本文介绍了如何实现空隙覆盖病毒,这种病毒将代码分散注入PE文件的空隙中,通过病毒描述表来管理和运行。文章详细阐述了病毒分割描述表的结构,并提出了两种病毒运行方案:物理连接和逻辑连接。物理连接涉及创建初始化引擎和地址转换引擎,以确保病毒代码的执行。
这类病毒名字很多,选这个名字主要是它比较形象说明其感染方式,即将病毒代码分成多份,分别注入到程序各节由于对齐产生的空白中。
1.核心——病毒描述表
将病毒代码分割成多份,分别注入到未知地址的区域内,却能完整运行。这看似神奇,其实实现方法却很简单———建立病毒分割描述表
病毒分割描述表举例(汇编):
Virus_Distribution struct;病毒片段描述符
Code_Base dword 0;该病毒片段的起始地址
Code_Length dword 0;该病毒片段的长度
Virus_Distribution ends
Distribution_Number=0AH
Virus_Distribution<401000h,VirusSize> ;病毒本身第一次编译时,必然和一般程序一样EOP默认是401000h,
;长度VirusSize&#
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
