PE文件感染杂谈
来源:互联网 发布:淘宝里的优惠券怎么用 编辑:程序博客网 时间:2024/04/29 00:23
PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。
导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先执行自己写的dll,执行完后,再跳转到原代码人口处执行。
导入地址感染。这个相对简单些,在PE文件头部分,IMAGE_OPTION_HEADER中有个ImportAddress目录,这个目录中只是一些jmp指令,我们可以修改jmp指令跳转的地址,使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码,PE文件在硬盘上默认200H字节对齐,一般存有空隙,如果代码量小,不用增加新节就可以插入代码。
修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。
修改快捷方式文件。如果PE文件存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己写的程序,自写程序启动后,再执行真正的PE文件。这种做法比较猥琐,而且不可靠。
导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先执行自己写的dll,执行完后,再跳转到原代码人口处执行。
导入地址感染。这个相对简单些,在PE文件头部分,IMAGE_OPTION_HEADER中有个ImportAddress目录,这个目录中只是一些jmp指令,我们可以修改jmp指令跳转的地址,使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码,PE文件在硬盘上默认200H字节对齐,一般存有空隙,如果代码量小,不用增加新节就可以插入代码。
修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。
修改快捷方式文件。如果PE文件存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己写的程序,自写程序启动后,再执行真正的PE文件。这种做法比较猥琐,而且不可靠。
- PE文件感染杂谈
- 感染PE文件源码
- PE文件感染术
- 浅析PE文件感染
- PE文件感染
- 简单感染PE文件
- 简单感染PE文件
- PE感染
- 感染PE文件的一个简单实例
- 感染PE文件的一个简单实例
- delphi 简单PE文件感染源码!
- PE文件的感染C++源代码
- PE文件感染和内存驻留
- 通过添加新的节来感染PE文件
- DLL系列------编程实现感染PE文件加载DLL
- PE感染者
- PE感染学习
- PE型感染病毒 —— 遍历磁盘PE文件 (2)
- 脚本实现自动检测到多台主机的网络连通性
- [学习笔记]字符集编码
- 使用 NIM 跨网段安装 AIX
- 揭开李嘉诚旗下和黄借首旅的内幕
- 揭穿地产开发商所聘“砖”家的七种常用骗术
- PE文件感染杂谈
- 李嘉诚能否再续神话?“长科版”上市内幕
- C#利用Web Service实现短信发送
- 李嘉诚:下一张牌瞄准青岛
- 李嘉诚再拆长江实业
- 李嘉诚的住宅
- 我得Flex群:54200135 欢迎光临!
- 银行业半年数据喜忧参半
- 存储过程分页