pe静态注入

最新推荐文章于 2024-07-19 11:58:22 发布
最新推荐文章于 2024-07-19 11:58:22 发布
阅读量544 收藏 3
点赞数 17
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44642991/article/details/139130994
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

提示:少就是多,快就是慢:

静态注入对于小生来说花了很长时间才成功了,最大的坑就是dll版本不对导致一直失败

提示:以下是本篇文章正文内容,下面案例可供参考,小生在win10 64bit成功运行

一、准备阶段

用到的软件:PEview、WinHex、VScode

二、使用步骤

1.编写dll

代码如下(示例):

#include <windows.h>
extern "C" __declspec(dllexport) void SayHello(void){}
// DLL入口点函数
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	MessageBoxA(GetActiveWindow(), "DLL已进入目标进程。", "信息", MB_ICONINFORMATION); //弹出一个模态对话框
	return TRUE;
}

打包一下,

g++ -m32 -shared  -o hih.dll C:\Users\admin\Desktop\dll_dtudy\hi_dll.cpp

在这里插入图片描述
dll准备好后,用到上篇文章的test.exe,下面贴出源代码:

#include <windows.h>
int main(){
    MessageBox(NULL, "hello32world", "32", MB_ICONINFORMATION); //弹出一个模态对话框
     return 0;
}

忽略打包过程,记住dll是32位的,exe必须是32位
使用peview分析
在这里插入图片描述
在WinHex找到该区域地址,复制下来
在这里插入图片描述
粘贴到idata段的末尾,如图有大片空白段,物理地址是2780,
在这里插入图片描述
保存一下用PEview打开,找到新IID的File Offset地址,查看RVA=6580
在这里插入图片描述
用Win Hex更改导入表地址;
在这里插入图片描述
user32.dll的起始地址如图,复制下来,粘贴到新的IID(Image Import Directory)地址后面
在这里插入图片描述
其中,最前面4个字节是INT的RVA
之后8个字节留空
接着4个字节是dll名字,最后4个字节是要导入的函数,也就是IAT
在这里插入图片描述

在线把SayHello(要导出的函数)转为16进制
在这里插入图片描述
找一块空地写入字符串,小生找的是新IID的后面(为什么不找新建的区呢,主要是麻烦,鼠标要滑来滑去的)
选择ASCII Hex
在这里插入图片描述

SayHello(要导入的函数)的RVA=65E0,它前面的两个空字节是顺号
导入的函数Name的RVA=65D0
接着
在物理地址27A8写入Name的RVA=65D0
在物理地址279C写入INT的RVA=65F0
在物理地址27AC写入IAT的RVA=65F0
65F0指向要导入函数的RVA(SayHello)
在这里插入图片描述
简单来说就是RVA指向RVA
INT和IAT的值为什么一样,因为他们的值都是要导入函数(SayHello)的RVA
至此修改完毕,双击运行成功了
在这里插入图片描述

结语

勤能补拙,小生失败了上百次才完成"PE添加节"和"PE静态注入"的实验
路漫漫其修远兮,吾将上下而求索

在这里插入图片描述

都是爱️
关注
  • 17
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
输入表静态注入工具ImportAdder
05-20
这是一个非常好用的输入表静态注入工具,修改PE的同志用得着的。
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一...
PE文件静态注入
蚁景网安学院
02-08 1072
点击"蓝字"关注,获取更多技术内容DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。可以通过修改静态PE文件,修改输入表结构,使得程序执行时载入特定的DLL文件。通常可执行文件...
DLL注入之修改PE静态注入
weixin_30530339的博客
11-16 520
DLL注入之修改PE静态注入 0x00 前言 我们要注入的的力量功能是下载baidu首页数据。代码如下: #include"stdio.h" #include"stdio.h" #include"windows.h" #include"shlobj.h" #include"Wininet.h" #include"tchar.h" #pragmacomment...
修改PE文件实现静态DLL注入
笔记本
05-07 5280
PE文件注入DLL一般来说分为两种,一种是动态的,就是在程序运行中注入。还有一种是静态的,也就是修改PE文件达到DLL注入的效果。直接上实验步骤 实验(经过处理的NotePad,输入表下面有大量0000空余,无需进行移位操作): 1.LoadPE查看输入表 可以看到输入表的RVA是00007604,转化成文件偏移是6A04(用LoadPE中的位置计算器计算),c32找到6A04处 2...
[DLL注入的方法]静态修改PE输入表法
diheqiu3577的博客
09-02 807
1.三种DLL加载时机: 进程创建加载输入表中的DLL(静态输入) 通过调用LoadLibrary主动加载(动态加载) 系统预设加载   通过干预输入表处理过程加载目标dll 1.静态修改PE输入表法(测试程序 Notepad.exe) 准备工作:自行编写一个MsgDLL,到处一个函数Msg(); #include "stdafx.h" BOOL...
静态修改PE输入表注入DLL的检测方法研究.docx
12-15
静态修改PE输入表注入DLL的检测方法研究》 DLL(Dynamic Link Library)是Windows操作系统中的一种关键组件,它允许程序共享代码和资源,从而节省内存并提高效率。然而,DLL也被恶意软件利用,通过静态修改PE...
PE加载器支持库
07-24
PE加载器是Windows操作系统中用于执行可移植可执行(Portable ...通过深入学习PE文件格式和加载过程,开发者可以更好地应对与PE文件相关的各种问题,如优化程序启动性能、处理依赖性问题或防止恶意软件的注入
java安卓辅助源码-injection-stuff:PE注入、DLL注入、进程注入、线程注入、代码注入、Shellcode注入、ELF注入
06-04
PE注入、DLL注入、进程注入、线程注入、代码注入、Shellcode注入、ELF注入、Dylib注入,当前包括400+工具和350+文章,根据功能进行了粗糙的分类 目录 -> -> -> -> -> -> -> -> -> PE注入 工具 [535星][20d] [C] ...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 545
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 791
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 814
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 819
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
[Linux安全运维] OpenVPN部署
最新发布
Da1NtY的博客
07-19 769
同样的,在创建服务端证书的时候也需要输入一个Common Name用户名,注意与根证书用户名不一样。下载网址: https://github.com/OpenVPN/easy-rsa。2.6.1 将服务端所需的必要文件放到/etc/openvpn/中。2.6.2 将客户端所需的必要文件放到/root/client/中。创建/etc/openvpn/目录,将easy-rsa放进去。签约证书需要输入根证书的密码,与签约服务端证书时的过程一样。在日志文件/var/log/中创建一个openvpn/
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 437
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
响应“一机两用”政策号召 提高政务内外网安全
Canon_YK的博客
07-17 860
随着一机两用政策的实施,即政府部门内部网络终端在特定情况下需同时连接政务内外网,如何在保证工作效率的同时,确保网络安全和数据安全,成为摆在面前的重要课题。未来,随着技术的不断发展和完善,沙箱技术将在政务内外网安全中发挥更加重要的作用。深信达的SDC沙箱技术已经和多个政企单位合作,高效便捷的沙箱技术已经大大提升了政务机关的内网安全,为政务机关业务的开展提供了强有力的安全保障。SDC沙箱技术能够对隔离环境中的网络行为进行实时监控和审计,包括网络连接的建立、数据的传输、应用程序的运行等。
保障低压设备安全!中国星坤连接器精密工艺解析!
weixin_50506145的博客
07-16 529
随着技术的发展,对连接器的需求也在不断提升,特别是在低电压应用领域。中国星坤最新推出的低压连接器,以其精密性和安全性,为低电压设备提供了一个可靠的连接解决方案。中国星坤的低压连接器,以其卓越的性能和广泛的应用前景,为低电压设备的安全稳定运行提供了有力保障。随着技术的不断进步和市场需求的增长,低压连接器将在更多领域展现其独特的价值,成为连接现代电子世界的可靠伙伴。:在医疗领域,低压连接器用于连接各种便携式医疗监测设备,确保数据传输的准确性和设备的稳定性。:由于设计简洁,连接器的维护和更换变得简单快捷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

都是爱️

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值