C++博客-学习、成长之路-随笔分类-OTHER

C++博客-学习、成长之路-随笔分类-OTHERhttp://www.cppblog.com/sToa/category/11489.htmlzh-cnThu, 28 Jan 2010 14:31:29 GMTThu, 28 Jan 2010 14:31:29 GMT60一个不太通用的PE感染方法 http://www.cppblog.com/sToa/archive/2010/01/27/106524.htmlsToasToaWed, 27 Jan 2010 05:38:00 GMThttp://www.cppblog.com/sToa/archive/2010/01/27/106524.htmlhttp://www.cppblog.com/sToa/comments/106524.htmlhttp://www.cppblog.com/sToa/archive/2010/01/27/106524.html#Feedback2http://www.cppblog.com/sToa/comments/commentRss/106524.htmlhttp://www.cppblog.com/sToa/services/trackbacks/106524.html修改入口点代码为病毒体代码,病毒体代码在运行后修复原入口点代码并执行.

感染过程:
1.备份原PE文件入口点代码(病毒体大小)到文件尾部
2.用病毒体代码覆盖入口代码

执行过程:
1.执行用户自定义代码
2.复制修复代码到动态申请的内存中
3.执行修复代码修复原入口
4.跳转到原入口运行

问题:
1.感染有重定位表的PE文件时,病毒代码可能被系统PE加载器修改
2.入口点到入口点所在节尾部大小小于病毒体大小时,文件会损坏
3.感染upx壳压缩过的文件会出错

代码请使用VC6 Release方式编译．．

注：本文中的代码有一定的破坏性，请勿用于非法用途，否则一切后果自负

/Files/sToa/TestPEInject.rar

sToa 2010-01-27 13:38 发表评论

]]>