关于PE病毒编写的学习(十一)——空隙覆盖病毒的实现方法

最新推荐文章于 2026-05-10 05:40:10 发布
原创 最新推荐文章于 2026-05-10 05:40:10 发布 · 2.1k 阅读 · 4
标签
#initialization #引擎 #汇编 #struct #table
#file
本文介绍了如何实现空隙覆盖病毒,这种病毒将代码分散注入PE文件的空隙中,通过病毒描述表来管理和运行。文章详细阐述了病毒分割描述表的结构,并提出了两种病毒运行方案:物理连接和逻辑连接。物理连接涉及创建初始化引擎和地址转换引擎,以确保病毒代码的执行。

这类病毒名字很多,选这个名字主要是它比较形象说明其感染方式,即将病毒代码分成多份,分别注入到程序各节由于对齐产生的空白中。

 

1.核心——病毒描述表

  将病毒代码分割成多份,分别注入到未知地址的区域内,却能完整运行。这看似神奇,其实实现方法却很简单———建立病毒分割描述表

 

病毒分割描述表举例(汇编):

 

Virus_Distribution struct;病毒片段描述符

   Code_Base     dword  0;该病毒片段的起始地址
   Code_Length  dword  0;该病毒片段的长度
Virus_Distribution ends

 

Distribution_Number=0AH  

  Virus_Distribution<401000h,VirusSize> ;病毒本身第一次编译时,必然和一般程序一样EOP默认是401000h,

                                                             &

最低0.47元/天 解锁文章
PE文件打补我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁.
11-07
PE文件打补,我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁. 做法是在空隙中插入我们的补丁代码. 下面我通过实例来教大家给win97的notepad.exe(记事本)程序来打个补 丁,使得notepad.exe运行时先运行我的pach.exe程序,
PE病毒学习资料包
06-08
PE型感染病毒 —— VC源码 PE型感染病毒 —— 遍历磁盘PE文件 (2) PE型感染病毒 —— 遍历磁盘驱动器 (1) PE型感染病毒 —— 增加节点修改PE入口 (3) Win32平台下的PE文件病毒的研究及实现。rar 关于PE病毒编写学习 关于PE病毒编写学习()——定位API的N种方法 关于PE病毒编写学习()——关于PE文件结构操作的程序编写 关于PE病毒编写学习()——重定位的谬误和它的正确写法 关于PE病毒编写学习() 关于PE病毒编写学习()——关于历遍磁盘的讨论 关于PE病毒编写学习()——病毒如何做标记和记录信息 关于PE病毒编写学习
PE文件间隙中加入自己的代码-全程步骤
NewUserBusyCat的专栏
04-21 2102
PE文件的间隙:PE文件在磁盘上存放时其各个节是按页的倍数对齐的(磁盘一页为200h,内存一页为1000h),当一个节不是页的整倍数时其尾部用0填充,这就是PE的间隙。本示例是在.text节加入了可执行代码,在.idata节加入了外部引用函数,在.reloc节加入了重定位地址。本示例MyPE.exe是用VS2008自动生成的SingleWindow样式的程序。为方便理解,附上部分源码:LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wPara
PE 文件型病毒编写实验(一)
jmhIcoding
11-09 1万+
这个学期终于圆了当年来读渣电的网络安全专业的一个梦:PE病毒编写。想起了高中那会儿熬夜看看雪论坛瞎搞什么软件破解,可是搞到后面很多东西不理解做的不深入,所以就先一本心思的考上渣电,然后再来深入的学习一下PE的相关。后面 渣电是考上啦,网络安全专业也考上啦,可是大一到大三虽然偶然零零星星地看了一些PE相关的东西,却一直没有集中化的时间来研究PE,因为总是有其它项目找上自己。这个学期刚好有计算机病毒这门
PE文件病毒实验(二)——实验报告
热门推荐
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
学习笔记:病毒感染PE文件的基本方法
编程爱好者
03-13 6104
2007-06-27 02:40 PE病毒常见的感染其它文件的方法是在文件中添加一个新节,然后往该节中添加病毒代码和病毒执行后返回HOST程序的代码,并修改文件头中代码开始执行位置(Address Of EntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面具体分析一下感染文件
从编程角度揭示病毒感染原理--之乾坤大挪移(PE病毒文件感染原理)
yunyu5120的专栏
12-25 5880
<br />从编程角度揭示病毒感染原理<br />                                                           --之乾坤大挪移(PE病毒文件感染原理)<br />                            作者
关于PE病毒编写学习(10)——空隙覆盖病毒实现方法
bobopeng
07-20 642
这类病毒名字很多,选这个名字主要是它比较形象说明其感染方式,即将病毒代码分成多份,分别注入到程序各节由于对齐产生的空白中。   1.核心——病毒描述表   将病毒代码分割成多份,分别注入到未知地址的区域内,却能完整运行。这看似神奇,其实实现方法却很简单———建立病毒分割描述表   病毒分割描述表举例(汇编):   Virus_Distribution struct;病毒片段描述符
从原理到实战:手把手解析PE病毒的自定位与API劫持技术
最新发布
weixin_30627341的博客
05-10 442
本文深入解析PE病毒的自定位与API劫持技术,从PE文件结构入手,详细介绍了病毒如何通过自定位和动态解析API实现寄生传播。文章包含实战案例和代码示例,帮助读者理解病毒的核心技术及防御方法,特别适合安全研究人员和逆向工程师参考。
"莫国防"病毒(win32.mgf)源代码
menuconfig的专栏
10-16 1416
; 警告:本程序仅供各位学习研究,不许更改本程序成病毒新变种,更不允许添加破坏性代码,各位切记! ;写毒目的:;1,崇拜陈盈豪,欲与CIH一比高低;;2,传播技术,提高国人的水平(如果你把源程序读懂,并跟踪一遍病毒,你的技术会大大提高);;3,让世界知道中国还是有人的;;相关技术:;1,进入RING0:在WIN98用和CIH一样的技术,直接往GDT添加CALLGATE;在WIN 2000/
从防御视角拆解PE病毒:如何构建一个简易的免疫系统
gaochao的博客
02-07 176
本文深入分析了PE病毒的感染机制,包括节表注入、入口点劫持等技术,并提出了构建轻量级免疫系统的防御方案。通过静态特征检测、动态行为监控和启发式规则引擎的多层防护,有效识别和阻断PE病毒攻击,提升Windows平台的安全防护能力。
学习日记——(计算机病毒PE文件病毒
weixin_54055099的博客
11-22 6759
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件中 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒的感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
PE文件感染程序设计(PE病毒
Zyecho的博客
01-11 4948
记录PE病毒设计的入门实验
Win32 PE病毒原理分析
liwei8703的专栏
12-07 4079
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
菜鸟的病毒分析6搜寻节空间感染pe
abcd8080的博客
07-03 236
win32 搜寻节间隙感染pe文件经过上次那个变形pe病毒的洗礼,分析这个终于不那么蛋疼了病毒行为:感染目录下的txt.exe文件 在原程序运行前运行病毒代码 弹出被感染对话框 继续感染其他病毒流程:搜索api 打开文件 内存映射 搜索每一个节 查看节剩余空间能否插入病毒 如果能 更改相关属性 添加病毒 写文件 关闭文件 完成.text:00401000 ;.text:00401000...
搜寻节空隙感染学习笔记
ProgrammingRing的专栏
11-08 1269
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题 上面代码中include了VirusLib.asm文件,里面包含了一些病毒中常用函数: ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; 测试是否是P
PE扩展节方式感染
weixin_33989058的博客
11-14 232
原理是:修改最后一个节并给最后一个节增加长度,然后在增加的区域中间写入代码,本方法的好处是相对前面一种方法可以写入更多的代码,并且拥有更好的兼容性。。 code: CodeprogramPE_Infection;{CodeBy箫竹}{$APPTYPECONSOLE}usesSysUtils,windows,classes;constDEBUG=TRUE;...
pe文件上添加执行代码
珍惜
04-20 546
PE文件上添加代码所必须的几个步骤: (1)将添加的代码写到目标PE文件中,这段代码既可以插入原代码所处的节空隙中(由于每个节保存在文件中时是按照FileAlignMenu的值对齐的,所以节的最后必然会有一引动空余的空间),也可以通过添加一个新的节来附在原文件的尾部。 (2)PE文件原来的入口指针必须保存在添加的代码中,这样,这段代码执行完毕以后可以转移到原始文件执行。 (3)PE文件中的入...
通过病毒原理较好的阐述了如何在pe中添加一个section
xuplus的专栏
04-15 2680
PE 文件的修改和感染策略  既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射文件的方式进行,这样可以避免自己管理缓冲的麻烦,因而为较
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值