-
-
[旧帖]
[原创]我对PE文件感染的看法
0.00雪花
-
2007-12-8 10:01
2885
-
[旧帖] [原创]我对PE文件感染的看法
0.00雪花
首先我声明:这是用来学习用的,至于病毒,我觉得离我还有一段距离,而且我的思路如果能应用在病毒上面的话,我估计连我儿子都知道是病毒了,因为它不符合病毒的特征,短小,精悍,有攻击力。
好了,我说说的几个思路吧:
1.通过添加一个可执行的新节,然后搜索Kernel32.dll,得到 GetProcAddress,然后得到LibraryA,然后加载User32.dll等等,这些都是网络上面说的比较多的了,我就不多说了,
但是这样做有一个问题,就是如果目标.exe在它的引入表里面没有user32.dll的话,还需要修改目标.exe的引入表。而修改引入表的方法,对于我来说,比较简单的方法,就是添加一个新节,这样一来的话,就是要添加2个新节。当然也可以只用一个,就是如果你的ShellCode小的话,两个节可以合并在一个节里面。
2.只需要修改目标.exe的引入表,然后在目标.exe的目录中生成一个dll文件,在dll文件的DllMain函数里面,添加一个MessageBoxA的信息就可以了。
这是我仅有的2种思路,不知道大家还有没有更好的思路?谢谢。
希望能指出其中的错误,并添加新的方法。本人不胜感激。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工
作,每周日13:00-18:00直播授课
