首页
论坛
课程
招聘
雪    币: 280
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝

[原创]一个不太通用的PE感染方法

2010-1-27 13:01 4101

[原创]一个不太通用的PE感染方法

2010-1-27 13:01
4101
原理:
修改入口点代码为病毒体代码,病毒体代码在运行后修复原入口点代码并执行.

感染过程:
1.备份原PE文件入口点代码(病毒体大小)到文件尾部
2.用病毒体代码覆盖入口代码

执行过程:
1.执行用户自定义代码
2.复制修复代码到动态申请的内存中
3.执行修复代码修复原入口
4.跳转到原入口运行

问题:
1.感染有重定位表的PE文件时,病毒代码可能被系统PE加载器修改
2.入口点到入口点所在节尾部大小小于病毒体大小时,文件会损坏
3.感染upx壳压缩过的文件会出错

代码请使用VC6 Release方式编译..

注:本文中的代码有一定的破坏性,请勿用于非法用途,否则一切后果自负

[公告]看雪论坛2020激励机制上线了!多多参与讨论可以获得积分快速升级?

上传的附件:
最新回复 (4)
雪    币: 97
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
justFWD 活跃值 2010-1-27 15:03
2
0
不明白为什么要这样搞,跟其它方法比有优点么?
雪    币: 280
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
shizhen 活跃值 2010-1-27 15:30
3
0
由于我水平有限,这种实现方式对于我来说相对简单一些,从另一方面考虑,这种感染方式杀软应该盯的不紧 呵呵
雪    币: 284
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jerrynpc 活跃值 2010-1-28 09:42
4
0
顶了
雪    币: 266
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
雪妖 活跃值 2010-1-28 17:49
5
0
貌似... ...
游客
登录 | 注册 方可回帖
返回