亲密接触恶意代码之文件感染和内存驻留

• 
  　　这次，作者将和大家一起讨论病毒的感染技术。另外，从本文开始，我们将陆续接触到一些病毒的高级编码技术。例如，内存驻留、EPO（入口点模糊）技术、加密技术、多态和变形等。通过这些高级技巧，你将进一步感受到病毒技术的精华，从而更好的享受其中精妙的思想与编程技艺。
  
  　　在解决了起始目录的问题之后，就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目录下的所有文件和目录了，遍历方法可采用深度优先或广度优先搜索算法，较常用的还是深度优先算法。具体实现方式可采用递归搜索或非递归搜索两种实现方式。递归搜索需要占用栈空间，有可能造成栈空间耗竭而产生异常，不过在现实应用中这种情况很少出现，而非递归搜索则不存在此问题，但代码实现略复杂。在现实应用中，应用最多的还是递归遍历搜索。搜索时，可指定FindFirstFile的第一形参为*.*以搜索所有文件，根据搜索结果WIN32_FIND_DATA结构的dwFileAttributes成员判断是否为目录，若为目录则需要继续遍历该子目录，根据WIN32_FIND_DATA的cFileName中的文件名成员判断是否具有要感染的文件后缀以采取修改感染动作，以下代码实现了递归搜索某个目录及其下所有子目录的功能：
  
  void enum_path(char *cpath){
  　WIN32_FIND_DATA wfd;
  　HANDLE hfd;
  　char cdir[MAX_PATH];
  　char subdir[MAX_PATH];
  　int r;
  　GetCurrentDirectory(MAX_PATH,cdir);
  　SetCurrentDirectory(cpath);
  　hfd = FindFirstFile("*.*",&wfd);
  　if(hfd!=INVALID_HANDLE_VALUE) {
  　　do{
  　　　if(wfd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
  　　　{
  　　　　if(wfd.cFileName[0] != '.') {
  　　　　　// 合成完整路径名
  　　　　　sprintf(subdir,"%s\\%s",cpath,wfd.cFileName);
  　　　　　// 递归枚举子目录
  　　　　　enum_path(subdir);
  　　　　}
  　　　　}else{
  　　　　　printf("%s\\%s\n",cpath,wfd.cFileName);
  　　　　　// 病毒可根据后缀名判断是
  　　　　　// 否要感染相应的文件
  　　　　}
  　　　}while(r=FindNextFile(hfd,&wfd),r!=0);
  　　}
  　　SetCurrentDirectory(cdir);
  　}
  　　短短20 多行C 代码就实现了文件遍历的功能，Win32 API的强大功能不仅为开发者提供了便利，同时也为病毒敞开了方便之门。用汇编实现则稍微复杂一些，感兴趣的读者可参阅Elkern 中的enum_path部分，原理是一样的，限于篇幅这里不再给出相应的汇编代码。
  
  　　非递归搜索不使用堆栈存储相关的信息，而使用显式分配的链表或栈等结构存储相关的信息，应用一个迭代循环完成递归遍历同样的功能，下面是使用链表以栈方式处理子目录列表的一个简单实现：
  
  
  void nr_enum_path(char *cpath){
  　list<string> dir_list;
  　string cdir,subdir;
  　WIN32_FIND_DATA wfd;
  　HANDLE hfd;
  　int r;
  　dir_list.push_back(string(cpath));
  　while(dir_list.size()) {
  　　cdir = dir_list.back();
  　　dir_list.pop_back();
  　　SetCurrentDirectory(cdir.c_str());
  　　hfd = FindFirstFile("*.*",&wfd);
  　　if(hfd!=INVALID_HANDLE_VALUE) {
  　　　do{
  　　　　if(wfd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY) {
  　　　　　if(wfd.cFileName[0] != '.') {
  　　　　　　// 合成完整路径名
  　　　　　　subdir=cdir+"\\"+wfd.cFileName;
  　　　　　　cout<<"push subdir: "<<subdir<<endl;
  　　　　　　// 递归枚举子目录
  　　　　　　dir_list.push_back(string(subdir));
  　　　　　}
  　　　　　}else{
  　　　　　　printf("%s\\%s\n",cpath,wfd.cFileName);
  　　　　　　// 病毒可根据后缀名判断
  　　　　　　// 是否要感染相应的文件
  　　　　　}
  　　　　}while(r=FindNextFile(hfd,&wfd),r!=0);
  　　　}
  　　}//end while
  }
  　　在以汇编语言实现时，需要自己管理链表以及分配和释放相应的结构，因此较为烦琐，代码量也稍大，因此病毒多采用递归的方式进行搜索。值得注意的是搜索深层次的目录是很费时的，因此大部分病毒为避免CPU占用率过高，搜索一定数量的文件之后，都会调用Sleep 休眠一会，以避免被敏感的用户发觉。文件搜索和感染模块通常是以单独的线程运行的，在病毒获得控制权后，创建相应的搜索和感染线程，而将主现成的控制权交给原程序。 PE 文件的修改和感染策略
  
  　　既然已经能够搜索磁盘及网络共享文件中的所有文件，要实现寄生，那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射文件的方式进行，这样可以避免自己管理缓冲的麻烦，因而为较多病毒所采用。为了能够读写具有只读属性的文
  件，病毒在操作前首先利用GetFileAttributes 获取其属性并保存，然后用SetFileAttributes将文件的属性修改为可写，在
  感染完毕后再恢复其属性值。
  　　
  　　一般说来，有如下几种感染PE文件的方案供选择：
  
  　　a)添加一个新的节。将病毒代码写入到新的节中，相应修改节表，文件头中文件大小等属性值。由于在PE尾部增加了一个节，因此较容易被用户察觉。在某些情况下，由于原PE头部没有足够的空间存放新增节的节表信息，因此还要对其它数据进行搬移等操作。鉴于上述问
  题，PE 病毒使用该方法的并不多。
  
  　　b)附加在最后一个节上。修改最后一个节节表的大小和属性以及文件头中文件大小等属性值。由于越来越多的杀毒软件采用了一种尾部扫描的方式，因此很多病毒还要在病毒代码之后附加随机数据以逃避该种扫描。现代PE 病毒大量使用该种方式。
  
  　　c)写入到PE文件头部未用空间各个节所保留的空隙之中。PE 头部大小一般为1024 字节，有5-6 个节的普通PE文件实际被占用部分一般仅为600 字节左右，尚有400 多个字节的剩余空间可以利用。PE文件各个节之间一般都是按照512 字节对齐的，但节中的实际数据常常未完全使用全部的512字节，PE文件的对齐设计本来是出于效率的考虑，但其留下的空隙却给病毒留下了栖身之地。这种感染方式感染后原PE 文的总长度可能并不会增加，因此自CIH 病毒首次使用该技术以来，备受病毒作者的青睐。
  
  　　d)覆盖某些非常用数据。如一般exe文件的重定位表，由于exe一般不需要重定位，因此可以覆盖重定位数据而不会造成问题，为保险起见可将文件头中指示重定位项的DataDirectory 数组中的相应项清空，这种方式一般也不会造成被感染文件长度的增加。因此很多病毒也广泛使用该种方法。
  
  　　e)压缩某些数据或代码以节约出存放病毒代码的空间，然后将病毒代码写入这些空间，在程序代码运行前病毒首先解压缩相应的数据或代码，然后再将控制权交给原程序。该种方式一般不会增加被感染文件的大小，但需考虑的因素较多，实现起来难度也比较大。用的还不多。
  　　
  　　不论何种方式，都涉及到对PE头部相关信息以及节表的相关操作，我们首先研究一下PE的修改，即如何在添加了病毒代码后使得PE文件仍然是合法的PE文件，仍然能够被系统加载器加载执行。
  
  　　PE文件的每个节的属性都是由节表中的一个表项描述的，节表紧跟在IMAGE_NT_HEADERS后面，因此从文件偏移0x3C 处的双字找到IMAGE_NT_HEADERS 的起始偏移，再加上IMAGE_NT_HEADERS的大小（248字节）就定位了节表的起始位置，每个表项是一个IMAGE_SECTION_HEADER结构：
  
  
  
• [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 亲密接触恶意代码之文件感染和内存驻留 相关文章：
• ·亲密接触恶意代码之文件感染和内存驻留
• 亲密接触恶意代码之文件感染和内存驻留 相关软件

上一篇:病毒编程技术之恶意代码的亲密接触

下一篇:Unix和Windows跨系统通讯编程

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐