Перезапись секции .reloc
Это очень интересная тема. Секция '.reloc' полезна только тогда, когда ImageBase PE-файла меняется в силу какой-либо причины, но так как это в 99.9% случаев не происходит, она не нужна. А так как '.reloc' секция очень часть довольно велика, почему бы не хранить там наш вирус? Я предлагаю вам прочитать туториал b0z0 в Xine#3, который называется "Идеи и теории относительно заражения PE", так как в нем содержится много интересной информации.
Если вы хотите перезаписать секцию релокейшенов, сделайте слудующее:
В заголовке секции:
- В качестве нового VirtualSize установите размер вируса + его кучу
- В качестве нового SizeOfRawData установите выравненный VirtualSize
- Очистите PointerToRelocations и NumberOfRelocations
- Измените имя '.reloc' на какое-нибудь другое.
Входной точкой вируса будет VirtualSize секции. В некоторых случаях это также не заметно (в случае не очень больших вирусов), так как данная секция обычно очень большая.
[C] Billy Belcebu, пер. Aquila
| <<< Назад | Вперед >>> |
