ROPInjector:高级PE注入工具,实现壳代码的ROP化与防病毒绕过

于 2024-06-02 09:47:41 发布
阅读量354 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00014/article/details/139385841
版权

ROPInjector:高级PE注入工具,实现壳代码的ROP化与防病毒绕过

ROPInjectorPatching ROP-encoded shellcodes into PEs项目地址:https://gitcode.com/gh_mirrors/ro/ROPInjector

项目介绍

ROPInjector 是一个C语言(适用于Win32)编写的工具,它将任何shellcode转换为返回导向编程(Return-Oriented Programming, ROP)并将其注入到指定的可移植执行文件(PE)中。这个项目专注于32位目标PE和x86指令集。在2015年Blackhat USA大会上发布,旨在通过ROP技术实现多态性和防病毒软件逃避。

项目技术分析

ROPInjector 的核心功能包括:

  • shellcode转ROP:将shellcode转换成一系列短小的程序片段(gadgets),这些片段以返回指令结束,从而避免了传统shellcode被AV软件检测。
  • PE注入:将转换后的shellcode无缝地插入到非打包的32位PE文件中,允许在进程生命周期中的特定时间点执行shellcode。
  • 选项控制:提供多种选项来调整注入行为,如是否强制转换为ROP、是否解卷SIB等,以满足不同的需求。

项目及技术应用场景

ROPInjector 可用于以下场景:

  • 安全研究:研究反病毒策略的绕过方法,理解如何利用ROP进行动态代码执行。
  • 漏洞利用开发:在编写高级漏洞利用代码时,可以利用其增强隐蔽性,提高成功概率。
  • 逆向工程:学习和实践ROP技术以及PE文件的修改技巧。

项目特点

  1. 兼容性强:仅支持32位PE文件,但操作简单,可对大部分Windows应用程序注入shellcode。
  2. 灵活性高:通过命令行参数,可以控制shellcode的注入位置、执行时机以及是否转化为ROP。
  3. 高效统计:在注入过程结束后,提供详细统计信息,有助于调试和优化。
  4. 开放源码:遵循GPLv2.0许可证,鼓励社区参与改进和发展。

要使用ROPInjector,只需提供待感染文件、shellcode文件和(可选)输出文件名,并配合不同选项,即可轻松实现复杂的功能。例如:

ropinjector.exe firefox.exe revshell.txt

在这个例子中,firefox.exe 被注入名为 revshell.txt 的shellcode,并创建一个新的PE文件。

探索ROPInjector,解锁更深层的二进制安全世界!点击链接查看白皮书presentation,深入了解其原理和技术细节。

ROPInjectorPatching ROP-encoded shellcodes into PEs项目地址:https://gitcode.com/gh_mirrors/ro/ROPInjector

蓬玮剑
关注
Csapp attacklab 实验报告:代码注入以及rop攻击
xia0ji233
04-26 2664
attacklab 实验报告 Ctarget level1 题目给出函数test,test里面有函数getbuf,然后它给定的提权函数是touch1(),我们那我们先gdb ctarget进入调试,然后输入disassemble getbuf查看汇编代码。 可以很清楚的看到函数的缓冲区大小是0x28字节,然后gets已经说明是库的标准函数了,gets函数是有漏洞的,它在读入字符串的时候不会对长度检测,而是给多少读多少。那么我们可以用这个gets来实现栈溢出,执行我们的权限函数touch1(),我们可以先用
PE文件本地DLL注入工具
10-26
工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
一个PE注入,加的小工具
windows小菜鸡的博客
09-08 1159
本人最近无聊,写了一个入门级的PE的小工具,包括PE解析,最简单的软件加功能,代码注入等功能。供学习交流 1、加功能 2、代码注入 PE查看 源码自取哦:链接:https://pan.baidu.com/s/1XSE1qQ6jKw9BRwJCOP_Sbg 提取码:9niy ...
PE注入代码
jacksonfan的专栏
07-26 3911
This article demonstrates five steps to inject your code in a portable executable (EXE, DLL, OCX,...) file without recompiling source code.  这篇文章介绍了在不重编译源码的前提下,怎样通过5个步骤把你的代码注入PE格式的文件(EXE, DLL, OCX,..
USB3.0驱动导入工具PE下使用)
08-13
适用于安装win7系统后USB3.0无效的情况,在WIN8/10 PE下运行此工具可为已安装的win7系统加入USB3.0驱动
修改PE文件实现静态DLL注入
笔记本
05-07 5348
PE文件注入DLL一般来说分为两种,一种是动态的,就是在程序运行中注入。还有一种是静态的,也就是修改PE文件达到DLL注入的效果。直接上实验步骤 实验(经过处理的NotePad,输入表下面有大量0000空余,无需进行移位操作): 1.LoadPE查看输入表 可以看到输入表的RVA是00007604,转成文件偏移是6A04(用LoadPE中的位置计算器计算),c32找到6A04处 2...
java安卓辅助源码-injection-stuff:PE注入、DLL注入、进程注入、线程注入代码注入、Shellcode注入、ELF注入
06-04
PE注入、DLL注入、进程注入、线程注入代码注入、Shellcode注入、ELF注入、Dylib注入,当前包括400+工具和350+文章,根据功能进行了粗糙的分类 目录 -> -> -> -> -> -> -> -> -> PE注入 工具 [535星][20d] [C] ...
运行时代码重用攻击:绕过细粒度的地址空间布局随机的动态框架
04-11
最近,已经提出了细粒度的地址空间布局随机作为有效缓解ROP攻击的方法。 在本文中,我们介绍了基于运行时策略的框架的设计和实现,该策略损害了细粒度ASLR的优势。 具体来说,我们滥用内存公开信息来动态映射应用...
面向循环的编程:一种新的代码重用攻击以绕过现代防御
03-12
面向循环的编程(Loop-Oriented Programming,简称LOP)是一种新兴的代码重用攻击技术,它能够绕过现代防御机制,包括粗粒度的控制流完整性(Coarse-Grained Control Flow Integrity,简称CFI)和影子栈(Shadow ...
ROP链利用的防护绕过策略
例如,攻击者可以通过利用函数调用指令(如ret)和栈溢出漏洞,构建一个ROP链来绕过数据执行保护(DEP/NX)等防护机制,进而执行恶意代码。 ## 1.2 ROP链攻击的危害性 ROP链攻击具有以下危害性: - 绕过内存保护...
PeEdit PE文件头修改工具
08-18
安全可以用已经验证。
PE文件注入 PE文件详解
02-28
这篇文章是关于PE文件注入技术的; 文章不但详细讲解了PE文件的结构; 而且讲述了如何在PE文件中进行注入代码的技术;
PE文件本地DLL注入实现
flukeshen的博客
10-25 2234
工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
网络靶场实战-PE注入
最新发布
蛇矛实验室
04-15 675
PE 文件中,重定位表位于 ". reloc" 节。FileHeader 结构 (IMAGE_FILE_HEADER)中给出了节表的数量,通过循环将 PE 文件中的所有节表数据拷贝 (memcpy)到分配的内存中,每个节表数据从 IMAGE_SECTION_HEADER.PointerToRawData 开始复制,复制的大小为 IMAGE_SECTION_HEADER.SizeOfRawData,复制到分配内存基地址偏移为 IMAGE_SECTION_HEADER.VirtualAddress 处。
项目简介:PeInjector - 动态代码注入工具的技术解析与应用
gitblog_00097的博客
04-15 412
项目简介:PeInjector - 动态代码注入工具的技术解析与应用 peinjector peinjector - MITM PE file infector 项目地址: https://gitcode.com/gh_mirrors/pe/peinjector ...
探索PeLoader:一款强大的PE文件加载器与分析工具
gitblog_00032的博客
04-06 725
探索PeLoader:一款强大的PE文件加载器与分析工具 项目地址:https://gitcode.com/potats0/PeLoader 在信息安全和逆向工程领域,理解并分析二进制文件(如可执行文件)的行为至关重要。今天,我们要介绍一个名为PeLoader的开源项目,它为开发者和研究人员提供了一种高效且灵活的方式来处理PE(Portable Executable)文件。你可以通过以下链接深入了...
pe注入usb30驱动工具_简单试用四大常用PE系统,看看哪个是你的菜
weixin_39588432的博客
11-03 3794
最近不是装了台黑苹果嘛,当时需要用个PE系统,我的U盘原先有个微PE的系统,但工具太少,就想着换个PE系统,于是找了常用的其他三个,那正好都看看有什么区别,哪一个更好用一些。这四个系统分别是微PE、U启动、老毛桃、大白菜。今天就带大家看看这几个PE系统,有需要的朋友可以简单地做个参考,由于只是简单试用,没有深入去挖掘,所以大家可以简单看一下即可。首先我们看看这几个系统的大小。我们可以看出,微PE是...
论文阅读分享
qq_36386435的博客
02-27 7384
恶意软件对抗研究 When Malware is Packin’ Heat; Limits of Machine Learning Classifiers Based on Static Analysis Features 机器学习快速发展,当前工业界和学术界对于恶意软件识别研究的结果,作者对其提出疑问,称没考虑加对分类的影响,忽略了这个重要因素,并且作者证明了从加可执行文件中提取的特征不能充分去1)泛其他未知packer,2)对对抗样本具有鲁棒性。并且指出了当前推出的不成熟的机器学习应用会导致大量的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蓬玮剑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值