php加壳,文件加壳实现(三) —— ZwUnmapViewOfSection

最新推荐文章于 2023-06-24 20:46:56 发布
最新推荐文章于 2023-06-24 20:46:56 发布
阅读量616 收藏
点赞数
文章标签: php加壳

还不完整, 继续整理中

// TestShell.cpp : Defines the entry point for the application.

//

#include "stdafx.h"

#include

#include

#include

#include "PEOperate.h"

/*

以挂起的形式创建进程,

获取Context

*/

#define KEY 0x56

#pragma pack(push, 1)

typedef struct{

unsigned long VirtualAddress;

unsigned long SizeOfBlock;

} *PImageBaseRelocation;

#pragma pack(pop)

// 重定向PE用到的地址

void DoRelocation(PIMAGE_NT_HEADERS peH, void *OldBase, void *NewBase)

{

unsigned long Delta = (unsigned long)NewBase - peH->OptionalHeader.ImageBase;

PImageBaseRelocation p = (PImageBaseRelocation)((unsigned long)OldBase

+ peH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);

while(p->VirtualAddress + p->SizeOfBlock)

{

unsigned short *pw = (unsigned short *)((int)p + sizeof(*p));

for(unsigned int i=1; i <= (p->SizeOfBlock - sizeof(*p)) / 2; ++i)

{

if((*pw) & 0xF000 == 0x3000){

unsigned long *t = (unsigned long *)((unsigned long)(OldBase) + p->VirtualAddress + ((*pw) & 0x0FFF));

*t += Delta;

}

++pw;

}

p = (PImageBaseRelocation)pw;

}

}

//在指定位置分配空间

BOOL AllocShellSize()

{

typedef void *(__stdcall *pfVirtualAllocEx)(unsigned long, void *, unsigned long, unsigned long, unsigned long);

pfVirtualAllocEx MyVirtualAllocEx = NULL;

MyVirtualAllocEx = (pfVirtualAllocEx)GetProcAddress(GetModuleHandle("Kernel32.dll"), "VirtualAllocEx");

//p = MyVirtualAllocEx((unsigned long)res, (void *)peH->OptionalHeader.ImageBase, ImageSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

//p = MyVirtualAllocEx((unsigned long)res, NULL, ImageSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

return FALSE;

}

// 卸载原外壳占用内存

BOOL UnloadShell(HANDLE ProcHnd, unsigned long BaseAddr)

{

typedef unsigned long (__stdcall *pfZwUnmapViewOfSection)(unsigned long, unsigned long);

pfZwUnmapViewOfSection ZwUnmapViewOfSection = NULL;

BOOL res = FALSE;

HMODULE m = LoadLibrary("ntdll.dll");

if(m){

ZwUnmapViewOfSection = (pfZwUnmapViewOfSection)GetProcAddress(m, "ZwUnmapViewOfSection");

//MessageBox(0,"1111",0,0);

if(ZwUnmapViewOfSection)

res = (ZwUnmapViewOfSection((unsigned long)ProcHnd, BaseAddr) == 0);

FreeLibrary(m);

}

return res;

}

LPVOID GetLastSecData(LPSTR lpszFile,DWORD &fileSize)

{

LPVOID pFileBuffer = NULL;

pFileBuffer= ReadPEFile(lpszFile);

if(!pFileBuffer)

{

printf("文件读取失败\n");

return NULL;

}

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader_LAST = NULL;

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

pSectionHeader_LAST = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+(pPEHeader->NumberOfSections-1)*40);

int fileLength = pSectionHeader_LAST->PointerToRawData+pSectionHeader_LAST->SizeOfRawData;

//判断是否已经加壳

if(strcmp((char*)pSectionHeader_LAST->Name,".enSec")!=0)

{

MessageBox(0,"没有加壳","错误",0);

return NULL;

}

fileSize = pSectionHeader_LAST->SizeOfRawData;

LPVOID pEncryptBuffer = malloc(fileSize);

memset(pEncryptBuffer,0,fileSize);

CHAR* pNew = (CHAR*)pEncryptBuffer;

CHAR* pOld = (CHAR*)((DWORD)pFileBuffer+pSectionHeader_LAST->PointerToRawData);

//将最后一个段的数据拷贝到pEncryptBuffer中,并解密

for(int i=0;i

{

pNew[i] = pOld[i]^KEY;

}

//关闭文件

free(pFileBuffer);

return pEncryptBuffer;

}

int APIENTRY WinMain(HINSTANCE hInstance,

HINSTANCE hPrevInstance,

LPSTR lpCmdLine,

int nCmdShow)

{

// TODO: Place code here.

TCHAR shellDirectory[256]={0};

GetModuleFileName(NULL,shellDirectory,256);

//MessageBox(0,shellDirectory,0,0);

DWORD encryptSize = 0;

LPVOID encryptFileBuffer = NULL;

encryptFileBuffer = GetLastSecData(shellDirectory,encryptSize);

//失败则结束

if(encryptFileBuffer == NULL)

{

MessageBox(0,"解密失败","失败",0);

//return 0;

}

//成功,goon

//WirteToFile(encryptFileBuffer,encryptSize,"C:\\aaa.exe");

//MessageBox(0,"结束","写出完成",MB_OK);

//以挂起的形式创建进程

STARTUPINFO si={0};

si.cb = sizeof(STARTUPINFO);

PROCESS_INFORMATION pi;

CreateProcess(shellDirectory,

NULL,

NULL,

NULL,

FALSE,

CREATE_SUSPENDED,

NULL,

NULL,

&si,&pi);

TCHAR szTempStr[256]={0};

sprintf(szTempStr,"进程消息: %x , %x \n",pi.hProcess,pi.hThread);

CONTEXT contx;

contx.ContextFlags = CONTEXT_FULL;

GetThreadContext(pi.hThread,&contx);

DWORD shellOEP = contx.Eax;

//获取IMAGE_BASE的信息

char* baseAddress = (CHAR*)contx.Ebx+8;

TCHAR szBuffer[4]={0};

ReadProcessMemory(pi.hProcess,baseAddress,szBuffer,4,NULL);

int* fileImageBase;

fileImageBase = (int*)szBuffer;

DWORD shellImageBase = *fileImageBase;

//卸载外壳程序

BOOL isUnload = UnloadShell(pi.hProcess,shellImageBase);

/*

if(isUnload)

{

MessageBox(0,"成功","1",0);

}else

{

MessageBox(0,"失败","0",0);

}

*/

//在指定位置分配空间

//位置: Src的ImageBase

//大小: Src的SizeOfImage

BOOL isAlloc = AllocShellSize();

//ResumeThread(pi.hThread);

return 0;

}

听亭亭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 ZwUnmapViewOfSection 卸载并替换内存镜像
hambaga的博客
07-14 3607
The ZwUnmapViewOfSection routine unmaps a view of a section from the virtual address space of a subject process. NTSTATUS ZwUnmapViewOfSection( IN HANDLE ProcessHandle, IN PVOID BaseAddress ); 这个函数在 wdm.h 里声明,它的功能是卸载进程的内存镜像(Image Buffer),内存
使用GetProcAddress获取ZwUnmapViewOfSection函数指针
hambaga的博客
07-13 741
要想使用ZwUnmapViewOfSection函数,又没有安装驱动开发的工具包,可以从ntdll.dll里获取ZwUnmapViewOfSection的函数指针,代码如下: #include <stdio.h> #include <Windows.h> int main() { // 获取 ZwUnmapViewOfSection HMODULE hModuleNt = LoadLibrary("ntdll.dll"); if (NULL == hModuleNt) {
php_PHP-T
weixin_39704314的博客
03-09 201
PHP-T它是一款极其简单的PHP开发框架,采用MVC设计模式。适合初学开发者,方便项目开发提高效率。 下载 - 帮助系统函数url http://127.0.0.1/?t=index&f=index&l=cn默认3个参数 t=文件名 f=函数名 l=语言(可忽略)t_sql($str) SQL严格过滤函数t_adminsql($str) SQL简单过滤函数t_compressht...
使用ZwMapViewOfSection创建内存映射文件总结
01-07 774
标 题: 【原创】使用ZwMapViewOfSection创建内存映射文件总结 作 者: 小覃 时 间: 2012-06-15,02:28:36 链 接: http://bbs.pediy.com/showthread.php?t=152144 在写驱动搜索内核模块内存时,你是不...
易语言文件
07-22
在本文中,我们将深入探讨易语言如何实现文件,以及技术的相关知识。 文件技术的核心是将原始的可执行文件(如.exe或.dll)包裹在一个外程序中,这个外程序负责载和运行原始文件。这样做的好处...
pediy——对PE文件进行保护
08-21
描述中提到的"《密与解密》第三版书中源代码",意味着这是一个实际的编程示例,旨在帮助读者理解如何在C++环境中实现PE文件过程。书中的源代码通常会涵盖从基础理论到实际操作的完整流程,有助于深入学习这...
易语言源码易语言文件源码.rar
03-31
在易语言中实现文件,可以让程序在运行时更难以被分析,提升软件的安全性。 源码是程序的核心部分,它是由程序员编写的人类可读的代码,通过编译或解释转化为机器可执行的二进制代码。易语言源码包含了程序的...
C#.NET exe运行文件防止反编译
06-21
exe运行文件防止反编译,防止不怀好意的反编译造成损失
6.24~~~~(渗透技术学习)
最新发布
m0_72827793的博客
06-24 602
利用WindowsLoader开机时会执行sdb文件,sdb文件中包含了很多shim文件,shim文件可以修改程序的代码,而shim文件可以直接用Microsoft Application Compatibility Toolkit这个工具生成在Microsoft Application Compatibility Toolkit工具中可以使用选择函数Command line填入的方式直接生成shim文件
超强php程序的反编译工具,我试都可以反编译成功
12-15
我下载很多都不可以,这个可能,我试了,目前网上大多数密非开源程序都能反编译成功, 这个工具存放的路径有需要反编译的PHP程序的所在目录都最好不要放在中文目录内,目录文件名最好不要有空格,像 Program Files,最好别放在它下面
C语言0xc0000142错误,[求助]C语言 傀儡进程替换报错0Xc0000005 求大神帮忙看看
weixin_39980082的博客
05-17 284
创建了一个CREATE_SUSPENDED的傀儡进程,用幕后进程替换了傀儡进程之后报错0xc0000005,弄了好几天也没弄懂,我裂开了,哪位大侠路过帮帮忙WIN7 x64系统,vs2017 x86编译器,两个进程都是32位进程。typedef NTSYSAPI NTSTATUS(__stdcall *ZwUnmapViewOfSection)(HANDLE, PVOID);int main(){...
代码注入之傀儡进程
sevenpic的专栏
09-13 1964
 傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEProcess();PROCESS_INFORMATION pi  = {0};
改写PEB在傀儡进程执行代码
求索
03-11 1148
改写PEB在傀儡进程执行代码
在NT中直接访问物理内存
11-13 3544
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
渗透术语
千寻的博客
01-13 1295
一 渗透术语 1.肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。 2.木马 就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是热中与使用木马程序来控制别人的...
使用php代码对源码进行密的两种简便方法
wybchy的博客
12-04 2582
第一种密代码 &lt;?php function encode_file_contents($filename) { $type=strtolower(substr(strrchr($filename,'.'),1)); if ('php' == $type &amp;&amp; is_file($filename) &amp;&amp; is_writable($filena...
UPX源码分析——
05-17
是指将一个已经编译好的可执行文件,通过密、压缩等手段,使其变得难以被反汇编和逆向工程,从而提高软件的安全性。其中,UPX 是一种常用的工具,可以将 Windows 和 Linux 下的可执行文件进行压缩和密。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值