21,459
社区成员
发帖
与我相关
我的任务
分享PE文件的病毒传染是怎么做的?研究一下
看了PE文件的格式,知道是改入口点,然后加一个section,但是,sectiontable怎么办呢?会变化啊,插入一个表项的话,后面的数据不是都
要移动了么?文件啊,那可太慢了吧。
小弟刚看的PE文件格式,实在好菜。
要移动了么?文件啊,那可太慢了吧。
小弟刚看的PE文件格式,实在好菜。
...全文
请发表友善的回复…
发表回复
yeats225 2001-08-21
- 打赏
- 举报
在罗云彬的论坛上找到的回贴:
文件型病毒主要是驻留在内存中的。它截获并修改INT 21H号中断,使之指向自己的程序地址,再将源21H号中断改为保留中断号,比如INT 78H。一旦有打开文件[3DH]或加载可执行文件[4BH]功能调用时,就判断该文件的扩展名是否.EXE或.COM,如果不是,就调用INT 78H(也就是原INT 21H号中断),如果是,就先用INT 78H的3DH号功能将文件打开,再找出文件的第一句跳转指令,同时找出文件中的数据段,也就是一大片"00 00 00 00 00 00 00 00"的地方,将自己的程序从内存中写入对方的数据段中[如果文件没有数据段,就将病毒代码加在文件后面,使文件长度增加;如果写入代码段,则文件感染病毒后 长度不增加 ].其中还要"智能"得修改病毒程序中的一些重要数据,如内存驻留部分的段地址和偏移量等.将第一条跳转指令跳转至病毒程序,病毒程序首先检查INT 78H号中断向量是否指向原INT 21H中断地址,如果是则已经驻留过内存,不需再驻留;如果不是则驻留内存并修改INT 21H中断向量.然后再跳转回原来第一条跳转指令跳转的地方执行该文件.驻留在内存中的病毒再将每一个DOS打开或加载的可执行文件中加入自己病毒程序的副本,这样每一个可执行文件就可以反复地将病毒传播下去了…………
由于病毒的破坏部分代码比较简单,这里就不赘述了,但有一点:内存中必须驻留病毒的全部代码,否则被病毒感染过的文件运行时只会死机…………
文件型病毒主要是驻留在内存中的。它截获并修改INT 21H号中断,使之指向自己的程序地址,再将源21H号中断改为保留中断号,比如INT 78H。一旦有打开文件[3DH]或加载可执行文件[4BH]功能调用时,就判断该文件的扩展名是否.EXE或.COM,如果不是,就调用INT 78H(也就是原INT 21H号中断),如果是,就先用INT 78H的3DH号功能将文件打开,再找出文件的第一句跳转指令,同时找出文件中的数据段,也就是一大片"00 00 00 00 00 00 00 00"的地方,将自己的程序从内存中写入对方的数据段中[如果文件没有数据段,就将病毒代码加在文件后面,使文件长度增加;如果写入代码段,则文件感染病毒后 长度不增加 ].其中还要"智能"得修改病毒程序中的一些重要数据,如内存驻留部分的段地址和偏移量等.将第一条跳转指令跳转至病毒程序,病毒程序首先检查INT 78H号中断向量是否指向原INT 21H中断地址,如果是则已经驻留过内存,不需再驻留;如果不是则驻留内存并修改INT 21H中断向量.然后再跳转回原来第一条跳转指令跳转的地方执行该文件.驻留在内存中的病毒再将每一个DOS打开或加载的可执行文件中加入自己病毒程序的副本,这样每一个可执行文件就可以反复地将病毒传播下去了…………
由于病毒的破坏部分代码比较简单,这里就不赘述了,但有一点:内存中必须驻留病毒的全部代码,否则被病毒感染过的文件运行时只会死机…………
vBin 2001-08-21
- 打赏
- 举报
病毒最基本的思路都是这样的。
一般当文件头不满时,再建一个关于病毒代码的新节(section)
再将病毒代码写入文件后(高级点,就插到前面有空隙的地方)
然后将入口地址改为病毒的RVA
在病毒代码中再来个JMP,搞定。
一般当文件头不满时,再建一个关于病毒代码的新节(section)
再将病毒代码写入文件后(高级点,就插到前面有空隙的地方)
然后将入口地址改为病毒的RVA
在病毒代码中再来个JMP,搞定。
jimgreen 2001-08-21
- 打赏
- 举报
good
brider 2001-08-20
- 打赏
- 举报
可以。
ecore 2001-08-20
- 打赏
- 举报
呵呵,小弟实在是菜,我也看到了,SectionTable完了后一般才1K,这样前面还有3K剩下.
那么是不是这样的:
把原入口点的地址保存到这3K某个地方,再
把入口点改到SectionTable后(这可以么?),然后做事情.
然后,jmp 保存的那个地址.
那么是不是这样的:
把原入口点的地址保存到这3K某个地方,再
把入口点改到SectionTable后(这可以么?),然后做事情.
然后,jmp 保存的那个地址.
netter_bj 2001-08-16
- 打赏
- 举报
gz
netter_bj 2001-08-15
- 打赏
- 举报
gz
vBin 2001-08-15
- 打赏
- 举报
最通用的方法就像
brider()兄说的,将代码放在文件后面
这是病毒常用的方法。比较简单的。
brider()兄说的,将代码放在文件后面
这是病毒常用的方法。比较简单的。
vBin 2001-08-15
- 打赏
- 举报
PE文件的那些节并不肯定是满满的。
这跟对齐有关。
可以将病毒代码写入这些节中,然后
程序执行时,再读出来。
好像CIH,就是这样做的。
这就是为什么被他感染后,文件大小不变的道理。
有些EXE文件,CIH不感染他们。
80%那是因为,在这些EXE文件中,节中所剩的空间太小
无法存入病毒代码。因此就放过他们啦
病毒运行时,只要从这些节中将病毒代码读出然后执行。
受害人就只有哭的份啦!
这跟对齐有关。
可以将病毒代码写入这些节中,然后
程序执行时,再读出来。
好像CIH,就是这样做的。
这就是为什么被他感染后,文件大小不变的道理。
有些EXE文件,CIH不感染他们。
80%那是因为,在这些EXE文件中,节中所剩的空间太小
无法存入病毒代码。因此就放过他们啦
病毒运行时,只要从这些节中将病毒代码读出然后执行。
受害人就只有哭的份啦!
brider 2001-08-15
- 打赏
- 举报
SectionTable一般都够空间的。要不,CIH怎么感染。
代码你可以放到最后嘛。不用移动文件数据。
不要学mincer哟,小心公安局把你抓起来。
代码你可以放到最后嘛。不用移动文件数据。
不要学mincer哟,小心公安局把你抓起来。
cold_blood 2001-08-15
- 打赏
- 举报
不怀好意?
