感染PE文件的几种讨论 下载本文

内容发布更新时间 : 2024/12/28 12:11:06星期一 下面是文章的全部内容请认真阅读。

感染PE文件的几种讨论

DBinary

PE文件在这里你可以简单而不怎么准确地理解为

windows上的DLL,EXE,COM…后缀的那些可执行文件,即使没有黑框眼镜的加成,如何感染PE文件,对于混迹在Bin或者是逆向分析界的猴子们也是身经百战见得多了。虽然本人并不是二进制安全方面的老司机,不过没见过猪跑,总也吃过猪肉,所以下面的几个章节中,我将讨论下感染PE文件的几种姿势,当然,本文行文的最终目的并不是教会你如何制作病毒程序来感染其他的文件,而是作为一个科普向的讨论,告诉相关的一些套路。如果你对这方面非常感兴趣,你可能需要更深入的了解PE格式,《Windows PE 权威指南》,《加密与解密》都是干货满满的好书。当然我们也可以不做的那么复杂,实际上感染一个PE文件有非常多简单的手法,那么其它话不多说,就让我们实际开始吧。

一.囫囵吞枣

在06年那个杀毒软件单纯到还能被任务管理器干掉的年代,熊猫烧香也算是天朝知名了,但在这个章节我们并不讨论熊猫烧香的危害性与功能性,而是以熊猫烧香做例子来说

一个简单而且通用性非常高的一种PE文件感染手法。 这种手法非常非常的简单,打个比方就是熊猫烧香病毒想要感染一个文件,首先是把这个文件整个“吃下去”,然后替换这个文件,这样在你下次想要执行这个文件的时候,实际上执行的是个熊猫烧香的病毒,然后熊猫烧香再把源程序给吐出来再执行源程序。 用图来表示大概是这样的 1.源程序

2.熊猫烧香

3.感染后的源文件

实际上最终感染后的文件就是源程序和熊猫烧香简单的结合体,“吃下”源程序,可以是直接把这个源程序附加到熊猫烧香的文件尾部或者是作为资源加到熊猫烧香中。当然这种不加修饰不加篇幅的暴力感染,因为PE头资源节指向的仍然是熊猫烧香病毒的资源节,最终感染后的文件图标仍然是熊猫烧香的,所以也就是为什么被感染文件图标会变成一只熊猫的原因之一。

那么最终感染方式的优劣如何?

优点:具有非常高的通用性,不管源程序怎么变花样都能感染,而且释放出来后不会改变源程序本身,避免了很多直接修改容易导致的问题,而且实现非常简单。即使是对PE格式没任何研究的新手也能够实现

缺点:首先感染后图标就告诉别人这个文件被感染啦,有本事你再拷贝到另一台电脑上运行,还有假如这个文件是带