病毒感染与VB程序的一个防病毒特性

VB程序防病毒特性与病毒感染

作者:付博  兰州理工大学国际贸易专业 QQ:1151639935 

今天,我在研究有关病毒感染PE可执行文件过程时,偶尔发现VB6.0编译器编译的程序有一个特点,那就是可以防止某些病毒的感染(注意只是可以防止一部分病毒的感染)。那么这究竟是怎么回事呢?且看如下分析:

我在学习了一些病毒感染PE文件的原理后,为了验证对其知识的掌握准确性,于是想尝试着去手工感染另一个PE程序。目标程序是一个我用VB6.0编写的小程序(名为test.exe)。我们知道,病毒通常有以下几种方式感染PE可执行程序:

1.在目标程序中新插入一个Section(节),并将病毒体写到这个Section中,并在最后以一个jmp指令跳转到原程序入口点,将控制权交给目标程序。这种方式的病毒无疑会增加原目标程序的体积,不便于病毒的隐身,但这种方式在实现上比较简单,而且比较通用。

2.寻找目标程序各Section的空隙,并将病毒体复制到这些空隙中(用jmp指令将各节的病毒代码连接起来)同样在最后用一条jmp指令将控制权交给目标程序。这种方式的特点是不会增加原目标程序的大小,但有一个局限,要求是病毒体代码体积足够小,目标程序Section的间隙要能够容纳得下病毒体。而且这种方式实现起来也要比前一种方式较为复杂。

    由于上述两种方式中,第2种方式其病毒体插入的实现要依赖于目标程序Section间隙的总大小,成攻具有一定的随机性,况且实现起来较为复杂。于是我先测试第一种方式:

步骤1.先在目标程序中插入一个新Section

步骤2.在新插入的Section中先直接以一条简单的jmp指令将控制权交给原目标程序,do nothing。好吧,先看第1步:

 病毒感染与VB程序的一个防病毒特性_第1张图片

 

 上图是目标程序未插入新节时的状态,绕圈处就是原程序原有的三个节(.text  .data  .rsrc,现在来看插入新节后的状态:

 病毒感染与VB程序的一个防病毒特性_第2张图片

     如上图,我插入的新的节,节名为".test"。现在先不管新代码的写入,先保存文件为test1.exe运行一下试试。Fuck,出现了如下错误提示:

 病毒感染与VB程序的一个防病毒特性_第3张图片

     按理来说我只是新插入了一个节并且没有任何代码,程序正常运行应该没什么问题吧。好吧现在来分析一下可能出错的原因:

插入一个新节后,会在节表中多出一个节头。

假设1:问题出现在新节头这里,让我们来看看节头处,比较一下插入节前和插入节后的节头有什么不同:

 病毒感染与VB程序的一个防病毒特性_第4张图片

上图是新插入的节.test的节头,下图的未插入新节前最后一个节.rsrc的节头。

 病毒感染与VB程序的一个防病毒特性_第5张图片

这里我们看到一个奇怪的现象,未插入新节前的图中,最后一个节后面似乎有什么数据存在。按理来说最后一个节后就该为0的啊。于是我猜想,可能是新插入的节头覆盖了原有的数据,为了验证我的猜想,我在不插入新节的情况下将最后一节头.rsrc后面的数据置为0,然后运行一下程序,这步是测试最后一个节头.rsrc节头后的数据对程序有没有影响。

下图是将.rsrc节头后数据置0后的状态:

 病毒感染与VB程序的一个防病毒特性_第6张图片

 

然后保存文件为test1.exe运行一下,fuck,出现如下图所示消息框:

 病毒感染与VB程序的一个防病毒特性_第7张图片

好了,我可以现在肯定的是,最后一节.rsrc后的数据确实不能随便覆盖,难怪我插入一个新节后程序就运行不正常了。但是,即然由VB6编译器编写的程序最后一个节头后的数据不能覆盖,那么就不能靠插入一个新节来感染VB程序了吗?答案是“非也”。办法总是由人想出来的,我们现在来分析一下:覆盖数据后,程序就运行不起来,具体来说是程序根本没有加载成攻(由前面的错误消息框可以看出,程序是在初始化并加载dll时出现错误的),谈何运行呢?那么再分析一下,到低是什么地方的指令变态地用到了节头后的数据呢?我们现在要来找可能应用节头后数据处RVA地址的地方。由上图可看出,最后一个节头.rsrc后数据地扯是00000228H,我们现在在PE文件头的数据目录中找一下看看。很巧,在IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT目录处找了对地址00000228H的应用,如下图红圈中

 病毒感染与VB程序的一个防病毒特性_第8张图片

看来是IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT这个绑定输入目录用到了最后一个节头.rsrc后的数据,简直是变态,一般情况下数据全都存放在数据节.data中,而我还没见过将数据放在节头位置的。

我们知道,绑定输入目录在确定dll加载位置的情况下用来定位Dll函数地址的,而当dll不能加载到预定的内存地址时就要由连接器重新填写IAT表了,这时绑定输入目录就变得无用了。这样说来,其实绑定输入目录是可以没有的,好吧,我们现在将绑定输入目录IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT置为0,表示不用绑定输入,然后新添加一个节再运行来看看。

 病毒感染与VB程序的一个防病毒特性_第9张图片

这样一修改,我的程序test1.exe终于在插入了一个新节后运行成攻了。

病毒感染与VB程序的一个防病毒特性_第10张图片

现在我再在新插入的节中加入一条直接返回原程序入口点的jmp指令:

 病毒感染与VB程序的一个防病毒特性_第11张图片

修改程序入口点为新节起始RVA,并在新节处插入jmp指令跳转到原入口处,如上图。保存文件为

Test1.exe然后运行,程序可正常运行,可是,嘿嘿,程序入口流程己被我改变了。

 

好了,现在总结一下:我发现,VB6编译器编写的程序,将IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT绑定输入目录数据放在紧跟PE文件最后一个节头后,这样,无论微软是有意还是无意,一些通过添加新节来感染程序的病毒感染VB程序后并不能正常运行。当然,病毒们又可以通过将绑定输入目录项置为0成攻加载。事实上,其他的编译器一般不会将绑定输入目录的数据部分放到节头后。这样说来,VB程序相对于其他程序还是有一定防病毒能力的。虽然这个防病毒能力不强,但我们今后是否可以通过将VB的这个特点进行扩展,使得PE可执行程序通过某种方式具有自防病毒的能力呢,这值进一步研究。

 

你可能感兴趣的:(病毒感染与VB程序的一个防病毒特性)