原理:
修改入口點代碼為病毒體代碼,病毒體代碼在運行后修復原入口點代碼并執行.
感染過程:
1.備份原PE文件入口點代碼(病毒體大小)到文件尾部
2.用病毒體代碼覆蓋入口代碼
執行過程:
1.執行用戶自定義代碼
2.復制修復代碼到動態申請的內存中
3.執行修復代碼修復原入口
4.跳轉到原入口運行
問題:
1.感染有重定位表的PE文件時,病毒代碼可能被系統PE加載器修改
2.入口點到入口點所在節尾部大小小于病毒體大小時,文件會損壞
3.感染upx殼壓縮過的文件會出錯
代碼請使用VC6 Release方式編譯..
注:本文中的代碼有一定的破壞性,請勿用于非法用途,否則一切后果自負
/Files/sToa/TestPEInject.rar