 关于PE病毒编写学习(六)——关于PE文件结构操作的程序编写 关于PE病毒编写学习(七)——重定位的谬误和它的正确写法 关于PE病毒编写学习(三) 关于PE病毒编写的...
一个简单的pe病毒编写.zip
最新发布
04-18
新冠病毒溯源的目的只有一个,科学地应对新冠病毒。包括两个方面,一方面,要搞清楚它从哪来,到哪去,作为一个蛋白,怎么样寄生,怎么样对人的健康产生威胁,以及怎么样从动物身上来。目的就是不要再发生类似疫情,...
基于逻辑语义流图的Win32PE病毒检测方法 (2009)
06-13
通过详细分析Win32PE病毒程序的搜索模块和传染模块,提出基于逻辑语义流图的病毒检测方法。该方法总结Win32PE病毒的语义特征构造出病毒模式库,提取模式库中模式集与目标文件逻辑流图的节点集进行模式匹配,同时利用...
pe 文件编程:清除文件头中的重定位表.rar_pe_清楚重定位
09-21
在实际操作中,清除PE文件的重定位表需要深入理解PE文件格式,并使用专用工具或编程语言(如C/C++)编写代码来修改文件。常见的步骤包括读取PE文件头,找到重定位表的位置,然后将其设置为无效或删除。这个过程中...
计算机病毒分析与对抗————3、PE文件型病毒
Fly_鹏程万里
04-24 3005
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加节:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存中的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call test pop eax sub ea...
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6157
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件中 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒的感染过程: 第一: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
PE文件资源解析(一)资源类型的提取
老狼的专栏
04-21 2642
这个界面相信作为软件开发人员来说,都不会陌生。 从本章节起,分篇介绍如何来开发一个属于自己的资源提取软件。资源的提取有2,一是通过WindowsAPI接口来实现资源类型的枚举,一是通过解析PE文件结构来获取资源类型的枚举。PE文件解析方式将放在后面章节,这次首先以WindowsAPI方式来进行讲解:这里主要用到3个接口EnumResourceTypes、EnumResourceName...
一段简单的C/C++病毒源程序
mycaibo编程
12-07 1万+
主要是感染C/C++源文件只要编译该段源程序就会使当前目录里的所有.c和.cpp文件感染上病毒,当然如果是没有主函数的源文件就没有作用:思想很简单:插入一段复制自身的代码,而这段代码是将自身的病毒部分传播给同目录下的其它文件。
自己写的第一个病毒(仿的)
lptt的专栏
02-05 1284
 下载拉1000多个"史前时期"(82--98左右)的小病毒 全汇编 (1K---200K) 看拉3个 其实很简单就是几个DOS中断(文件 磁盘操作相关)自己试着写拉一个:将本目录的*.com(可以随便改想感染的类型)逐个写入指定长度的内容源代码如下:data_1e  equ 9Eh    seg_a  segment byte publicassume cs:seg_a,
抗去除花指令(一)——花指令基础
蛛丝
02-18 7151
<br />    入门知识,高手勿读<br />一、概述<br />花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。<br /> <br />二、花指令分类<br />[2.1]可执行式花指令<br />顾名思义,可执行式花指令指的是能够正常运行的但又不改变原始程序逻辑性的一组无用指令。这类花指令有如下特点:①可以正
软件安全实验3报告1
08-04
在进行PE病毒分析与清除之前,我们需要先定位相关的API函数地址。这些API函数包括用于文件操作、内存操作、进程操作等,是我们分析病毒行为的基础。 2. 打开“test.exe”文件,获得文件大小,创建映射文件,得到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值