向PE文件中添加ShellCode

最新推荐文章于 2022-12-03 16:08:08 发布
最新推荐文章于 2022-12-03 16:08:08 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: PE 文章标签: ShellCode 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LittleCracker/article/details/80354992
版权

最烦打代码了,但是貌似代码是最高效的方式……


之前手动往PE文件中注入代码添加ShellCode,最近手动往PE文件中注入代码,貌似就是捆绑吧………………


 

 
 
 
  

    1 
  
 
 
 

 

 
 
 
  
 
   
 
    

      ------------------------------------------ 
      
      
      
      
     线------------------------------------------ 
      
    
 
   
 
  
 
 
 

 

   工具:一个想添加ShellCode的程序,VS2013
 

步骤为VS中的注释
 

-/******************************************************************************************/
//步骤分为五个 */
//1,将文件读取到缓冲区,用pFileBuffer接收吗,构造ShellCode(); */
//2,根据对齐的情况来,将接收的FileBuffer 手动转换为ImageBuffer; */
//3,向已经转换完成的ImageBuffer的代码空白区; */
//4,补充完ShellCode; */
//5,更改OEP; */
/*******************************************************************************************/
 

ps:貌似PE文件的类型在这两个头文件中
 

#include <atlbase.h>
#include <atlstr.h>
 

这里我用的程序是win自带的notepad;
 

首先将文件读入缓冲区;
 

 <input type="checkbox">1  
 

 

 
 
 
  
 
   1 
  
 
  
 
   2 
  
 
  
 
   3 
  
 
  
 
   4 
  
 
  
 
   5 
  
 
  
 
   6 
  
 
  
 
   7 
  
 
  
 
   8 
  
 
  
 
   9 
  
 
  
 
   10 
  
 
  
 
   11 
  
 
  
 
   12 
  
 
  
 
   13 
  
 
  
 
   14 
  
 
  
 
   15 
  
 
  
 
   16 
  
 
  
 
   17 
  
 
  
 
   18 
  
 
  
 
   19 
  
 
  
 
   20 
  
 
  
 
   21 
  
 
  
 
   22 
  
 
  
 
   23 
  
 
  
 
   24 
  
 
  
 
   25 
  
 
  
 
   26 
  
 
  
 
   27 
  
 
  
 
   28 
  
 
  
 
   29 
  
 
  
 
   30 
  
 
  
 
   31 
  
 
  
 
   32 
  
 
  
 
   33 
  
 
  
 
   34 
  
 
  
 
   35 
  
 
  
 
   36 
  
 
  
 
   37 
  
 
  
 
   38 
  
 
  
 
   39 
  
 
  
 
   40 
  
 
  
 
   41 
  
 
  
 
   42 
  
 
  
 
   43 
  
 
  
 
   44 
  
 
  
 
   45 
  
 
  
 
   46 
  
 
  
 
   47 
  
 
  
 
   48 
  
 
 
 

 

 
 
 
  
 
   
 
    
 
     DWORDReadPEFile(INLPSTRlpszFile,OUTLPVOID*FileBuffer) 
    
 
   
 
   
 
    
 
     {
        
    
 
   
 
   
 
    
 
      FILE*pFile=NULL; 
    
 
   
 
   
 
    
 
      DWORDfileSize=0; 
    
 
   
 
   
 
    
 
      // 
    
 
   
 
   
 
    
 
      LPVOIDpFileBuffer=NULL;  
    
 
   
 
   
 
    
 
      //  
    
 
   
 
   
 
    
 
      fopen_s(&pFile,lpszFile,"rb"); 
    
 
   
 
   
 
    
 
      if(!pFile) 
    
 
   
 
   
 
    
 
      {
        
    
 
   
 
   
 
    
 
       printf("EXE!"); 
    
 
   
 
   
 
    
 
       returnNULL; 
    
 
   
 
   
 
    
 
      } 
    
 
   
 
   
 
    
 
      else 
    
 
   
 
   
 
    
 
      {
        
    
 
   
 
   
 
    
 
       printf("Successful!\n"); 
    
 
   
 
   
 
    
 
      } 
    
 
   
 
   
 
    
 
      //  
    
 
   
 
   
 
    
 
      fseek(pFile,0,SEEK_END); 
    
 
   
 
   
 
    
 
      fileSize=ftell(pFile); 
    
 
   
 
   
 
    
 
      fseek(pFile,0,SEEK_SET); 
    
 
   
 
   
 
    
 
      //  
    
 
   
 
   
 
    
 
      pFileBuffer=malloc(fileSize); 
    
 
   
 
   
 
    
 
      if(!pFileBuffer) 
    
 
   
 
   
 
    
 
      {
        
    
 
   
 
   
 
    
 
       printf("!"); 
    
 
   
 
   
 
   

  

 



                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  LittleCracker
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
PE复写:向PE文件某个节添加一个自己的代码

				
			

			

				

					KKMI的博客
				

				

					06-04
					
					1181
					
				

			

		

		

			
				
PE复写:添加一个ShellCodePE文件一.预备知识1.CALL和JMP指令
一.预备知识
1.CALL和JMP指令



			
		

	



                

              
                



	

		

			

				
					
PE文件添加节.zip

				
			

			

				

					08-19
				

			

		

		

			
				
使用C语言在PE文件末尾添加新节并改变PE文件OEP,使得在程序执行前插入一段shellcode

			
		

	



                


  
              

                


	

		

			

				
					
pe植入shellcode

				
			

			

				

					m0_46377671的博客
				

				

					11-29
					
					640
					
				

			

		

		

			
				
shellcode是一个弹窗,为:
fc686a0a381e686389d14f683274910c8bf48d7ef433dbb7042be366bb33325368757365725433d2648b5a308b4b0c8b491c8b098b6908ad3d6a0a381e750595ff57f895608b453c8b4c057803cd8b592003dd33ff478b34bb03f5990fbe063ac47408c1ca0703d046ebf13b54241c75e48b592403dd66

			
		

	





	

		

			

				
					
PE文件导入表的代码注入

				
			

			

				

					谢启东的专栏
				

				

					05-05
					
					8283
					
				

			

		

		

			
				
 PE文件导入表的代码注入           试想一下,如果通过修改导入表,能把PE格式文件的函数入口点,重定向到自己的程序来,是不是很酷!这样,在自己在程序,可以过滤掉对某些函数的调用,或者,设置自己的处理程序,Professional Portable Executable (PE) Protector也就是这样做的。另外,某些rootkit也使用了此方法把恶意代码嵌入

			
		

	



		

			
		



	

		

			

				
					
PE手动添加shellcode

				
			

			

				

					qq_45694932的博客
				

				

					07-19
					
					573
					
				

			

		

		

			
				
1、用OllyDBG加载notepad,左下角command框输入bp MessageBoxA下断点。查看断点即可得MessageBox地址为:0x755b1060
2、call和jmp指令地址的计算
#include <stdio.h>
#include <windows.h>
void func()
{
    MessageBox(0, 0, 0, 0);
}
int main()
{
    func();    
    return 0;
}

main 函数的反汇编


			
		

	





	

		

			

				
					
shellcode 插入到PE节表的间隔

					
热门推荐

				
			

			

				

					小驹的专栏
				

				

					12-04
					
					1万+
					
				

			

		

		

			
				
shellcode 插入到PE节表的间隔
// InsertShellCodeToPE.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include 

#define FILENAME	"hello.exe"

//自定义的shellcode
char shellcod

			
		

	





	

		

			

				
					
pe_to_shellcode:将PE转换为Shellcode

				
			

			

				

					05-09
				

			

		

		

			
				
 同样,以一种方式修改PE文件的头,使您可以从头开始执行注入的缓冲区-就像使用shellcode一样。 它将自动找到存根,并继续加载完整的PE。 建物 下载最新。 克隆 使用递归克隆将存储库与所有子模块一起获取:  git ...

			
		

	





	

		

			

				
					
滴水逆向作业——PE向代码区添加messagebox的shellcode

				
			

			

				

					weixin_44584614的博客
				

				

					02-21
					
					2093
					
				

			

		

		

			
				
摘要:向PE结构的代码区添加messagebox的shellcode,使打开exe文件时,先执行shellcode的内容,再执行本身的功能。
1.具体流程

流程如下:
先将.exe文件文件模式(filebuffer)读取到内存,再将其拉伸读取到另一段内存内存模式(imagebuffer)但注意这可不是运行状态。判断代码区是否有存放shellcode代码的空间,如果有的话,将准备好的shel...

			
		

	





	

		

			

				
					
利用Shellcode注入PE文件加载计算器

				
			

			

				

					威化饼的一隅
				

				

					04-16
					
					3106
					
				

			

		

		

			
				
文章目录简介C语言版shellcode汇编版shellcodeshellcode跳转到原入口地址代码编写思路源代码
简介
采用C语言查看和修改一些PE文件的关键结构,结合shellcode,完成功能:

先用C语言编写通过LoadLibrary()和GetProcAddress()调用msvcrt.dll的system()函数来弹出计算器的代码。在OllyDbg打开该程序,查看对应的汇编代码和...

			
		

	





	

		

			

				
					
ShellcodeLoader:加载shellcodePE进行分析的小工具

				
			

			

				

					05-18
				

			

		

		

			
				
ShellcodeLoader
 构建ShellcodeLoader的目的是在可执行文件的上下文快速调试在恶意软件分析提取的Shellcode。 ShelcodeLoader的工作是从磁盘到内存读取一个常规文件,然后跳转到基址或指定的入口点以执行该文件。 它会自动检测是否正在调试,并在执行shellcode之前询问用户是否要设置断点。 在x86和x64系统工作。
发行版
转到“发行版”选项卡并下载已编译的可执行文件。
用法
该文件是必需的。 其他参数是可选的。 
 ShellcodeLoader.exe [-e --entrypoint ENTRYPOINT] [-a --address ADDRESS] [-r --run] [-b --break] FILE
加载文件并以指定的偏移量执行代码
 ShellcodeLoader.exe -e 1000 shellcodex86.bi

			
		

	





	

		

			

				
					
shellcode变成pe文件去执行的两种方法

				
			

			

				

					信息安全
				

				

					12-08
					
					574
					
				

			

		

		

			
				
方法一
适用于shellcode的数据量很小的时候
先将shellcode转成c代码数组

转成C代码的数据

将数据拷贝到开辟的内存空间执行
unsigned char buff[] = {}
void* exec = VirtualAlloc(0, sizeof(buff), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, buff, sizeof(buff));
((void(*)())exec)();

方法二
适用于shellcode的数据量很

			
		

	





	

		

			

				
					
PE感染&ShellCode编写技术补充

				
			

			

				

					Less Is More
				

				

					05-28
					
					3232
					
				

			

		

		

			
				
标 题: PE感染&ShellCode编写技术补充
时 间: 2013-06-04,22:45:53
  
上篇文章写了Windows Shell Code编写的一些技术和经验,其讲到ShellCode使用的数据的问题时,提供了三种方法:
1. HardCode地址,然后把数据写入HardCode的地址
2. 转化法(HASH),把数据转化成可用寄存器存储的整数
3. 把数据Pu

			
		

	





	

		

			

				
					
windows平台上用python 远程线程注入,执行shellcode

				
			

			

				

					weixin_30411239的博客
				

				

					04-08
					
					420
					
				

			

		

		

			
				
// 转自: https://blog.csdn.net/Jailman/article/details/77573990import sys
import psutil  
import ctypes  
from ctypes import *  
  
PAGE_EXECUTE_READWRITE         = 0x00000040  
PROCESS_ALL_ACCE...

			
		

	





	

		

			

				
					
基于C++的shellcode及植入目标程序设计 课程报告+代码及exe可执行文件

				
			

			

				

					毕业作品网站
				

				

					05-15
					
					601
					
				

			

		

		

			
				
目录
一.程序模块划分 1
二.主要模块描述 1
2.1 Shellcode 的生成 1
2.2 infect.cpp 简介 5


SetBytes 用于向文件指定位置覆盖写入 5


GetBytes 用于读取文件指定位置内容 5


获得 Dos 头的 e_lfanew,即 PE 头的 RVA 6


三.传染模块的设计与实现 6

验证 PE 文件 8

2.获取 PE 头位置 9
四.PE 文件格式简述 10


Dos 头 10


PE header 11


SECTION TABLE 节

			
		

	





	

		

			

				
					
PE文件代码段的加密与解密

				
			

			

				

					dasgk的专栏
				

				

					09-07
					
					2934
					
				

			

		

		

			
				
// 区块合并.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"

#include
#include
#include
using namespace std;
#pragma comment(lib,"imagehlp.lib")
char* strSrcExePath="D:\\project\\tmp\\Debug\\tmp.ex

			
		

	





	

		

			

				
					
linux脚本打不开文件夹,为什么这个程序向文件地址和内存地址不一样的文件加入shellcode会导致文件打不开...

				
			

			

				

					weixin_32096149的博客
				

				

					05-12
					
					132
					
				

			

		

		

			
				
[C] 纯文本查看 复制代码#include "iostream"#include #define size_shellcode 0x12#define messagebox_add 0x76c9fdf6BYTE shellcode[] = {0x6A,00,0x6A,00,0x6A,00,0x6A,00,0XE8,00,00,00,00,0XE9,00,00,00,00};char file_p...

			
		

	





	

		

			

				
					
PE合并节【内存对齐和文件对其大小不一样版本】

				
			

			

				

					weixin_42408832的博客
				

				

					06-24
					
					213
					
				

			

		

		

			
				
PVOID PE_Headers::CompressSection(IN PVOID File_Buffer)

{

        PVOID newbuff = NULL;

        PBYTE read = NULL, write = NULL;

        DWORD i;

       

        if (File_Buffer == NULL)

        {

                Error_Flag |= EMPTY_IMAGEBUFFER;

 

			
		

	





	

		

			

				
					
PE文件硬编码代码注入

					
最新发布

				
			

			

				

					yuge1123的博客
				

				

					12-03
					
					707
					
				

			

		

		

			
				
以下适合有PE基础的人看,最起码要知道PE的基本结构和rva以及foa之间如何相互转换,不然会看的迷迷糊糊首先我们需要准备一个程序,待会将代码注入这个程序
随便编写一个简单的程序,将随机基址给关闭
程序编译完成之后就是一堆二进制的数据,如果我们想将代码注入到这个程序,我们也只能以二进制的形式进行注入,不能像编码高级语言一样,比如我们想将  这段代码注入进去,要求是在程序运行时首先运行这段代码,然后再跳转到之前的代码逻辑
我们想将这段代码注入进去的话就只能将这段代码翻译成二进制的形式,然后再到这个exe的

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值