产业气象站 Windows PE 病毒的一百种方法,你中过招吗?,花式感染
文章图片
作者|杨秀璋 , 责编|夕颜
出品|CSDN博客
这是一篇基础性文章 , 将介绍WindowsPE病毒 , 包括PE病毒原理、分类及感染方式详解 , 并通过案例进行介绍 。
PE病毒概念什么是PE病毒?
PE病毒是以WindowsPE程序为载体 , 能寄生于PE文件或Windows系统的病毒程序 。
PE病毒数量非常之多 , 包括早起的CIH病毒 , 全球第一个可以破坏计算机硬件的病毒 , 它会破坏主办的BIOS , 对其数据进行擦写修改 。 再比如熊猫烧香、机器狗等等 , 其危害非常之大 。
文章图片
什么叫感染?
说到病毒 , 不得不提感染 。 感染是指在尽量不影响目标程序(系统)正常功能的前提下 , 而使其具有病毒自身的功能 。 什么叫病毒自身的功能呢?一个病毒通常包括如下模块:
感染模块:被感人程序同样具备感染能力
触发模块:在特定条件下实施相应的病毒功能 , 比如日期、键盘输入等
破坏模块
其他模块
CIH病毒
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒 。 这个病毒产自TW , 原集嘉通讯公司工程师陈盈豪在其于TW大同工学院念书期间制作 。 最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播 , 随后进一步通过网络传播到全世界各个角落 。 CIH的载体是一个名为“ICQ中文Chat模块”的工具 , 并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介 , 经互联网各网站互相转载 , 使其迅速传播 。 目前传播的主要途径主要通过Internet和电子邮件 , 当然随着时间的推移 , 其传播主要仍将通过软盘或光盘途径 。
CIH病毒曾入榜全球十大计算机病毒之首 , 该病毒引起了许多重要部门的严密关注 , 其原因不言而喻 。 如果指挥、通信、政务等系统受到了CIH病毒的威胁甚至破坏 , 其后果不堪设想 。
如果我们要编写PE病毒 , 则需要掌握以下的关键:
病毒的重定位
获取API函数地址
文件搜索
内存映射文件
病毒如何感染其他文件
病毒如何返回到Host程序
PE病毒的分类以感染目标进行分类 , 包括:
(1)文件感染
将代码寄生在PE文件 , 病毒本身只是PE文件的一部分 , 依赖于感染目标 , 通常也叫HOST文件 , 控制权获得也是以目标程序运行来获得的 。 分为:
传统感染型:以Win32汇编程序编写为主
捆绑释放型:编写难度较低 , 通过高级语言均可编写 , 将目标程序和病毒程序捆在一起 , 和捆绑器有相似之处
(2)系统感染
将代码或程序寄生在Windows操作系统 , 该类病毒越来越多 , 它不感染具体文件 , 但是它会在操作系统中保存自己的实体 。 同时也可以通过系统启动的方法来获取控制权 。 传播途径包括:
即时通信软件 , 如QQ尾巴
U盘、光盘
电子邮件
网络共享
其他途径
传统文件感染型1.感染思路当我们了解PE文件格式之后 , 要了解PE文件感染型病毒就非常容易了 。 如下图所示 , 左边是一个正常的PE文件 , 右边是PE病毒感染该程序时的修改 , 可以看到病毒代码在最后面 , 通常它是一种新节的形式 。 我们知道PE文件是由多个节组成的 , 病毒代码为了融入目标程序会以节的形式 , 同时修改PE文件头 。
文章图片
对感染来说 , 它一方面需要使得对方具备自己的功能 , 另一方面也不破坏对方程序的功能 。 所以病毒代码执行完毕之后 , 它必须要将控制权交给原始程序 , 从而防止病毒被发现 。
优点:被感染后的程序主题依然是目标程序 , 不影响目标程序图标 , 隐蔽性稍好
缺点:对病毒代码的编写要求较高 , 通常是汇编语言编写 , 难以成功感染自校验程序
推荐阅读
- 【】河钢唐钢新区正式投产 河北钢铁产业区位调整取得关键性突破
- 央视新闻客户端|服贸会冬季运动专题引关注 冰雪产业进入发展快车道
- 央视网|直通服贸会 | 服贸冬季运动专题展:激发大众冰雪热情 助力冰雪产业发展
- 大众报业·海报新闻|海报时评丨推动新材料产业向更高端迈进
- 大众报业·海报新闻|山东新材料产业激活新动能——专访山东省新材料产业协会会长周传健,专访丨借鉴“华为模式”
- 服贸会冬季运动专题引关注 冰雪产业进入发展快车道
- 直通服贸会 | 服贸冬季运动专题展:激发大众冰雪热情 助力冰雪产业发展
- 杨驰原:面对电子棋牌产业创新发展,舆论监督要把握好“度”
- 龙之队|Windows10上触控板失灵的3种解决方案
- 方便食品|方便食品产业加速迭代创新 “螺蛳粉”“自热食品”成新增长点