PE病毒学习笔记——初识感染技术

最新推荐文章于 2025-11-21 00:39:51 发布
原创 最新推荐文章于 2025-11-21 00:39:51 发布 · 1.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#api #output #windows #dos #input #多线程

本文介绍了PE病毒的感染技术,重点在Win32环境下如何感染文件。通过API调用来搜索和感染文件,涉及FindFirstFile、CreateFile、CreateFileMapping和MapViewOfFile等函数。讨论了文件大小、对齐以及对PE结构的修改,包括调整Entry Point和Section Table。文章还探讨了感染方式,如后缀式和散落式,并提及了进程注入的可能性。
说起“感染技术”,一般印象里都是——感染文件,准确说,是“感染可执行文件”。事实上,除了文件感染,也可以是“进程感染”,也就是“进程注入”。但是相比而言,文件感染古老多了——早在单进程环境的DOS下就开始发展,而且相比“进程注入”,在我看来要复杂些。

现在我们只考虑Win32环境下的文件感染。毫无疑问,读写文件的过程需要大量使用到API,如果看过我之前的关于“搜索API”的学习笔记的话,那么这个工作在这里不过是一个循环而已。

先考虑最简单的情况,感染没有在运行的、普通的执行文件。

首先是要搜索文件,Win32API有三个函数:FindFirstFile(),FindNextFile(),FindClose(),事实上大家都可以想象到,应该是FindFirstFileA(),FindNextFileA()和FindFirstFileW(),FindNextFileW(),Windows的一贯风格。这几个函数由kernel32.dll导出,具体使用可以通过MSDN解决了,不过这里要强调一个结构:

WIN32_FIND_DATA ,这里面会保存有搜索到的文件的相关信息,特别是
“文件大小”
(DWORD nFileSizeHigh;  DWORD nFileSizeLow;如果这个文件没有大于4GB的话,就只用考虑nFileSizeLow)
和“文件名”
(TCHAR cFileName[MAX_PATH])
这两个变量,对我们来说比较重要。

下面,搜索到具体的文件后,看看我们需要些哪些API支持我们的工作:
;----------------------------------------------
; input:
; ESI = Address of Filename
; _CreateFileA = VA of CreateFileA
;
; output:
; EAX = Opened Filehandle or -1
;
; used reg
; EAX,ESI
;----------------------------------------------
OpenFile proc
    xor eax,eax
    push eax
    push eax
    push 00000003h
    push eax
    inc eax
    push eax
    push 80000000h or 40000000h
    push esi
    call _CreateFileA
    ret
OpenFile endp

首当其冲的当然是以“可读”和“可写”方式打开文件,kernel32里的CreateFileA完成这项工作。

;----------------------------------------------
; input:
; ECX = Mapping Size
; _CreateFileMappingA = VA of CreateFileMappingA
; FileHandle = Opened Filehandle
;
; output:
; EAX = Mapped Handle or -1
;
; used reg
; EAX,ECX
;----------------------------------------------
CreateMap proc
    xor eax,eax
    push eax
    push ecx
    push eax
    push 00000004h
    push eax
    push dword ptr FileHandle
    call _CreateFileMappingA
    ret
CreateMap endp

;----------------------------------------------
; input:
; ECX = Mapping Size
; _MapViewOfFile = VA of MapViewOfFile
; MapHandle = Mapped Maphandle
;
; output:
; EAX = Map Address or 0
;
; used reg
; EAX,ECX
;----------------------------------------------
MapFile proc
    xor eax,eax
    push ecx
    push eax
    push eax
    push 00000002h
    push dword ptr MapHandle
    call _MapViewOfFile
    ret
MapFile endp

下来就是把文件映射到内存里,当然,用ReadFile和WriteFile也是可以的,可是我喜欢读写“内存”的感觉(感觉是绝对一样的),而不是不停的push push地去调用API,哪怕我只要读或写一个Byte。CreateFileMappingA和MapViewOfFile,这两个函数都在kernel32里

还有一些API比如SetFileAttributesA,UnmapViewOfFile和CloseHan
最低0.47元/天 解锁文章
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
PE病毒学习笔记——初识感染技术 (转自看雪学院)
瞎几把学
01-18 2174
【分享】PE病毒学习笔记——初识感染技术    标 题: 【分享】PE病毒学习笔记——初识感染技术作 者: kmyc时 间: 2007-10-04,17:07链 接: http://bbs.pediy.com/showthread.php?t=52777本来打算10.1长假天天去自习的,结果学校居然在假期把所有的自习室
计算机pe病毒感染过程,感染PE病毒分析与专杀修复工具的开发.pdf
weixin_30487899的博客
07-27 565
70 现代制造技术 与装备 2014 6 期 总 223 期感染PE 病毒分析与专杀修复工具的开发李西山(临沂市人民医院,临沂 276003 )摘 要:本文对感染技术病毒发展过程中的地位进行了分析、然后重点分析感染病毒,针对感染病毒的难以检测和清除以及对可执行文件的破坏,本文提出了对特定的感染病毒编写相...
病毒资源感染方式学习笔记
angbagangzhe065140的博客
02-03 184
本文学习自:关于感染病毒的那些事(三) by gaa_ra代码也来自gaa_ra 资源感染,就是将宿主程序作为病毒程序的一个资源来保存,将附加了宿主程序的病毒程序覆盖原来的宿主程序,当打开病毒文件时,病毒发作并将宿主程序释放出来运行。 进行资源感染后,打开感染文件的过程大致如下: CreateFile创建资源文件,用于存放要被释放出来的宿主文件 --> FindRe...
PE感染&ShellCode编写技术补充
Less Is More
05-28 3333
标 题: PE感染&ShellCode编写技术补充 时 间: 2013-06-04,22:45:53    上篇文章写了Windows Shell Code编写的一些技术和经验,其中讲到ShellCode中使用的数据的问题时,提供了三种方法: 1. HardCode地址,然后把数据写入HardCode的地址中 2. 转化法(HASH),把数据转化成可用寄存器存储的整数 3. 把数据Pu
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
感染PE文件的一个简单实例
shangguanwaner的专栏
12-02 2620
感染PE文件的一个简单实例作者:CloudQQ:329967612  感染PE文件是典型的病毒技术,利用它可以做很多事。至于怎么用就是各位读者自己的事。呵呵。这里给出一个简单的代码实例,它将代码保存在节的间隙中,然后修改入口点。很简单,写给初学者。个人觉得具体的例子要比抽象的解说更印象深刻,记得当初我刚学的时候,看那些高手们写的文章,实在是郁闷,概念是懂了但用不到实践中去。希望这篇文章能对
PE感染
梦落红尘
11-12 1610
这篇文章转载自:Extreme's的空间 http://hi.baidu.com/wjsbljeluujrtwe/item/b1068854a4295ba9adc85750 http://hi.baidu.com/wjsbljeluujrtwe/item/dd5ae31387500f0fd1d66d52 http://hi.baidu.com/wjsbljeluujrtwe/item/66e
PE文件头感染视频教程BT种子
12-16
这是一套非常不错的视频教程,相信会对大家有帮助
pe文件结构详解(研究病毒传染机制)
06-04
pe文件结构(研究病毒传染机制),本文详细的介绍了EXE文件的内部逻辑结构,知道一看
PE学习笔记病毒感染
虫子的专栏
11-15 2408
  通过一段时间对PE病毒的学习,对PE病毒感染过程有了初步的了解。 一  PE文件格式概述    PE文件结构的总体层次分布如下所示 -----------------------|DOS MZ Header ||------------------------||DOS Stub     ||------------------||PE Header  
一个简单的PE感染病毒
GVFDBDF的专栏
09-22 4751
/------- 通过开辟一个新的节表放置shellcode 修改PE入口点到shellcode,并在shellcode中设置返回原PE入口点 PE文件格式参考资料: http://bbs.pediy.com/showthread.php?t=21932 ----------/ /*** 本程序只适用于载入基址定位的,非随机基址 感染指定目录的PE文件 添
简单感染PE文件
_KaQqi的博客
02-16 2836
这个感染方式和win9x时代的CIH病毒感染方式很像。。。 这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要,改了就完蛋了。。。别的几乎用不到 所以修改DOS头的话,只要不修改首尾字段,几乎不会影响程序的运行。
PE感染病毒 —— 增加节点修改PE入口 (3)
Koma的主页
12-20 4427
这套源码并非原创,而是参考llydd大佬的文章,通过在PE文件中增加新节点,并在新节中增入SHELL CODE来加载指定DLL从而实现XX....原文地址:http://bbs.pediy.com/showthread.php?t=36497 所以可以根据遍历PE文件节点来判断是还被感染过,下面是自己根据自己的工程需要,适当修改了其中一小部分代码:
PE感染病毒 —— 遍历磁盘PE文件 (2)
~ 飞 扬 的 天 空 ~
02-27 873
自己在测试过程中,感觉效率不是很好,所以希望哪位大佬能提出宝贵的意见,在此深表感谢!   1、遍历磁盘中PE文件 [cpp] view plaincopyprint? /************************************************************************/  /* 函数说明:遍历感染指定驱动器中所有exe文件
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6634
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件中 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
Java泛型详解:尖括号<>、通配符?与类型参数T
最新发布
倚肆的博客
11-21 148
语法基础:尖括号<>是泛型的语法标志。定义泛型:当需要定义一个可重用的泛型类、接口或方法时,使用类型参数T(或EKV。它提供了类型安全和一致性。使用泛型:当需要使用泛型结构,且方法的逻辑不依赖于具体类型时,使用通配符?(尤其是上界extends T>和下界super T>),这能极大提高API的灵活性。记住PECS原则。避免使用原始类型:不要使用没有类型参数的泛型类(如List list),这会失去类型安全优势。# Java泛型详解:尖括号<>、通配符?与类型参数T。
CAD课程学习精华——超详细课堂笔记
一份“超详细的CAD课堂笔记”可能包含如下知识点: 一、CAD基础概念 1. CAD定义:CAD是计算机辅助设计(Computer-Aided Design)的缩写,指的是利用计算机技术进行设计的过程。 2. CAD软件类别:包括二维绘图软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值