pe病毒代码段

最新推荐文章于 2024-04-19 16:38:13 发布
最新推荐文章于 2024-04-19 16:38:13 发布
阅读量1.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 汇编 文章标签: image 磁盘 工具 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liwei8703/article/details/5021657

因为pe病毒只有一个代码段不可写,而平常数据写入是在代码段,所以我们必须修改代码段使其具有可读可写可执行的属性。代码段属性值一般为60000020,修改为e0000020。

31位 可写

30位 可读

29位 可执行

6的二进制码为0110

e的二进制码味1110

数据段一般为:c0000040h

 

 

 

节的属性标志位含义

数据位在Windows.inc中的预定义值以及为1时的含义

5

(IMAGE_SCN_CNT_CODE00000020h)节中包含代码

6

(IMAGE_SCN_CNT_INITIALIZED_DATA00000040h)节中包含已初始化数据

7

(IMAGE_SCN_CNT_UNINITIALIZED_DATA00000080h)节中包含未初始化数据

25

(IMAGE_SCN_MEM_DISCARDABLE02000000h)节中的数据在进程开始以后将被丢弃,前面举例的包含重定位表的.reloc节就是一个例子

26

(IMAGE_SCN_MEM_NOT_CACHED04000000h)节中的数据不会经过缓存

27

(IMAGE_SCN_MEM_NOT_PAGED08000000h)节中的数据不会被交换到磁盘

28

(IMAGE_SCN_MEM_SHARED10000000h)表示节中的数据将被不同的进程所共享,在第11章的钩子例子中的共享数据的节就设置了这个属性标志

29

(IMAGE_SCN_MEM_EXECUTE20000000h)映射到内存后的页面包含可执行属性

30

(IMAGE_SCN_MEM_READ40000000h)映射到内存后的页面包含可读属性

31

(IMAGE_SCN_MEM_WRITE80000000h)映射到内存后的页面包含可写属性

PE文件被压缩工具压缩以后,包含代码的节往往被同时设置了可执行、可读和可写属性,因为解压部分需要将解压后的代码回写到代码段中。
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
分析PE代码段IdaPython脚本
05-15
分析PE代码段IdaPython脚本、输出至XML文件。
PE型感染病毒 —— VC源码
~ 飞 扬 的 天 空 ~
02-27 1924
狼哥的原话:“真正的文件型PE病毒,是不能发布调试版本的,只能靠自己的判断使用发布版本,就算要调试也只能使用其它的调试器,比喻说OllyDbg来调试发布版本......”   这类程序调试起来足矣让人精神紊乱,下面是全部的代码,有兴趣的看看吧.....     这是测试Test.dll源码: [cpp] view plaincopyprint? ///////
PE病毒技术剖析[转载]
我的程序世界
03-06 1504
任何语言只要达能力足够强,都可用于编写PE病毒。但现存的绝大部分PE病毒都是直接用汇编编写的,一方面是因为汇编编译后的代码短小精悍,可以充分进行人工优化,以满足隐蔽性的要求;另外一方面之所以用汇编是因为其灵活和可控,病毒要同系统底层有时甚至是硬件打交道,由于编译器的特点不尽相同,用高级语言实现某些功能甚至会更加麻烦,比如用汇编很方便地就可以直接进行自身重定位、自身代码修改以及读写IO端口等操
实验六——PE病毒分析
Onlyone_1314的博客
09-26 1万+
【实验名称】 PE病毒分析 【实验目的】 1.属性PE文件结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.掌握文件型病毒的发现方法及PE病毒的染毒原理 【实验原理】 1.PE文件常用字段解释: a)文件偏移地址(FileOffset):PE文件存储在磁盘上时,各数据相对文件初始地址的偏移量。即,UltraEdit打开文件所显示的地址。 .text段第一个数据的文件偏移地址是:0x400 b)虚拟地址(Virtual Address,VA):PE文件载入内存后,各数据的地址。
win32virus汇编PE文件感染代码阅读
m0_52534684的博客
05-23 1489
win32virus汇编PE文件感染 步骤如下: 在图1中,我们发现汇编代码有三处都是两点,改为一点后保存。 用Masm32Edit的Project中的assemble and link功能生成.exe文件,图2为编译过程,图3示.exe已经生成。 图4,用OllyDebug运行.exe文件,发现运行意外终止。 用图5所示的x32Degub调试工具运行到终止处,点击“内存布局”发现内存发现权限为ER,不可以进行写入(W),如图6。 图7为.text原来的内存权限,图8为修改后的权限,变为ERW
南京邮电大学恶意代码——实验:Pe病毒编写
weixin_42559271的博客
04-25 1958
前言 修改PE文件一般有两种思路。 第一种是通过编程语言来修改,这种方式的Visual Studio的Windows.h头文件里面有完全的PE相关管理结构的完整定义,通过编程来修改比较烦,但是优点是可以自动化进行,并且不需要去找相关的工具; 第二种方法是通过一些二进制工具来进行修改,这种方式是交互式的,能够直观的感受到整个过程,缺点是需要熟悉相关工具的UI使用方式,而且修改大量方式的时候市面上的这些工具一般都不提供编程接口; 因为本次实验仅仅是一个探索,所以就采用第二种方式。 需要的工具 本次实验用到的
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6632
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
憨憨也能写出PE病毒
bbszhenshuai的博客
05-18 2755
导语 这是我软件安全作业,希望对想要学习PE病毒编写的同学们有所帮助。 目标 编写一个PE文件传染程序infect.exe,功能要求如下: infect.exe运行后,向同目录下的notepad.exe程序植入“病毒载荷”代码. infect.exe不能重复传染notepad.exe. notepad.exe被植入“病毒载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt文件,文件名为:学号-姓名.txt,文件内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。 基本思路 infe
PE常见区段头
qq_31314583的博客
04-18 296
【代码】PE常见区段头。
PE文件病毒一览
Amire0x的小乐园
11-06 1393
PE文件病毒 参考1 参考2 参考3 参考4 参考书籍《加密与解密》 PE文件简介 简介 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 PE文件使用的是一个平面地址空间,所有代码和数据都合并在
一个PE病毒的实现
无题
11-08 1657
借鉴WIN PE权威指南愤怒的天使病毒思路而作   首先破坏性代码 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ;补丁功能代码需要的DLL,函数名,字符串等全局变量定义 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 4422
记录PE病毒设计的入门实验
PE病毒编写总结
weixin_34029949的博客
07-07 333
关键词(预备知识): PE文件 PE文件头 PE文件Import table(引入) PE文件Section table (PE文件入口地址 RVA 地址 Win32 宏汇编语言 内存映射文件 病毒功能: 自动搜索硬盘上的PE文件(包括exe和dll),在文件中插入病毒体,使该PE文件在执行时先执行病毒体后执行原有程序。 病毒流程(原始文件): 1.查找LoadLibrary和GetPr...
Reverse-2 - PE文件
qq_38205354的博客
02-07 734
111
PE文件注入恶意代码改变代码执行顺序教程
最新发布
m0_62574258的博客
04-19 1063
E9后面的值=目的地址-(jmp指令地址+5)=00 00 10 00-(00 00 10 32+5)=FF FF FF C9(这里减法是一位一位运算,不够就向前面一位借16), FF在前面示为负数,即往前面跳转,反写为C9 FF FF FF,所以jmp后面应该跟上C9 FF FF FF,即写成E9 C9 FF FF FF。ExitProcess函数的参数,程序退出码。call ptr[?call ptr[?call ptr[?ExitProcess的函数后面添加MessageBoxExa函数的参数,?
计算机病毒分析与对抗————3、PE文件型病毒
Fly_鹏程万里
04-24 3285
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存中的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call test pop eax sub ea...
病毒感染可执行文件初探
hu_zhn的专栏
01-13 1800
大部分病毒都是感染可执行文件,可执行文件的格式有多种,常用的COFF与ELF,ELF主要在linux下,ELF文件的内容按一下的格式组织,只要你知道这个格式就能编写程序将自己的代码加到ELF文件中,下面转贴一篇这方面的文章上。/*ELF infector source fileStudent: Student ID:Class: */#include stdio.h>#includ
Win32 PE病毒技术解析与防治
PE病毒利用这些结构特点,找到插入自身代码的位置,并篡改文件头以确保在程序启动时首先执行病毒代码。关键的技术包括API函数挂钩,病毒会替换或插入系统API函数,以在系统调用时执行其恶意逻辑。此外,病毒还会寻找...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值