南京邮电大学恶意代码——实验:Pe病毒编写

最新推荐文章于 2025-03-24 17:25:17 发布
原创 最新推荐文章于 2025-03-24 17:25:17 发布
· 1.9k 阅读 · 3 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

前言

修改PE文件一般有两种思路。

  1. 第一种是通过编程语言来修改,这种方式的Visual Studio的Windows.h头文件里面有完全的PE相关管理结构的完整定义,通过编程来修改比较烦,但是优点是可以自动化进行,并且不需要去找相关的工具;
  2. 第二种方法是通过一些二进制工具来进行修改,这种方式是交互式的,能够直观的感受到整个过程,缺点是需要熟悉相关工具的UI使用方式,而且修改大量方式的时候市面上的这些工具一般都不提供编程接口;

因为本次实验仅仅是一个探索,所以就采用第二种方式。

需要的工具

本次实验用到的工具如下:

  • CFF Explorer:用于结构化查看PE管理结构,同时也提供方便的PE文件修改(之前不知道的时候一直是用Winhex直接修改的);
  • Winhex:用于在二进制层面修改PE文件,在本次实验中主要用于在新添加的节里面添加自己的代码;
  • Ollydbg:用于调试自己的ShellCode;
  • 相关能够生成本地字节码的编译环境:用于生成和观察相关汇编指令的字节码

实验前需要注意的事项

由于PE文件中的很多字段是相互关联的,这里需要先列一下要修改/注意的事项,等到修改的时候对照清单一步一步的看:

  • FileAlignment:文件中的节对齐大小,等下设置新的节的时候节大小必须对齐;
  • SectionAlignment:内存中的节大小,设置节内存起始偏移的时候必须对齐;
  • SizeofImage:内存中的PE镜像对齐后的总大小
  • SizeofHeader:这个值是按照FileAlignment的值对齐的,也就是说大部分情况下Header的地址范围内是有空洞的,可以利用,如果没有空洞的话这个值需要修改,并需要依次后移PE文件的数据;
  • AddressOfEntryPoint:入口点
  • NumberOFSections:节表长度

整个的修改流程应该是:

  1. 计算新增加的节的内存布局范围
  2. 修改NumberOFSections
  3. 使用Winhex扩展新节
  4. 在新节里面填入汇编代码
    任意选择一个PE文件,我这里选择的是DbgView,一款用于查看OutputDebugString函数输出字符串的软件。

新增一个节

计算PE新增加的节的内存布局

首先需要先观察一下原PE文件的内存布局:
在这里插入图片描述我们选择在最后一个节后面插入自己的节,这里列一下计算过程:

  1. Name:随便取
  2. Virtual Size:都可,这里为了方便起见就去0x1000吧
  3. Virtual Address:这里是RVA,之前的的节的地址范围为[0x55000,0x55000+0x31FBB+(0x1000-0x31fbb%0x1000)-1],所以实际的范围应该是[0x55000,0x86fff],那么新的节的起始地址应该是0x87000
  4. Raw Size: 这里取最小的粒度0x200
  5. Raw Address:0X3D000+0x32000=0x6F000
  6. Reloc Address、Linenumbers…:PE文件中不是很重要的东西;
  7. Characteristics:属性,这里取和.text段属性一样的值,顺便提一嘴这个位图实际上包括了两种类型的标记,一种是内存管理的属性&#
最低0.47元/天 解锁文章
关于PE病毒编写的学习(六)——关于PE文件结构操作的程序编写
蛛丝
10-06 2082
  对PE文件结构的各个值定义和作用,这里不提了,网上资源很多,百度一下就好了。所以,本章只说一下,作为代码编写者对PE文件结构操作的方法和技巧。还是通过改进代码,来体会一下吧。  你应该记得前面的BOOL IsPEFile(HANDLE hFIle) 这个函数吧,它的作用是判断文件是否为PE格式文件。它把文件句柄作为参数,虽然许多函数需要文件句柄这个参数,但是作为对PE文件结构操作的函数,这样做是不恰当的,因为如果这样做就要频繁的使用SetFilePointer()、ReadFile()、WriteFil
关于PE病毒编写的学习
蛛丝
08-30 3866
首先声明,因为害怕被封号,我肯定不会展示正确完整病毒代码,但是会介绍可行的学习方法。网上有很多关于介绍PE病毒编写的帖子,但基本上都是分析源码FunLove和《计算机病毒分析与对抗》中PE病毒的代码翻版。事实上这两个代码是用于原理展示,前者根本通不过编译,后者编译后并不能正确运行,虽然有部分帖子对其做了修改,受到正统汇编教材代码的影响,导致其修改方法是错误的。关于病毒编写充满了各种各样的迷信和谬论,因此在学习的过程中,我走了不少弯路,让我来一一说明:误区1:PE病毒一定要用汇编来写,其生成文件小,效率高,病
Python 简单病毒程序合集(一)
小蜗牛的珍贵百宝箱
03-24 1375
本篇文章将介绍一些用 Python 编写的简单病毒程序。请注意,这些程序仅用于学习目的,目的是帮助你了解病毒是如何工作的,并加深对 Python 编程的理解。我们强烈建议你仅在合法和道德的框架下使用这些代码,并且不要将它们用于任何形式的恶意活动。
关于PE病毒编写的学习(三)
蛛丝
09-10 2543
历史上,在windows95发布后,用高级语言编写的外壳病毒,经过简单地改造编译,就能从DOS平台迁移到windows平台上。并且在这当中很多“前置病毒”,仅仅需要重新编译。另外之所以用“前置病毒”作为第一分析样本,理由如下:1.它具有基本病毒功能模块,这些模块在文件病毒中是通用的2.其框架结构,所需病毒技巧极少3.拓展方便,通过不断地加入新功能,循序渐进的学习各种病毒技巧4.加载新模块方便,适合测试其它病毒的某些功能模块那么何谓“前置病毒”?DWORD dwVirusSize=40960;HANDLE
PE 文件病毒编写实验(一)
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
关于PE病毒编写的学习(二)
蛛丝
08-31 3476
这篇说一下,PE病毒需要那些技术积累,以及这些技术的学习方法和重点是什么。1.先说汇编吧      其实我说的汇编关于两个方面:汇编语言设计 和 微机原理      汇编语言设计,它也是两方面: 常规教材讲的 和 病毒的技巧      常规教材上讲的基本都得学会,最基本的8086/8088肯定都得会,各种书籍视频很丰富,学起来不难。80x86也是必须得学,建议看一下《80x86汇编语言程序设计》(杨季文著,清华大学出版),这本书的后半本写的很精彩,至于罗云杉的那本,明白意思就行了,因为使用Radasm,简化
南京邮电大学通信电子线路实验.zip
12-23
通过南京邮电大学的通信电子线路实验,学生不仅能够掌握通信电子技术的基本原理,还能提高动手能力和问题解决技巧,为将来从事通信领域的工作打下坚实的基础。这个实验项目不仅局限于理论学习,更强调实践操作,使得...
### 南京邮电大学数学实验课程综述:理论与实践的深度融合
最新发布
04-21
内容概要:本文介绍了南京邮电大学数学实验课程的独特之处及其对学生能力的培养。该课程自1998年开设,是国内较早将数学理论与计算机技术结合的课程之一。课程涵盖概率论、数理统计、线性代数、随机过程等内容,通过...
教育领域南京邮电大学数学实验课程设计:培养数学应用与编程能力的实践教学体系构建
04-18
内容概要:南京邮电大学数学实验课程旨在提升学生运用数学知识和计算机技术解决实际问题的能力。课程目标包括掌握数学软件基本操作、培养数学建模能力、提高实践动手能力和创新意识。实验内容涵盖基础数学实验(数值...
南京邮电大学操作系统——实验一:进程、线程的创建与并发执行
weixin_42559271的博客
10-08 3677
实验环境 Ubuntu 18.04 Visual Code 实验记录 实验一:观察进程标识符 所用代码如下: #include <stdio.h> #include <sys/types.h> #include <unistd.h> int main() { //pid_t是数据类型,实际上是一个整型,通过typedef重新定义了一个名字,用于存储进程id pid_t pid; //scanf("%d",&i);//让进程等待,方便使用shell观
关于PE病毒编写的学习(十)——追加病毒编写(下)
蛛丝
10-30 2778
  原本这一篇应该和上一篇同时发,但是我的原来代码写得很烂,而且由于我的目标是编写一个“追加病毒”框架,代码又要具备良好的模块特征。这两天改来改去,已经头脑混乱了,所以还是先发文章把原来的代码挂上,有时间再改,我会配上说明。  另外提一句,我把一个bug写再AddSection这个函数里,很多教学码也故意写这个错误,这个错误本意是修改由于PE文件头的修改使“xx值”应适当变化,实际写入的是空位置,这个值不应该变化,这个画蛇添足的行为会导致被感染文件出现一个对齐问题的错误,使系统认为它不是一个有效文件。自己独
病毒实验报告
05-30
有关病毒方面课程的实验内容 实验PE结构分析及DOS病毒感染与清除 一、实验目的 1.熟悉PE文件结构 2.掌握DOS系统下.EXE文件病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)手工或编程从user32.dll中获得MessageBoxA的函数地址; 2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、PEditor、Stud_PE等工具软件查看、分析PE文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改; 3)示例病毒exe_v感染原理及其清除 实验二 Windows病毒分析与防治 一、实验目的 掌握Windows病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)编程实现Immunity病毒; 2)修复被Immunity感染的host_pe.exe 3)编程实现脚本病毒或宏病毒,参考相关章节爱虫/梅丽莎病毒;修复被上述病毒感染的系统 实验三 蠕虫/木马的分析与防治 一、实验目的 掌握蠕虫/木马感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)实现“冲击着清除者”病毒; 2)实现远程线程动态嵌入技术的木马并验证; 3)实现木马远程监视/控制; 4)修复被上述病毒感染的系统
PE病毒的学习资料包
06-08
PE型感染病毒 —— VC源码 PE型感染病毒 —— 遍历磁盘PE文件 (2) PE型感染病毒 —— 遍历磁盘驱动器 (1) PE型感染病毒 —— 增加节点修改PE入口 (3) Win32平台下的PE文件病毒的研究及实现。rar 关于PE病毒编写的学习 关于PE病毒编写的学习(八)——定位API的N种方法 关于PE病毒编写的学习(六)——关于PE文件结构操作的程序编写 关于PE病毒编写的学习(七)——重定位的谬误和它的正确写法 关于PE病毒编写的学习(三) 关于PE病毒编写的学习(四)——关于历遍磁盘的讨论 关于PE病毒编写的学习(五)——病毒如何做标记和记录信息 关于PE病毒编写的学习
关于PE病毒编写的学习(九)——追加病毒编写(上)
蛛丝
10-27 1889
  OK,兑现我的承诺,从本章开始讲述“追加病毒”的编写方法。我们将实现一个只弹出对话框的良性病毒,但是考虑到这个代码可能造成的危害,我会在感染模块中写入一个小Bug。不过,对于大家的学习是毫无影响的。  回到正题,先介绍一下“追加病毒”,在DOS时代中,这种病毒相当常见。由于.com文件的入口点是固定的,而且我们知道DOS平台程序可以随意使用中断,因此追加病毒只要将病毒代码追加到宿主文件尾,然后修改入口点代码成“jmp [病毒入口点]”,病毒执行完成后,再jmp到宿主程序。  到了win32平台下,这种方
憨憨也能写出PE病毒
bbszhenshuai的博客
05-18 2750
导语 这是我软件安全作业,希望对想要学习PE病毒编写的同学们有所帮助。 目标 编写一个PE文件传染程序infect.exe,功能要求如下: infect.exe运行后,向同目录下的notepad.exe程序植入“病毒载荷”代码. infect.exe不能重复传染notepad.exe. notepad.exe被植入“病毒载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt文件文件名为:学号-姓名.txt,文件内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。 基本思路 infe
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 4330
记录PE病毒设计的入门实验
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
恶意代码编写DLL实验
雩停
03-11 999
实验要求 编写一个DLL,并将其导出成函数,可被其他程序调用。 实验内容 本次实验使用环境为Visual Stadio 2017,打开VS 2017,新建项目 -> Visual C++ -> Windows桌面 -> Windows控制台应用程序,选择要保存的路径,并为项目命名(我将其命名为DLLpractice),点确定。 在项目目录下会生成许多文件,打开DLLpracti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值