学习、成长之路

  C++博客 :: 首页 :: 联系 :: 聚合  :: 管理
  16 Posts :: 0 Stories :: 27 Comments :: 0 Trackbacks

常用链接

留言簿

我参与的团队

搜索

  •  

最新评论

阅读排行榜

评论排行榜

原理:
修改入口点代码为病毒体代码,病毒体代码在运行后修复原入口点代码并执行.

感染过程:
1.备份原PE文件入口点代码(病毒体大小)到文件尾部
2.用病毒体代码覆盖入口代码

执行过程:
1.执行用户自定义代码
2.复制修复代码到动态申请的内存中
3.执行修复代码修复原入口
4.跳转到原入口运行

问题:
1.感染有重定位表的PE文件时,病毒代码可能被系统PE加载器修改
2.入口点到入口点所在节尾部大小小于病毒体大小时,文件会损坏
3.感染upx壳压缩过的文件会出错

代码请使用VC6 Release方式编译..

注:本文中的代码有一定的破坏性,请勿用于非法用途,否则一切后果自负

/Files/sToa/TestPEInject.rar
posted on 2010-01-27 13:38 sToa 阅读(1837) 评论(2)  编辑 收藏 引用 所属分类: VCOTHERCRACK

Feedback

# re: 一个不太通用的PE感染方法 2010-01-27 16:44 望见
很好,我也一直想做这个。不过好像 文件在修改PE文件之后,文件偏移量好像一点要改正确,否则,XP会直接拒绝文件。不过还是很感谢提供了该代码,我会仔细研读的。  回复  更多评论
  

# re: 一个不太通用的PE感染方法 2010-01-27 23:18 sb
这样的病毒早有了.所以最容易被检测,现在少多了  回复  更多评论
  


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理