pe檔案規定了可執行檔案的格式,凡是符合此格式的檔案都能在windows系統上執行。pe檔案的格式暫且不談,說一些感染pe檔案的幾種途徑。
匯入表感染。這個涉及比較複雜的操作,首先,要自行寫乙個dll檔案,提供程式中對原dll引用的所有函式,然後增加乙個節區,修改importaddress中的位址,使其指向新增加的節,這樣,程式載入後,只要呼叫相關函式,就會先執行自己寫的dll,執行完後,再跳轉到原**人口處執行。
匯入位址感染。這個相對簡單些,在pe檔案頭部分,image_option_header中有個importaddress目錄,這個目錄中只是一些jmp指令,我們可以修改jmp指令跳轉的位址,使其指向在pe檔案中我們新增加的**。這需要在原pe檔案中增加**,pe檔案在硬碟上預設200h位元組對齊,一般存有空隙,如果**量小,不用增加新節就可以插入**。
修改入口函式位址。這個是最省事的辦法,在原pe檔案中新增加乙個節,計算新節的rva,然後修改入口**,使其指向新增加的節。當然,如果.text節空隙足夠大的話,不用新增新節也可以。
修改快捷方式檔案。如果pe檔案存在快捷方式,可以先行感染快捷方式,使快捷方式指向自己寫的程式,自寫程式啟動後,再執行真正的pe檔案。這種做法比較猥瑣,而且不可靠。
PE檔案感染
最近學習了一下pe檔案,看了份pe檔案感染原始碼,分析了一下,其實就是修改程序,拋磚引玉 本來想把整個 發下,但是太大了,只發函式的 讀取檔案pe資訊 bool readpeinfo file fp,mzheader outmz,pe header outpe,pe extheader outpex...
感染PE檔案的乙個簡單例項
感染pe檔案的乙個簡單例項 code include addcode.a addcode.a 就是你要寫入檔案中的 為了使他能夠正確執行,有乙個重定位的問題,這個到後面再講。以上開啟要感染的檔案並將它對映到記憶體中去,沒什麼好講的。如果不會用,可以查微軟的msdn中的api參考。下面開始分析pe格式...
屠夫科普 感染PE增加匯入項實現注入
上篇文章 屠夫話題 關於mmrpg型輔助相對通用框架的討論 承諾放出原始碼分享.今天實現.之前有朋友說此方法還不夠通用.原因有個別國外遊戲會啟動後,對自身載入的所有檔案進行hash效驗,不過它可以檢測自帶的檔案.難道連系統檔案也效驗.先判斷當前系統.再取得微軟的效驗碼?這強度未免太大了吧.我乙個人實...