python 修改PE文件头

最新推荐文章于 2024-04-11 21:42:03 发布
最新推荐文章于 2024-04-11 21:42:03 发布
阅读量645 收藏 1
点赞数 1
分类专栏: python 信息安全 文章标签: 深度学习 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43199509/article/details/126976830
版权

在研究恶意软件分析时找到一个数据集,发现网上公开的能用的数据集不太好找,其中一篇论文声称提供了20m的巨量恶意软件样本
github链接:
https://github.com/sophos-ai/SOREL-20M
下载了一部分样本后发现,样本是zlib压缩然后修改了PE头的,解压后
也无法用沙箱跑也无法用,ida分析会提升报错:
You forgot to call set_processor_type()
在这里插入图片描述
这个报错直接查是查不到什么信息的,再去重新看这篇文章的论文,提到了对恶意样本进行了“无害化处理”,把
optional_headers.subsystem 和 file_header.machine 标志设置为 0,这两个字段Subsystem是用来指示可执行文件期望的子系统,machine则是指示这个PE文件是跑在什么操作系统上的(32位、64位),具体对应字段如下
在这里插入图片描述
在这里插入图片描述
因此通过脚本重新修改这两个字段即可,可以用lief或者pefile包来进行修改,个人认为pefile更方便一点,可以直接通过字段赋值,lief则是查看字段和各种信息总结更方便(pefile打印是16进制的,lief打印会转化成可读字符串),因此先用pefile修改,再用lief查询信息看修改结果,发现machine字段改变了

if __name__ == "__main__":
    import pefile
    import lief

    pe = pefile.PE("rawdata")
    pe.FILE_HEADER.Machine=0x014c
    pe.OPTIONAL_HEADER.Subsystem=0x2
    pe.write("newdata")
    
    binary = lief.PE.parse("newdata")
    header = binary.header
    print(binary)

在这里插入图片描述
最后把文件上传进云沙箱看是否能正常运行,能正常运行表示修改成功
在这里插入图片描述

梦想闹钟
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件文件
05-06
pefile 掌握 开发 pefile是一个多平台Python模块,用于解析和使用。 PE文件中包含的大多数信息以及所有部分的详细信息和数据都是可访问的。 Windows文件中定义的结构将作为PE实例中的属性进行访问。 字段/属性的命名将尝试遵循那些标中的命名方案。 只有为方便起见而添加的快捷方式才会脱离该约定。 pefile需要对PE文件的布局有一些基本的了解-借助它,可以探索PE文件格式的几乎每个功能。 特征 pefile使某些任务成为可能: 检查 分析部分数据 检索嵌入式数据 可疑和格式错误的警告 PE的基本屠宰,例如PE的和 此功能不会重新排列PE文件结构,以便为新字段腾出空间,因此请谨慎使用。 覆盖字段大部分应该是安全的。 带有打包程序检测 生成 请参阅以获取一些演示如何使用pefile的代码段。 以下是使用pefile生成的转储针对不同类型的文件的外观的
直接修改PE文件PE标识字段的实验
bcbobo21cn的专栏
06-21 1825
PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。 Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。 比如像EXE,DLL,SYS这种格式的文件就是PE格式文件。 根据PE文件结构知识; PE IMAGE_NT_HEADER 的字段,IMAGE_NT_HEADER.Signature,偏移 ...
Python 使用PEfile分析PE文件
最新发布
Gefangenes的博客
04-11 67
PeFile模块是Python中一个强大的便携式第三方PE格式分析工具,用于解析和处理Windows可执行文件。该模块提供了一系列的API接口,使得用户可以通过Python脚本来读取和分析PE文件的结构,包括文件、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
Idea-更改文件
悄悄接
01-20 271
Dll注入--修改PE文件
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT->可选->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
python---pefile
xuqi7
10-01 1380
pefile可以解析、读取或修改PE文件。 github地址: https://github.com/erocarrera/pefile/ 一些示例地址: https://github.com/erocarrera/pefile/blob/wiki/UsageExamples.md 安装: `pip3 install pefile`
21.1 Python 使用PEfile分析PE文件
CSDN
10-19 7309
PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具,用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口,使得用户可以通过`Python`脚本来读取和分析PE文件的结构,包括文件、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
pythonpefile模块(解析PE
热门推荐
B_H_L的专栏
07-18 1万+
发现很多的朋友经常用到PE格式相关的开发,如解析PE文件的格式,获取相关的内容。比如常常用到的静态的病毒启发式检测模型的建立、病毒样本分类、查壳脱壳等。 搜索了一下发现论坛里面没有我要讲的这个东西,于是我在这里向大家推荐pefile这个python库。 这个是基于MIT licence的一个开源项目,你可以在上面做更多的开发。 开发包的下载地址 http://code.google.c
Python 检测PE所启用保护方式
CSDN
10-18 6775
Python 通过pywin32模块调用WindowsAPI接口,实现对特定进程加载模块的枚举输出并检测该PE程序模块所启用的保护方式,此处枚举输出的是当前正在运行进程所加载模块的DLL模块信息,需要用户传入进程PID才可实现输出。然后再命令行模式下执行命令启动枚举功能。
python文件读写_Python读写PE文件模块pefile
weixin_39917576的博客
11-23 520
代码:print hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint)实验二代码:import os, string, shutil,reimport pefile ##记得import pefilePEfile_Path = r"C:\temp\test.exe"pe = pefile.PE(PEfile_Path)print PEfile_Pathfor se...
Pythonpefile的使用
BetaBin
04-24 9257
其实在pefile主页的Wiki上已经详细介绍了,https://code.google.com/p/pefile/wiki/UsageExamples#Listing_the_exported_symbols这里给出
PeEdit PE文件修改工具
08-18
安全可以用已经验证。
python通过文件判断文件类型
09-21
主要介绍了python通过文件判断文件类型,需要的朋友可以参考下
getFileHead.py(用于读取文件信息的python脚本)
09-23
用于读取文件信息的python脚本。
Python修改MP3文件的方法
09-21
主要介绍了Python修改MP3文件的方法,可实现删除MP3中图片文件的功能,需要的朋友可以参考下
python修改.properties文件的操作
09-17
主要介绍了在python修改.properties文件的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python读取并修改XML文件
12-22
在VOC格式的SSD训练数据标签中添加图片宽高等信息,并进行坐标越界检查。... '''''读取并解析xml文件 in_path: xml路径 return: ElementTree''' tree = ElementTree() tree.parse(in_path) return tree
修改文件的加密标志位修复伪加密的zip文件
君行路的博客
09-09 6571
首先,我们来了解一下zip的文件格式: 一个zip文件有如下三个部分组成: 1.压缩源文件数据区   2.压缩源文件目录区   3.压缩源文件目录结束标志 (详解链接) 这是三个标记,主要看第二个   压缩源文件数据区:50 4B 03 04:这是文件标记   压缩源文件目录区: 50 4B 01 02:目录中文件文件标记 3F 00:压缩使用的 pkware 版本  1...
【kingsql分享】使用BBED修改Oracle数据文件推进SCN
cuishitan3439的博客
11-26 330
【kingsql分享】使用BBED修改Oracle数据文件推进SCN 请看报大错: SQL> startup; ORACLE instance started. ...
python通过PE文件获取版本信息
04-04
可以使用Python内置的`ctypes`模块来读取PE文件的版本信息。 以下是一个示例代码: ```python import ctypes class VS_FIXEDFILEINFO(ctypes.Structure): _fields_ = [ ("dwSignature", ctypes.c_uint32), (...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值