产业气象站 Windows PE 病毒的一百种方法,你中过招吗?,花式感染( 二 )
PE病毒典型案例下面是演示代码 , 感染本目录下的test.ext文件 , 它没有破坏性 , tset.exe被感染后 , 首先执行病毒代码 , 然后执行自身代码 。 如下图所示 , 存在四个文件 。 其中main.exe是PE病毒程序 , 它会感染当前目录下名为“test.exe”的文件 。 这里仅是测试PE病毒感染代码 , 没有破坏功能 。
calc.exe:计算器
notepad.exe:记事本
test.exe:测试PE文件
main.exe:PE病毒程序
文章图片
第一步 , 我们尝试打开test.exe文件 。 它是一个正常的PE文件 , 前面的文章也分析过 , 它包括两个弹窗 , 如下图所示 。
文章图片
文章图片
第二步 , 使用OD打开test.exe如下图所示 , 发现起始地址为0x00401000 , 该exe程序大小为2.50KB 。
文章图片
第三步 , 运行main.exe程序 , 它是PE病毒 。 注意 , 它会弹出如下图所示对话框 , 这是为了方便演示 , 而真实的PE病毒不会提示你信息 。 程序是两位大佬所写 , 其中一位是Hume前辈 , 另一位^_^
文章图片
同时 , 如果360会查杀该病毒 , 添加信任即可 。 但当我们在真实恶意样本分析时 , 一定要在虚拟机等有保护环境下进行 。
文章图片
IDA分析mian.exe如下图所示:
文章图片
第四步 , 此时test.exe文件大小已经增加为6.50KB , 说明其已经被恶意感染 。
文章图片
双击test.exe显示如下图所示 , 它会先弹出一个感染测试对话框 , 然后才是接下来的正常程序对话框 。
文章图片
文章图片
用OD动态分析 , 发现程序入口地址是0x004042DC 。 说明该程序先执行PE病毒 , 之后才执行正常的程序 , 而真实的PE病毒不会只简单的弹出提示窗口 , 而会隐蔽的进行一些破坏或收集信息 。
文章图片
第五步 , 将被感染的“test.exe”重命名为“test-ok.exe” , 然后将记事本修改为“test.exe” , 因为我们的代码只感染当前目录下“test”命名的文件 。
接着运行“test-ok.exe”程序 , 发现打开记事本也会弹出如下图所示的对话框 , 接着才是记事本 , 说明该程序也被感染 。
文章图片
文章图片
第六步 , 通过同样的方法感染计算器程序 , 如下图所示 。
文章图片
文章图片
写到这里 , 该案例就演示完毕 , 这是一个传统典型的PE病毒感染示例 。
重定位在前面讲PE文件格式化时介绍过 , 尤其DLL文件常见重定位 。 因为DLL文件会加载到不同的位置 , 如果再按照VA地址定位会出现差错 , 所以会出现重定位 。 对于病毒程序也是一样的 , 它有相应的代码去感染目标程序 , 而目标程序有很多 , 病毒程序写在目标程序什么位置呢?这就需要病毒代码去定位目标程序的位置 , 就要利用重定位技术 。
推荐阅读
- 【】河钢唐钢新区正式投产 河北钢铁产业区位调整取得关键性突破
- 央视新闻客户端|服贸会冬季运动专题引关注 冰雪产业进入发展快车道
- 央视网|直通服贸会 | 服贸冬季运动专题展:激发大众冰雪热情 助力冰雪产业发展
- 大众报业·海报新闻|海报时评丨推动新材料产业向更高端迈进
- 大众报业·海报新闻|山东新材料产业激活新动能——专访山东省新材料产业协会会长周传健,专访丨借鉴“华为模式”
- 服贸会冬季运动专题引关注 冰雪产业进入发展快车道
- 直通服贸会 | 服贸冬季运动专题展:激发大众冰雪热情 助力冰雪产业发展
- 杨驰原:面对电子棋牌产业创新发展,舆论监督要把握好“度”
- 龙之队|Windows10上触控板失灵的3种解决方案
- 方便食品|方便食品产业加速迭代创新 “螺蛳粉”“自热食品”成新增长点