原理:
修改入口点代码为病毒体代码,病毒体代码在运行后修复原入口点代码并执行.
感染过程:
1.备份原PE文件入口点代码(病毒体大小)到文件尾部
2.用病毒体代码覆盖入口代码
执行过程:
1.执行用户自定义代码
2.复制修复代码到动态申请的内存中
3.执行修复代码修复原入口
4.跳转到原入口运行
问题:
1.感染有重定位表的PE文件时,病毒代码可能被系统PE加载器修改
2.入口点到入口点所在节尾部大小小于病毒体大小时,文件会损坏
3.感染upx壳压缩过的文件会出错
代码请使用VC6 Release方式编译..
注:本文中的代码有一定的破坏性,请勿用于非法用途,否则一切后果自负
- 标 题:一个不太通用的PE感染方法
- 作 者:shizhen
- 时 间:2010-01-27 13:01:49
- 链 接:http://bbs.pediy.com/showthread.php?t=106054