pe病毒代码段

因为pe病毒只有一个代码段不可写,而平常数据写入是在代码段,所以我们必须修改代码段使其具有可读可写可执行的属性。代码段属性值一般为60000020,修改为e0000020。

31位 可写

30位 可读

29位 可执行

6的二进制码为0110

e的二进制码味1110

数据段一般为:c0000040h

 

 

 

节的属性标志位含义

数据位在Windows.inc中的预定义值以及为1时的含义

5

(IMAGE_SCN_CNT_CODE00000020h)节中包含代码

6

(IMAGE_SCN_CNT_INITIALIZED_DATA00000040h)节中包含已初始化数据

7

(IMAGE_SCN_CNT_UNINITIALIZED_DATA00000080h)节中包含未初始化数据

25

(IMAGE_SCN_MEM_DISCARDABLE02000000h)节中的数据在进程开始以后将被丢弃,前面举例的包含重定位表的.reloc节就是一个例子

26

(IMAGE_SCN_MEM_NOT_CACHED04000000h)节中的数据不会经过缓存

27

(IMAGE_SCN_MEM_NOT_PAGED08000000h)节中的数据不会被交换到磁盘

28

(IMAGE_SCN_MEM_SHARED10000000h)表示节中的数据将被不同的进程所共享,在第11章的钩子例子中的共享数据的节就设置了这个属性标志

29

(IMAGE_SCN_MEM_EXECUTE20000000h)映射到内存后的页面包含可执行属性

30

(IMAGE_SCN_MEM_READ40000000h)映射到内存后的页面包含可读属性

31

(IMAGE_SCN_MEM_WRITE80000000h)映射到内存后的页面包含可写属性

PE文件被压缩工具压缩以后,包含代码的节往往被同时设置了可执行、可读和可写属性,因为解压部分需要将解压后的代码回写到代码段中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值