社区
汇编语言
帖子详情
PE文件的病毒传染是怎么做的?研究一下
ecore
2001-08-15 10:36:02
看了PE文件的格式,知道是改入口点,然后加一个section,但是,sectiontable怎么办呢?会变化啊,插入一个表项的话,后面的数据不是都
要移动了么?文件啊,那可太慢了吧。
小弟刚看的PE文件格式,实在好菜。
...全文
357
11
打赏
收藏
PE文件的病毒传染是怎么做的?研究一下
看了PE文件的格式,知道是改入口点,然后加一个section,但是,sectiontable怎么办呢?会变化啊,插入一个表项的话,后面的数据不是都 要移动了么?文件啊,那可太慢了吧。 小弟刚看的PE文件格式,实在好菜。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
11 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
yeats225
2001-08-21
打赏
举报
回复
在罗云彬的论坛上找到的回贴:
文件型病毒主要是驻留在内存中的。它截获并修改INT 21H号中断,使之指向自己的程序地址,再将源21H号中断改为保留中断号,比如INT 78H。一旦有打开文件[3DH]或加载可执行文件[4BH]功能调用时,就判断该文件的扩展名是否.EXE或.COM,如果不是,就调用INT 78H(也就是原INT 21H号中断),如果是,就先用INT 78H的3DH号功能将文件打开,再找出文件的第一句跳转指令,同时找出文件中的数据段,也就是一大片"00 00 00 00 00 00 00 00"的地方,将自己的程序从内存中写入对方的数据段中[如果文件没有数据段,就将病毒代码加在文件后面,使文件长度增加;如果写入代码段,则文件感染病毒后 长度不增加 ].其中还要"智能"得修改病毒程序中的一些重要数据,如内存驻留部分的段地址和偏移量等.将第一条跳转指令跳转至病毒程序,病毒程序首先检查INT 78H号中断向量是否指向原INT 21H中断地址,如果是则已经驻留过内存,不需再驻留;如果不是则驻留内存并修改INT 21H中断向量.然后再跳转回原来第一条跳转指令跳转的地方执行该文件.驻留在内存中的病毒再将每一个DOS打开或加载的可执行文件中加入自己病毒程序的副本,这样每一个可执行文件就可以反复地将病毒传播下去了…………
由于病毒的破坏部分代码比较简单,这里就不赘述了,但有一点:内存中必须驻留病毒的全部代码,否则被病毒感染过的文件运行时只会死机…………
vBin
2001-08-21
打赏
举报
回复
病毒最基本的思路都是这样的。
一般当文件头不满时,再建一个关于病毒代码的新节(section)
再将病毒代码写入文件后(高级点,就插到前面有空隙的地方)
然后将入口地址改为病毒的RVA
在病毒代码中再来个JMP,搞定。
jimgreen
2001-08-21
打赏
举报
回复
good
brider
2001-08-20
打赏
举报
回复
可以。
ecore
2001-08-20
打赏
举报
回复
呵呵,小弟实在是菜,我也看到了,SectionTable完了后一般才1K,这样前面还有3K剩下.
那么是不是这样的:
把原入口点的地址保存到这3K某个地方,再
把入口点改到SectionTable后(这可以么?),然后做事情.
然后,jmp 保存的那个地址.
netter_bj
2001-08-16
打赏
举报
回复
gz
netter_bj
2001-08-15
打赏
举报
回复
gz
vBin
2001-08-15
打赏
举报
回复
最通用的方法就像
brider()兄说的,将代码放在文件后面
这是病毒常用的方法。比较简单的。
vBin
2001-08-15
打赏
举报
回复
PE文件的那些节并不肯定是满满的。
这跟对齐有关。
可以将病毒代码写入这些节中,然后
程序执行时,再读出来。
好像CIH,就是这样做的。
这就是为什么被他感染后,文件大小不变的道理。
有些EXE文件,CIH不感染他们。
80%那是因为,在这些EXE文件中,节中所剩的空间太小
无法存入病毒代码。因此就放过他们啦
病毒运行时,只要从这些节中将病毒代码读出然后执行。
受害人就只有哭的份啦!
brider
2001-08-15
打赏
举报
回复
SectionTable一般都够空间的。要不,CIH怎么感染。
代码你可以放到最后嘛。不用移动文件数据。
不要学mincer哟,小心公安局把你抓起来。
cold_blood
2001-08-15
打赏
举报
回复
不怀好意?
《网络安全与管理(第二版)》-网络安全试题3.doc
网络安全试题三 一.判断题(每题1分,共25分) 1. 在网络建设初期可以不考虑自然和人为灾害。 2. 计算机
病毒
具有破坏性和
传染
性。 3. 确认数据是由合法实体发出的是一种抗抵赖性的形式。 4. EDS和IDEA是非对称密钥技术。 5. 在非对称密钥密码体制中,发信方与收信方使用相同的密钥。 6. 数据加密只能采用软件方式加密。 7. 数字签名与传统的手写签名是一样的。 8. 识别数据是否被篡改是通过数据完整性来检验的。 9. PGP是基于RSA算法和IDEA算法的。 10. 在PGP信任网中用户之间的信任关系不是无限制的。 11. 在Internet 中,每一台主机都有一个唯一的地址,但IP地址不是唯一的。 12. 通过设置防火墙和对路由器的安全配置无法限制用户的访问资源范围。 13. 系统管理员可以使用防火墙对主机和网络的活动、状态进行全面的了解和监视。 14. 网络服务对系统的安全没有影响,因此可以随意的增加网络服务。 15. 在系统中,不同的用户可以使用同一个帐户和口令,不会到系统安全有影响。 16. 在Windows NT操作系统中,用户不能定义自已拥有资源的访问权限。 17. 在Windows NT操作系统中,
文件
系统的安全性能可以通过控制用户的访问权限来实现。 18. 在NetWare操作系统中,访问权限可以继承。 19. 口令机制是一种简单的身份认证方法。 20. 用户身份认证和访问控制可以保障数据库中数据完整、保密及可用性。 21. 数据原发鉴别服务对数据单元的重复或篡改提供保护。 22. 防火墙是万能的,可以用来解决各种安全问题。 23. 在防火墙产品中,不可能应用多种防火墙技术。 24. 入侵检测系统可以收集网络信息对数据进行完整性分析,从而发现可疑的攻击特征。 25. 依靠网络与信息安全技术就可以保障网络安全,而不需要安全管理制度。 二.单项选择题(每题1分,共25分) 1. 按TCSEC安全级别的划分,D级安全具有的保护功能有: A 对硬件有某种程度的保护措施 B 是操作系统不易收到损害 C 具有系统和数据访问限制 D 需要帐户才能进入系统 E 以上都不是 2. 网络与信息安全的主要目的是为了保证信息的: A. 完整性、保密性和可用性 B. 完整性、可用性和安全性 C. 完整性、安全性和保密性 D. ? 可用性、传播性和整体性 3. "DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密 码的长度?" A 56位 B 64位 C 112位 D 128位 4. 下列哪种完整性控制方法使用单向散列函数计算信息的"摘要",连同信息发送给接收方 ,接收方重新计算"摘要",并进行比较验证信息在传输过程中的完整性。 A 校验和 B 加密校验和 C 消息完整性编码MIC 5. 在非对称密钥密码体制中,加、解密双方的密钥: A. 双方各自拥有不同的密钥 B. 双方的密钥可相同也可不同 C. 双方拥有相同的密钥 D. 双方的密钥可随意改变 6. 为使加、解密只在源、目的节点进行,采用以下哪种加密方式: A. 链路加密方式 B. 端对端加密方式 C. 会话层加密 D. 节点加密方式 7. Kerberos协议是用来作为: A. 传送数据的方法 B. 加密数据的方法 C. 身份鉴别的方法 D. 访问控制的方法 8. 一个IP数据包的包头由20字节的固定部分和变长的可选项组成,可选项中的哪一项限制 了数据包通过中间主机的数目? A 服务类型 B 生存期 C 协议类型 D 包长 9. 在Internet应用程序中,通常使用某种机制来与不同层次的安全协议打交道,Netsca
pe
公司遵循这个思路,制定了安全套接层协议SSL。这是哪一种安全机制? A Pi
pe
B Memory Pi
pe
C IPC D TCP 10. 在IP层实现安全性的主要优点是: A 对属于不同服务的数据包提供不同的安全性 B 提供基于进程对进程的安全服务 C 不用修改传输层IPC界面 D 安全服务的提供不要求应用层
做
任何改变 11. 要通过对路由器设备的配置,使得只能由某个指定IP地址的网管工作站才能对路由器 进行网络管理,这必须用到哪个协议来实现? A NCP B SNMP C SMTP D ARP 12. 黑客利用IP地址进行攻击的方法有: A. IP欺骗 B. 解密 C. 窃取口令 D. 发送
病毒
13. 以下哪些是网络检测和分析工具: A. SATAN B. Snoop C. Firewall-2 D. NETXRay 14. 系统级物理安全是指用以保护计算机硬件和存储介质的装置和工作程序,防止各种偷 窃及破坏活动的发生,除了要搞好防火、防水、防盗之外,还应当经常
做
哪些工作? A 网络线
憨憨也能写出
PE
病毒
导语 这是我软件安全作业,希望对想要学习
PE
病毒
编写的同学们有所帮助。 目标 编写一个
PE
文件
传染
程序infect.exe,功能要求如下: infect.exe运行后,向同目录下的notepad.exe程序植入“
病毒
载荷”代码. infect.exe不能重复
传染
notepad.exe. notepad.exe被植入“
病毒
载荷”后,具备如下行为:一旦执行,就会向其所在目录写入一个txt
文件
,
文件
名为:学号-姓名.txt,
文件
内容为空。注意:这里的姓名和学号要改为同学自己的名字和学号。 基本思路 infe
智子实战:看Sophon KG如何追寻新冠
病毒
轨迹
对存在潜伏期的新冠肺炎,快速分析其
传染
关系及接触关系,积极采取隔离、观察和治疗措施是非常有利的防控疫情的科学防控依据。本次分享,我们一起来看Sophon KG如何追寻新冠
病毒
轨迹,运用AI技术、工具建立相关知识图谱,通过确诊案例的亲属、同事和朋友的关系网找出密切接触者进行及时隔离,同时刻画出确诊案例的活动轨迹,找到其关系网之外的密切接触者及
病毒
可能的“行凶环境”。
python
病毒
攻击代码_用python写的简单
病毒
(无害) -
(二)
文件
型
病毒
文件
型
病毒
主要是感染可执行
文件
(
PE
文件
)的
病毒
,如EXE,COM。
病毒
对宿主
文件
进行修改,把自身代码添加到宿主
文件
上。执行宿主程序时,将会先执行
病毒
程序再执行宿主程序1.感染COM
文件
:对于COM
文件
,系统加载时在经过一系列处理之后将全部
文件
读入内存,并把控制权交给该
文件
的第一条指令。如果该指令恰为
病毒
指令则
病毒
就会获得控制权。COM后缀带毒
文件
有两种结构:?
病毒
主体在原
文件
之...
Win32
PE
病毒
原理分析
by guoj
pe
ng/CVC.GB 在绝大多数
病毒
爱好者眼中,真正的
病毒
技术在Win32
PE
病毒
中才会得到真正的体现(令
病毒
极度疯狂的DOS时代已经过去)。并且要掌握
病毒
技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。 Win32
病毒
同时也是所有
病毒
中数量极多,破坏性极大,技巧性最强的一类
病毒
。譬如FunLove、中国黑客等
病毒
都是属
汇编语言
21,459
社区成员
41,601
社区内容
发帖
与我相关
我的任务
汇编语言
汇编语言(Assembly Language)是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言,亦称为符号语言。
复制链接
扫一扫
分享
社区描述
汇编语言(Assembly Language)是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言,亦称为符号语言。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章