c#文件之寄生隐藏

最新推荐文章于 2023-05-31 13:41:23 发布
最新推荐文章于 2023-05-31 13:41:23 发布
阅读量704 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: c# file textbox byte string list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhengzhichen/article/details/3404028
 任何文件在其尾部追加二进制信息后,都不会影响到该文件的正常使用,我们能够看到的,仅仅只是增加了字节数,创建日期,修改日期等都没有任何变化,因此一 般寄生型病毒一般都采取这种方式进行传播。我们以C#语言为例,选择任何一个文件作为宿主文件(最好不要选择文本文件,原因是文本文件会产生乱码在尾 部),然后选择一个寄生文件,来进行隐藏。为了便于寄生文件的检索、释放、删除,我们需要在寄生文件中加入一些分隔标志、长度信息、寄生文件名。如我们以 “%**@@”作为开始分隔符;寄生文件长度用9个字节,不够补空格;寄生文件名用200个字节,不够补空格,附加信息的总长度是216字节。
具体实现思路如:
1. 打开文件
// 打开宿主文件

FileStream mother_file = new  FileStream(mother_name ,FileMode.OpenOrCreate); 
 // 读出流到buff中
mother_file.Read(buff, 0 ,( int )mother_file.Length);
2. 显示寄生文件的信息
public   void  review_files         {
                 listBox1.Items.Clear();  
            forint i=0 ;i<=mother_file.Length ; i++)
            {  
                if(buff[i]=='%'&&buff[i+1]=='*'&&buff[i+2]=='*'&&buff[i+3]=='#'&&buff[i+4]=='#'&&buff[i+5]=='@')
                //隐藏文件分隔符 %**##··
                {
                    mother_file.Seek(i+7,0) ; //跳过分隔符
                    byte [] filesize=new byte[9];
                    mother_file.Read(filesize,0,9);// 读9位文件大小
                    byte  [] filename=new byte[200];
                    mother_file.Read(filename,0,200);//读200位文件名
                    String  name=System.Text.Encoding.Default.GetString(filename,0,200);  
                    String  len=System.Text.Encoding.Default.GetString(filesize,0,9);  
                    String  offset=(i+216).ToString(); //寄生文件的位置(偏移量)
                    name=name.Substring(0,name.IndexOf('/0'));
                    name=(name+"                                               ").Substring(0,40);
                   //格式化文件名为40位                    len=len.Substring(0,len.IndexOf('/0'));
                    len=(len    +"                                     ").Substring(0,20);
                      //格式化文件大小为20位                    String str=name+len+offset;
                    listBox1.Items.Add( str);    
                     listBox1.Refresh();
                
                }
            }

        }

3. 追加寄生文件
try
             {
                mother_file.Seek(0, SeekOrigin.End); //宿主文件尾部
            }
             catch
             {  MessageBox.Show("宿主未打开"); return;
            }
            DateTime  creat_old =  File.GetCreationTime(textBox2.Text); // 暂存文件创建时间
            DateTime     write_old =  File.GetLastWriteTime(textBox2.Text); // 暂存文件修改时间
           
            openFileDialog1.ShowDialog();
            FileStream in_file = new  FileStream(openFileDialog1.FileName,FileMode.Open);
            byte [] in_buff = new   byte  [in_file.Length];
           in_file.Read(in_buff, 0 ,( int )in_file.Length); // 读出拟寄生文件流
           mother_file.Write(System.Text.Encoding.Default.GetBytes( " %**##@@ " ), 0 , 7 ); // 写入分隔符
            byte [] len = new   byte  [ 9 ];
           len = System.Text.Encoding.Default.GetBytes( in_file.Length.ToString());
           mother_file.Write(len , 0 ,len.Length); // 写入拟寄生文件的的大小
            byte  [] temp = new   byte [ 9 - len.Length];
           mother_file.Write(temp , 0 ,temp.Length); // 补空凑为9个字节
            byte [] name = new  Byte[ 200 ];
           name = System.Text.Encoding.Default.GetBytes( openFileDialog1.FileName);
            mother_file.Write(name, 0 ,name.Length);
             byte  [] temp2 = new   byte [ 200 - name.Length]; // 补空凑为200个字节
            mother_file.Write(temp2, 0 ,temp2.Length);
            mother_file.Write(in_buff, 0 ,( int )in_file.Length); // 写入拟寄生文件流
            in_file.Close();
             string  mother_name = textBox2.Text;   // 暂存宿主文件名
            mother_file.Close();   // 关闭宿主
            File.SetCreationTime(mother_name,creat_old); // 恢复旧的文件创建时间
            File.SetLastWriteTime(mother_name,write_old); // 恢复旧的文件修改时间
            open_mother(mother_name);  // 打开宿主
            review_files();  // 显示寄生文件

4. 释放寄生文件
String  position = "" ,file_long = "" , file_name = "" ;
             string [] aa = new   string [ 3 ]; // 定义文件信息数组
             try
             {
                aa=fetch();//取拟释放文件信息
            }
             catch
             {
             MessageBox.Show("未选择文件"); return;
            }
            position = aa[ 0 ];   // 寄生文件的位置
            file_long = aa[ 1 ]; // 寄生文件的大小
            file_name = aa[ 2 ]; // 寄生文件的文件名

           FileStream out_file = new  FileStream(textBox1.Text + " // " + file_name,FileMode.Create);
          // 创建释放文件
             byte [] out_buff = new   byte [buff.Length];
             try
             {
                mother_file.Seek(int.Parse(position),SeekOrigin.Begin);
               //定位寄生文件在宿主中的位置
            }
             catch
             {
                MessageBox.Show("宿主未打开");return;
            }
                mother_file.Read(out_buff, 0 , int .Parse(file_long));  // 读取拟释放文件流
             out_file.Write(out_buff, 0 , int .Parse(file_long));  // 写入释放文件
            out_file.Close();

5. 删除寄生文件
DateTime  creat_old =  File.GetCreationTime(textBox2.Text); // 暂存文件创建时间
            DateTime     write_old =  File.GetLastWriteTime(textBox2.Text); // 暂存文件修改时间
           

           String  position = "" ,file_long = "" , file_name = "" ;
             string [] aa = new   string [ 3 ];
             try
             {
                aa=fetch();//取拟删除文件信息
            }
             catch
             {
                MessageBox.Show("未选择文件"); return;
            }
            position = aa[ 0 ];
            file_long = aa[ 1 ];
            file_name = aa[ 2 ];
    
               int   mother_long;
             try
             {
                mother_long=(int)mother_file.Length;        
                }
             catch
             {
                MessageBox.Show("宿主未打开");return;
            }

             byte [] del_buff = new   byte  [mother_long - int .Parse(file_long) - 216 ];
            // 在宿主中定位拟删除文件位置(含216位头信息)
            Array.Copy(buff, 0 ,del_buff, 0 , int .Parse(position) - 216 );
             // 宿主中拟删除文件前面的信息复制到del_buff中
            Array.Copy(buff, int .Parse(position) + file_long.Length,del_buff, int .Parse(position) - 216 ,( int )mother_file.Length - int .Parse(position) - int .Parse(file_long));
             // 宿主中拟删除文件后面的信息复制到del_buff中
            FileStream temp_file = new  FileStream( " temp " ,FileMode.Create);
             // 创建 临时文件temp
            temp_file.Write(del_buff, 0 ,del_buff.Length);
             // del_buff写入temp中
            temp_file.Close();
            //   String old_mother=textBox2.Text.ToString();
             string  mother_name = textBox2.Text;   // 暂存宿主文件名
            mother_file.Close();  // 关闭宿主文件
        
            File.Delete(mother_name);   // 删除旧的宿主文件
            File.Copy( " temp " ,mother_name);  // 复制temp为新的宿主文件
           File.Delete( " temp " );  // 删除临时文件
            File.SetCreationTime(mother_name,creat_old); // 恢复旧的文件创建时间
            File.SetLastWriteTime(mother_name,write_old); // 恢复旧的文件修改时间

          open_mother(mother_name);  // 打开新的宿主文件
        review_files();  // 显示新宿主中的信息
附FETCH函数
private   string [] fetch()  // 取出        {
            String list_str = listBox1.SelectedItem.ToString();
               String  position = "" ,file_long = "" , file_name = "" ;
            file_name = list_str.Substring( 0 , 40 );  // 取出前40位,内含文件名
            file_name =  file_name.Substring( 0 ,file_name.IndexOf( '   ' )); // 去尾空格
  
             int  i;
             for ( i = file_name.Length - 1 ; i >= 0 ; i -- )
             {
                if(file_name[i]=='//')break;
            } // 定位除去路径的文件名的位置

            file_name = file_name.Substring(i + 1 ,file_name.Length - i - 1 ); //  取出文件名
            file_long = list_str.Substring( 40 , 9 );  // 取出文件大小
            file_long = file_long.Substring( 0 ,file_long.IndexOf( '   ' )); // 去尾空格
            position = list_str.Substring( 60 ,list_str.Length - 60 );  //  取出寄生文件位置 
              string [] aa = new   string [ 3 ];
            aa[ 0 ] = position;aa[ 1 ] = file_long; aa[ 2 ] = file_name;
             return (aa); // 返回包含寄生文件信息的String数组        
        }
本方法中原有文件功能均正常,创建、修改时间均未变化,仅仅是长度大了些,隐蔽性还是比较强的,如果对写入的信息进行简单的加密操作则效果更好。
警告:
这里仅供研究探讨使用,如用于任何破坏性目的后果自负。
例子源码下载: http://download.youkuaiyun.com/source/818026
郑某人
关注
《果壳中的C# C# 5.0 权威指南》 (09-26章) - 学习笔记
GATTACA2011
02-05 1726
《果壳中的C# C# 5.0 权威指南》 ========== ========== ========== [作者] (美) Joseph Albahari (美) Ben Albahari [译者] (中) 陈昇 管学理 曾少宁 杨庆川 [出版] 中国水利水电出版社 [版次] 2013年08月 第1版 [印次] 2013年08月 第1次 印刷 [定价] 118.00元 ========== =...
X64驱动开发和保护+X86X64游戏逆向分析课程
mutashizhe的博客
08-05 2897
老师教学范围和方式:木塔负责PC电脑端C语言基础和端游逆向分析部分内容,采用录制+部分直播课程教学,晚上还有专业老师讲解和指导。我要的是质量不是数量。老师备课,设计课件需要时间的。 学习周期:PC端3个月时间(具体根据同学们的进度) 主要内容和方向:C/C++从基础知识讲起;汇编基础和逆向;开发逆向内存FZ库框架编写;MFC界面和中控界面;逆向数据分析 ;X64逆向;驱动开发;驱动保护  学费:优惠价:4888RMB (原价6500RMB) 注释:有C语言或者C++语法基础学员可以再优惠:3
C#实现文件寄生隐藏
11-28
C#实现文件寄生隐藏 任何文件在其尾部追加二进制信息后,都不会影响到该文件的正常使用,我们能够看到的,仅仅只是增加了字节数,创建日期,修改日期等都没有任何变化,因此一般寄生型病毒一般都采取这种方式进行传播。
C#实现文件寄生隐藏
qdkll的专栏
04-10 1034
 C#实现文件寄生隐藏任何文件在其尾部追加二进制信息后,都不会影响到该文件的正常使用,我们能够看到的,仅仅只是增加了字节数,创建日期,修改日期等都没有任何变化,因此一般寄生型病毒一般都采取这种方式进行传播。我们以C#语言为例,选择任何一个文件作为宿主文件(最好不要选择文本文件,原因是文本文件会产生乱码在尾部),然后选择一个寄生文件,来进行隐藏。为了便于寄生文件的检索、释放、删除,我
文件寄生——寄生虫自体繁衍的道路
weixin_34138139的博客
08-10 156
Hi,又跟大家见面了,相信大家看了上一篇文章《文件寄生——寻找宿主的不归路(NTFS文件流实际应用)》后,都有看到局限性的一面。 没看过上一篇文章的建议先去看完,然后再来看这篇文章,这样相对可以更加的理解。传送门:https://bbs.ichunqiu.com/thre...本文作者:i春秋签约作家—gh0stkey 首先来解答一下很多...
C# 显示或隐藏 隐藏文件
03-23
C#编写显示或隐藏 系统属性为隐藏文件 通过操作注册表实现
C#基类和派生类
liulun的博客
01-24 1490
1.基类和派生类的一些基本概念class B : A{}A是基类,B是派生类.一个类最多只允许从一个类中派生.class C : B{}B还可以充当C的派生类继承总是隐式为public的,System.Object是所有类的根编译器会把你的类悄悄的编译成 class A : System.Object{}2.调用基类的构造函数         class B :
C#实现文件捆绑工具的原理与使用
压缩包子文件文件名称列表中提到了BindFiles_LD13,这可能是一个包含在Test寄生.exe中的文件,或是用来测试捆绑机功能的文件之一。这个文件的作用可能是在捆绑和解绑过程中提供一个标准化的测试案例,用以验证捆绑...
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 7018
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马群appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
C#捆绑文件
11-17
个人整理的捆绑机,附带一个测试Test寄生.exe,此文件作为宿主文件,捆绑寄生文件,可以无限添加。其原理,看了源码就知道了。
详解C# FileStream类
12-17
C# FileStream类 在 C# 语言中文件读写流使用 FileStream 类来表示,FileStream 类主要用于文件的读写,不仅能读写普通的文本文件,还可以读取图像文件、声音文件等不同格式的文件。区别于File类的是它对文件可进行分步读写,减小内存压力,缺点是我们需要手动的关闭和释放资源, FileAccess FileAccess 枚举类型主要用于设置文件的访问方式,具体的枚举值如下。     ●  Read:以只读方式打开文件。     ●  Write:以写方式打开文件。     ●  ReadWrite:以读写方式打开文件FileMode FileMode 枚举类型
C#文件隐藏在图片里 源代码
04-10
C#文件隐藏在图片里 源代码 有源代码 我也是转载 大家可以看看
新版文件寄生 文件隐藏 图片音乐里藏文件
01-26
可以往照片音乐里藏其他文件,首先用文件—打开来打开宿主文件,编辑-添加 可以像宿主中添加文件,编辑-提取可以从宿主中提取文件。而且不影响宿主文件正常使用。
光盘隐藏文件查看器,用于查看光盘隐藏文件
08-12
光盘隐藏文件查看器,查看光盘隐藏文件。不用安装,直接解压后便可使用,操作简单。
C# 隐藏文件
diexibao5191的博客
01-08 289
    void SerializeXmlNodes(XmlSerializer serialize, string filePath, List<XmlNode> nodes) { using (FileStream fs = new FileStream(filePath, FileMode.Create, FileAcc...
C# 文件操作(全部) 追加、拷贝、删除、移动文件、创建目录
tigerhhzz的博客
08-07 877
c#追加文件     StreamWriter sw = File.AppendText(Server.MapPath(".")+"\myText.txt");     sw.WriteLine(“追逐理想”);     sw.WriteLine(“kzlll”);     sw.WriteLine(".NET笔记");     sw.Flush();     sw.Close(); C#拷贝文件...
安全开发系列-C#-程序内嵌资源文件及释放运行
Lsec的博客
03-16 1401
在编写钓鱼木马的过程中,很多时候我们要考虑到在受攻击方点击我们“精心”为其准备的exe后,能看到我们与其约定要看的东西,麻痹受攻击方使其不会产生怀疑。 开始之前 新建一个C#控制台应用项目 准备好一份简历(这里出于演示目的使用文本文件) 内嵌资源及其配置 选中项目名称右击->添加->现有项 在弹出的窗口里如果看不到你准备的文件,将文件类型选成所有文件,然后选择你准备好内嵌的文件 重点注意:这里内嵌的文件起什么名好,让人看起来就像一封简历,而不是jl.txt这种一看就很随意的.
寄生参数相关文件(itf, ict, tluplus, capTable, nxtgrd, qrcTechFile
面朝大海
05-31 1万+
为了减少RC抽取过程中的计算量,节省RC抽取的时间,我们一般不直接使用这种文件而是先将其转换成查找表文件(TLU+以及capTable)。为了提高RC提取的精度,我们会使用更加精确的RC提取引擎或者RC提取工具(如StarRC),它们的输入是nxtgrd/qrcTechfile文件。同样,它们也可以由itf和ict文件转换而成,用的命令分别是Techgen和grdgenxo。其原理与captable相同,但对导线的3D建模更加精确,并且会考虑更多的工艺效应,所以其电阻电容值也更加精确。
教你两招巧妙隐藏需保密文件
pconline_china的专栏
10-10 483
  硬盘中总有一些文件并不想随意让其他人查看,使用一些专业的加密类工具软件当然可以实现隐藏文件的效果,但这必须要安装上第三方加密工具,好像有点小题大做。其实,利用好WinXP系统自身的功能,我们就能赤手空拳隐藏文件。   第一招:命令法   Step1:按“Win+R”组合键打开“运行”对话框,输入“cmd”打开命令提示符窗口。然后输入“md g:/jm../”并按回车键,在G盘(根据你的实际情况
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值