| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 4979 人关注过本帖, 1 人收藏
标题:[分享][开源]pe病毒原理
只看楼主 加入收藏
钢燃
Rank: 1
等 级:新手上路
帖 子:80
专家分:0
注 册:2005-5-19
收藏
得分:0 
VMware下调试吗?
学习学习先

寻找同济的朋友的网络连接
2007-08-30 21:17
无理取闹
Rank: 9Rank: 9Rank: 9
等 级:贵宾
威 望:53
帖 子:4264
专家分:0
注 册:2006-7-26
收藏
得分:0 

有些目标文件不能感染 原因是由于目标文件中存在.data?段 其中的内容编译器会认为程序在开始执行后才会用到
所以在生成可执行文件得时候只保留了大小的信息 不会占用磁盘空间 有些程序的最后一段为这个段 SizeOfRawData
PointerToRawData这两个值都为0 我的程序实现原理是添加一个节将程序插入并修改pe头 因为在添加节的过程中需要增加我添加节的IMAGE_SECTION_HEADER 上面提到的这两个值是根据上一节(也就是原程序最后一节)的这两个值修改的 所以导致修改的值出错 结果导致有些被感染的文件出现不是有效的win32程序的错误

问题还没有解决 不知道有没有高手能替我解答一下


win32汇编
病毒 加密
目前兴趣所在
2007-08-31 10:34
hwbnet
Rank: 1
等 级:新手上路
威 望:2
帖 子:355
专家分:0
注 册:2004-12-9
收藏
得分:0 
请问这个重定位什么意思?call进的地址-偏移地址=?
call @F
@@:
pop ebp
sub ebp,offset @B ;重定位

胡文斌 本人论坛:http://hwbnet.bbs./
2007-09-04 11:21
无理取闹
Rank: 9Rank: 9Rank: 9
等 级:贵宾
威 望:53
帖 子:4264
专家分:0
注 册:2006-7-26
收藏
得分:0 
可以将变量在宿主程序中找到正确的位置

win32汇编
病毒 加密
目前兴趣所在
2007-09-06 17:45
爱以走远
Rank: 9Rank: 9Rank: 9
等 级:贵宾
威 望:52
帖 子:7542
专家分:21
注 册:2007-3-16
收藏
得分:0 
无理取闹好强
搞这个

   好好活着,因为我们会死很久!!!
2007-09-07 00:12
hwbnet
Rank: 1
等 级:新手上路
威 望:2
帖 子:355
专家分:0
注 册:2004-12-9
收藏
得分:0 
还是不懂。

胡文斌 本人论坛:http://hwbnet.bbs./
2007-09-07 08:57
无理取闹
Rank: 9Rank: 9Rank: 9
等 级:贵宾
威 望:53
帖 子:4264
专家分:0
注 册:2006-7-26
收藏
得分:0 

这是我在网上找的 你自己看看吧



在讲解重定位方法之前,我们有必要复习一下call指令。

call指令一般用来调用一个子程序或用来进行转跳,当这个语句执行的时候,它会先将返回地址(即紧接着call语句之后的那条语句在内存中的真正地址)压入堆栈,然后将IP置为call语句所指向的地址。当子程序碰到ret命令后,就会将堆栈顶端的地址弹出来,并将该地址存放在IP中,这样,主程序就得以继续执行。

假如病毒程序中有如下几行代码:

call delta ;这条语句执行之后,堆栈顶端为delta在内存中的真正地址

delta: pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中

……

lea eax,[ebp+(offset var1-offset delta)]

;这时eax中存放着var1在内存中的真实地址

当pop语句执行完之后,ebp中放的是什么值呢?很明显是病毒程序中标号delta处在内存中的真正地址。如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp+(offset var1-offset delta),即参考量delta在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址。有时候我们也采用(ebp-offset delta)+offset var1的形式进行变量var1的重定位。当然还有其它重定位的方法,但是它们的原理基本上都是一样的。这里不在叙述。


win32汇编
病毒 加密
目前兴趣所在
2007-09-07 10:27
hwbnet
Rank: 1
等 级:新手上路
威 望:2
帖 子:355
专家分:0
注 册:2004-12-9
收藏
得分:0 
了解,继续往下学。

胡文斌 本人论坛:http://hwbnet.bbs./
2007-09-08 10:10
jayvip
Rank: 1
等 级:新手上路
帖 子:14
专家分:0
注 册:2007-8-26
收藏
得分:0 

pe感染现在很 流行。。貌似熊猫烧香就用到了 。。嘿嘿。。 收集中。。。。


努力学习 C 语言中- QQ交流: 5659905 MSN:Ha-Ck.eR@
2007-09-12 15:20
无理取闹
Rank: 9Rank: 9Rank: 9
等 级:贵宾
威 望:53
帖 子:4264
专家分:0
注 册:2006-7-26
收藏
得分:0 
我已经解决了程序其中一些问题
可以感染应该感染的EXE文件 并跳过一些不应该感染的文件
可是源码在家没法发上来
有空一定弄上来

win32汇编
病毒 加密
目前兴趣所在
2007-09-16 20:10
快速回复:[分享][开源]pe病毒原理
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.017193 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved