PE之拉伸文件添加shellcode并保存文件

最新推荐文章于 2024-11-09 20:57:23 发布
最新推荐文章于 2024-11-09 20:57:23 发布
阅读量139 收藏
点赞数 2
文章标签: c# 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43751677/article/details/142665884
版权 
//获得文件buffer
BOOL GetFileBuffer(__in char* m_fileName, __inout char** LPFilebuffer)
{
	// 初始化输出参数
	*LPFilebuffer = NULL;
	if (m_fileName == NULL || LPFilebuffer == NULL)
	{
		perror("m_fileName OR LPFilebuffer is NULL");
	}
	FILE* file = (fopen(m_fileName, "rb"));
	if (file == NULL)
	{
		printf("error :%d", GetLastError());
		return FALSE;
	}

	// 从文件头跳转到偏移0x3C位置
	if (fseek(file, 0x3C, SEEK_SET) != 0) {
		perror("fseek failed");
		fclose(file);
		return FALSE;
	}
	//读到e_lfannew的值
	//LONG e_lfannew = 0;
	//if (fread(&e_lfannew, sizeof(LONG), 1, file) != 1) {
	//	perror("fread failed");
	//	fclose(file);
	//	return FALSE;
	//}
	从文件开始跳到可选头的imagebase的位置
	//fseek(file, e_lfannew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER) + 0x38, SEEK_SET);
	//DWORD sizeofimage = 0;
	//fread(&sizeofimage, sizeof(DWORD), 1, file);
	fseek(file, 0, SEEK_END);//到文件尾部
	DWORD fileSize = ftell(file);//获得文件的大小
	fseek(file, 0, SEEK_SET);//返回文件头部
	*LPFilebuffer = malloc(fileSize);
	if (*LPFilebuffer == NULL)
	{
		perror("malloc failed");
		fclose(file);
		free(*LPFilebuffer);

		return FALSE;
	}
	memset(*LPFilebuffer, 0, fileSize);
	fread(*LPFilebuffer, 1, fileSize, file);//将文件读取到内存中
	fclose(file);
	file = NULL;
	return TRUE;
}

//获得imagebuffer
BOOL StrechFileBuffer(__in char* LPFilebuffer, __inout char** LPImageBuffer)
{
	if (LPFilebuffer == NULL)
	{
		perror("Filebuffer is NULL");
		return FALSE;
	}
	PIMAGE_DOS_HEADER pDos =(PIMAGE_DOS_HEADER) LPFilebuffer;
	PIMAGE_FILE_HEADER pFileHeader = (PIMAGE_FILE_HEADER)(LPFilebuffer + pDos->e_lfanew + sizeof(DWORD));
	DWORD sizeofimage = *(PDWORD)(LPFilebuffer + pDos->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER) + 0x38);
	//根据imagebase申请拉伸后的内存
	char* pImagebuffer = malloc(sizeofimage);
	if (pImagebuffer == NULL)
	{
		perror("malloc failed");
		return FALSE;
	}
	memset(pImagebuffer, 0, sizeofimage);

	/
	/*已经将PE文件写到内存中了.但是需要分开拷贝,从最后的节开始拷贝数据*/
	
	//看看是多少位的程序
	WORD magic = *(WORD*)(LPFilebuffer + pDos->e_lfanew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));

	//跳到最后一个节区信息结构列表
	WORD NumberOfSections = pFileHeader->NumberOfSections;
	PIMAGE_SECTION_HEADER PLastSectionTable =(PIMAGE_SECTION_HEADER) (char*)pFileHeader +sizeof(IMAGE_FILE_HEADER)+ (pFileHeader->SizeOfOptionalHeader) + ((NumberOfSections -1) * sizeof(IMAGE_SECTION_HEADER));
	
	// 从最后一个节区开始向前拷贝
	PIMAGE_SECTION_HEADER currentSection = PLastSectionTable; // 获取当前节区的指针
	for (size_t i = pFileHeader->NumberOfSections; i > 0; i--, currentSection--) {
		// 从文件中获取源地址和目标地址
		char* src = LPFilebuffer + currentSection->PointerToRawData; // 文件中的数据
		char* dest = pImagebuffer + currentSection->VirtualAddress; // 内存中的目标地址

		// 计算拷贝的大小
		size_t sizeToCopy = currentSection->SizeOfRawData > currentSection->Misc.VirtualSize
			? currentSection->SizeOfRawData
			: currentSection->Misc.VirtualSize;
		// 拷贝数据
		memcpy(dest, src, sizeToCopy);
	}

	//拷贝pe头和节表
	size_t sizeToCopy = 0;
	if (magic == 0X10B)
	{
		PIMAGE_OPTIONAL_HEADER32 Poptional =(PIMAGE_OPTIONAL_HEADER32) (LPFilebuffer + pDos->e_lfanew + sizeof(DWORD)) + sizeof(IMAGE_FILE_HEADER);
		sizeToCopy = Poptional->SizeOfHeaders;
	}
	else
	{
		PIMAGE_OPTIONAL_HEADER64 Poptional = (PIMAGE_OPTIONAL_HEADER64)(LPFilebuffer + pDos->e_lfanew + sizeof(DWORD)) + sizeof(IMAGE_FILE_HEADER);
		sizeToCopy = Poptional->SizeOfHeaders;
	}
	memcpy(pImagebuffer, LPFilebuffer, sizeToCopy);

	*LPImageBuffer = pImagebuffer;
	
	
	return TRUE;
}


//恢复到flieBuffer状态
BOOL RestoreImageToFile( __in char* LPImageBuffer, __inout char** LPFilebuffer, __inout DWORD* BufferSize)
{
	if (LPFilebuffer == NULL || LPImageBuffer == NULL)
	{
		perror("LPFilebuffer OR LPImageBuffer is NULL");
		return FALSE;
	}
	DWORD sizeOfHeader = 0;//头部文件对齐的大小
	DWORD sizeOfRawDatas = 0;//所有节需要的内存对齐大小
	PIMAGE_DOS_HEADER pDos =(PIMAGE_DOS_HEADER) LPImageBuffer;
	PIMAGE_FILE_HEADER pFileHeader =(PIMAGE_FILE_HEADER) (LPImageBuffer + pDos->e_lfanew + sizeof(DWORD));
	PIMAGE_SECTION_HEADER pFirstSectionHeader = (PIMAGE_SECTION_HEADER)((char*)pFileHeader + sizeof(IMAGE_FILE_HEADER) + pFileHeader->SizeOfOptionalHeader);
	
	PIMAGE_OPTIONAL_HEADER32 poptionalHeader32 = (PIMAGE_OPTIONAL_HEADER32)((char*)pFileHeader+sizeof(IMAGE_FILE_HEADER));
	PIMAGE_OPTIONAL_HEADER64 poptionalHeader64 = (PIMAGE_OPTIONAL_HEADER64)((char*)poptionalHeader32);
	
	//用于保存每个节区的节区FOA 和 文件对齐的大小.这样我就不需要遍历2次了.因为我现在还不知道要申请多大的一块内存
	PIMAGE_SECTION_HEADER pCurrentSectionHeader = pFirstSectionHeader;// 保存初始的指针位置
	
	for (size_t i = 0; i < pFileHeader->NumberOfSections; i++) {
		sizeOfRawDatas += pCurrentSectionHeader->SizeOfRawData;
		pCurrentSectionHeader++;
	}
	pCurrentSectionHeader--;//不 -- ,将会越界访问
	//开始为保存为文件 申请内存
	//读一下magic,便于看使用哪个可选头结构体
	WORD Magic = *(WORD*)((char*)pFileHeader + sizeof(IMAGE_FILE_HEADER));
	if (Magic == 0x10b)
	{
		sizeOfHeader = poptionalHeader32->SizeOfHeaders;
	}
	else
	{
		sizeOfHeader = poptionalHeader64->SizeOfHeaders;
	}
	//终于开始申请内存了
	char* pFileBuffer = (char*)malloc(sizeOfHeader + sizeOfRawDatas);
	if (pFileBuffer == NULL)
	{
		perror("pFileBuffer is faild");
		return FALSE;

	}
	memset(pFileBuffer, 0, sizeOfHeader + sizeOfRawDatas);
	for (size_t i = pFileHeader->NumberOfSections; i >0 ; i--)
	{
		char* source = (LPImageBuffer)+pCurrentSectionHeader->VirtualAddress;//获取到在内存中的位置
		char* dst = pFileBuffer + pCurrentSectionHeader->PointerToRawData;//获取到应该在文件中的位置
		DWORD copySize = pCurrentSectionHeader->SizeOfRawData;//文件对齐后的大小
		memcpy(dst, source, copySize);
		pCurrentSectionHeader--;
	}

	//复制整个头和节表
	memcpy(pFileBuffer, LPImageBuffer, sizeOfHeader);
	*LPFilebuffer = pFileBuffer;
	*BufferSize = sizeOfHeader + sizeOfRawDatas;
	return TRUE;
}
//保存到文件
BOOL StoringFile(__in char* SaveFilePath, __in char* FileBuffer ,DWORD BufferSize)
{
	if (SaveFilePath == NULL || FileBuffer == NULL)
	{
		perror("SaveFilePath or FileBuffer is NULL");
		return FALSE;
	}
	FILE* file = fopen(SaveFilePath,"r");
	{
		if (file) {
			// 文件已经存在
			fclose(file);
			printf("文件 '%s' 已存在,是否覆盖?(y/n): ", SaveFilePath);

			char response;
			scanf(" %c", &response); // 读取用户输入
			if (response != 'Y' && response != 'y') {
				printf("操作取消\n");
				return FALSE;
			}
		}

	}
	FILE* pFile = fopen(SaveFilePath, "wb");
	if (!pFile) {
		perror("无法打开文件");
		return FALSE;
	}
	// 写入数据到文件
	size_t elementsWritten = fwrite(FileBuffer, BufferSize, 1 , pFile);

	if (elementsWritten != BufferSize) {
//这里这样判断会出现问题,即使写入成功,也会导致进入这里 
		perror("写入错误");
		fclose(pFile);
		return FALSE;
	}

	// 关闭文件
	fclose(pFile);

	printf("数据已成功保存到二进制文件\n");

	return TRUE;
}


///
//测试拉伸文件,然后恢复文件,最后保存
BOOL TestLoadAndSave(__in char* m_fileName, __in char* SaveFilePath)
{
	char* Filebuffer = NULL;
	char* NewFielBuffer = NULL;
	CHAR* ImageBuffer = NULL;
	DWORD size = 0;
	do
	{
		if (!GetFileBuffer(m_fileName, &Filebuffer))break;
		if (!StrechFileBuffer(Filebuffer, &ImageBuffer))break;
		if (!RestoreImageToFile(ImageBuffer, &NewFielBuffer, &size))break;
		if (!StoringFile(SaveFilePath, NewFielBuffer, size))break;

	} while (FALSE);
	
	free(Filebuffer);
	free(ImageBuffer);
	free(NewFielBuffer);
	return TRUE;
}

///
//测试添加E8 E9 SHELLCODE 在节的空白区添加shellcode
BOOL AddShellCodeInEmpty(__in char* LPImageBuffer,__in char* Shellcode,DWORD SizeofShellcode)
{
	if (LPImageBuffer == NULL || Shellcode == NULL || SizeofShellcode==0)
	{
		perror("LPImageBuffer or Shellcode or SizeofShellcode is error");
	}
	
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)LPImageBuffer;
	PIMAGE_FILE_HEADER pFileHeader =(PIMAGE_FILE_HEADER) (LPImageBuffer + pDos->e_lfanew+sizeof(DWORD));
	PIMAGE_SECTION_HEADER pFirstSectionHeader = (PIMAGE_SECTION_HEADER)((char*)pFileHeader + sizeof(IMAGE_FILE_HEADER) + pFileHeader->SizeOfOptionalHeader);
	//尝试在节区某个空白区添加代码
	
	int EmptySize = 0;
	DWORD minSize = 0;
	BOOL FindIt = FALSE;
	//遍历节表
	PIMAGE_SECTION_HEADER pCurrent = pFirstSectionHeader;
	for (size_t i = 0; i < pFileHeader->NumberOfSections; i++)
	{
		if (pCurrent->Misc.VirtualSize < pCurrent->SizeOfRawData && (pCurrent->SizeOfRawData - pCurrent->Misc.VirtualSize) >= SizeofShellcode)
		{
			FindIt = TRUE;
			break;
		}
		pCurrent++;
	}
	if (FindIt==TRUE)//如果找到了
	{
		if ((pCurrent->Characteristics & 0x60000020) != 0x60000020)
		{
			//说明不是代码区,需要修改一下属性
			pCurrent->Characteristics |= 0x60000020;
		}
		//硬编码这一块写的非常烂,毫无兼容性,完全就是垃圾
        //硬编码这一块写的非常烂,毫无兼容性,完全就是垃圾
        //硬编码这一块写的非常烂,毫无兼容性,完全就是垃圾
		PIMAGE_OPTIONAL_HEADER32 pOptional = (PIMAGE_OPTIONAL_HEADER32)(char*)pFileHeader + sizeof(IMAGE_FILE_HEADER);//在使用 EOP和imagebase时,32位和64位是相同的
		///修正E8 //754A1060  是messagebox的地址
		//offect=要跳转的地址 减去 e8 下一条指令的地址
		DWORD offect = 0X754A1060 - (pOptional->ImageBase + pCurrent->VirtualAddress + pCurrent->Misc.VirtualSize + 0XD);
		*((PDWORD)&Shellcode[9]) = offect;
		//修复e9 要跳转的地址为oep
		offect = (pOptional->AddressOfEntryPoint + pOptional->ImageBase) - (pOptional->ImageBase + pCurrent->VirtualAddress + pCurrent->Misc.VirtualSize + 0x12);
		*((PDWORD)&Shellcode[14])= offect;
		memcpy(LPImageBuffer + pCurrent->VirtualAddress + pCurrent->Misc.VirtualSize, Shellcode, SizeofShellcode);

		//设置新的oep
		DWORD NewAddressOfPoint = pCurrent->VirtualAddress+ pCurrent->Misc.VirtualSize;
		pOptional->AddressOfEntryPoint = NewAddressOfPoint;
	
	}
	else
	{
		//很可惜没有找到
		//现在我们可以使用 新增节,扩大节 合并节 这些操作了
	}
	return TRUE;
}

BOOL TestAddShellCode(__in char* m_fileName, __in char* SaveFilePath)
{
	char* Filebuffer = NULL;
	char* NewFielBuffer = NULL;
	CHAR* ImageBuffer = NULL;
	DWORD size = 0;
	char shellcode[] = { 0X6A, 0X00,0X6A,0X00,0X6A,0X00,0X6A,0X00,0XE8,0X00,0X00,0X00,0X00,0XE9,0X00,0X00,0X00,0X00 };
	DWORD SizeofShellcode = sizeof(shellcode);
	do
	{
		if (!GetFileBuffer(m_fileName, &Filebuffer))break;
		if (!StrechFileBuffer(Filebuffer, &ImageBuffer))break;
		if (!AddShellCodeInEmpty(ImageBuffer, shellcode, SizeofShellcode))break;

		if (!RestoreImageToFile(ImageBuffer, &NewFielBuffer, &size))break;
		if (!StoringFile(SaveFilePath, NewFielBuffer, size))break;

	} while (FALSE);

	free(Filebuffer);
	free(ImageBuffer);
	free(NewFielBuffer);
	return TRUE;
}

我代码抄都抄不明白
关注
PE文件添加ShellCode
LittleCracker的博客
05-17 1844
最烦打代码了,但是貌似代码是最高效的方式……之前手动往PE文件中注入代码添加ShellCode,最近手动往PE文件中注入代码,貌似就是捆绑吧………………1------------------------------------------正题分割线------------------------------------------   工具:一个想添加ShellCode的程序,VS2013步骤为V...
pe_to_shellcode:将PE转换为Shellcode
05-09
它受Stephen Fewer的启发-但不同之处在于,使用pe2shc可以在编译后添加反射加载存根。 同样,以一种方式修改PE文件的头,使您可以从头开始执行注入的缓冲区-就像使用shellcode一样。 它将自动找到存根,并继续加载...
shellcode xor编码/解码[1]
weixin_34209851的博客
05-23 399
shellcode的初级变形的一点点总结,大部分搜集、翻译,少量原创 0x01 病毒上重定位问题0x02 shellcode解码0x03 一个unix例子0x04 源码解读0x05 参考 shellcode xor编码/解码器是一种较为初级的shellcode变形的方法,当然它从中采用的方法跟病毒上的方法有些类似 0x01 病毒上重定位问题病毒上的解决重定位的方法,可以方便的用到she...
ShellCode
weixin_46661122的博客
11-16 1091
关于利用图片Alpha通道隐写术隐藏Shellcode的攻击 Alpha通道,又叫做阿尔法通道,是指一张图片的透明和半透明度。例如:一个使用16位存储的图片,可能5位表示红色,5位表示绿色,5位表示蓝色,1位是阿尔法。在这种情况下,它要么表示透明要么不是。一个使用32位存储的图片,每8位表示红绿蓝,和阿尔法通道。在这种情况下,就不光可以表示透明还是不透明,阿尔法通道还可以表示256级的半透明度。 一般alpha值取0~1之间。通道分为三种通道。也就是有三个作用。 Alpha通道与Rgb图片为乘法运算即:图片
滴水三期:day31.1-代码节空白区添加代码
Edimade的博客
05-02 1251
一、代码节空白区添加代码(1.MessageBox函数说明>2.call与jmp指令的硬编码>3.添加代码效果说明>4.添加思路)>二、作业(1.在代码空白区添加代码(手动))
滴水三期:day33.1-新增节、扩大节-添加代码
Edimade的博客
05-02 1288
一、新增节思路>二、手动新增节添加代码>三、代码实现(1.编程实现:新增一个节,并添加代码>2.编程实现:扩大最后一个节,并添加代码)
代码节空白区添加代码
qq_51600802的博客
10-27 786
和上述过程类似,但是直接在ImageBuffer中改我们计算E8和E9后面的值就可以不用再将文件地址转为内存地址了,在哪里添加硬编码,直接取这个地址代到公式中进行计算即可,更方便一些,但是winhex工具目前为止无法实现,虽然可以修改,但是最后没办法保存,因为如果保存,只能保存此时的全部数据,即运行时拉伸过的全部数据到一个新的文件中,但是我们保存到硬盘上,是需要没有拉伸的,即文件对齐的,所以可以改,但是最后没法保存,不信就往下看。它不是C函数库的标准函数,而是一个API,我们可以用C语言调用API函数。
滴水三期:day32.1-编码实现向节中添加代码
Edimade的博客
05-02 692
一、编码实现向代码节添加代码(1.不同软件的地址问题)>二、编写代码(1.向代码区空白区添加代码>2.向任何区空白区添加代码)
滴水三期:day34.1-扩大节、合并节
Edimade的博客
05-02 649
一、添加代码的方式>二、合并节思路>三、作业(1.扩大最后一个节,保证程序正常运行(手动)>2.编码实现合并节>3.定义函数,能够返回对齐后的大小)
pe_to_shellcode_linux:PEshellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode(https:github.comhasherezadepe_to_shellcode
02-13
pe_to_shellcode_linux PEshellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode( )。 Hashrezade的HLDR64文件源 下载和构建: 在终端中,通过git...
PE文件添加节.zip
08-19
PE文件添加节是一个涉及到Windows可执行文件结构和编程技术的主题。PE(Portable Executable)文件格式是Microsoft Windows操作系统中用于存放可执行程序、动态链接库(DLL)等类型的文件的标准格式。在这里,我们...
使用C语言写的shellcode来加载PE文件基于Power.zip
10-31
使用C语言写的shellcode来加载PE文件基于Power
每日一题——第一百二十一题
weixin_45778846的博客
11-07 866
【代码】每日一题——第一百二十一题。
B2119 删除单词后缀
qq_46243318的博客
11-06 578
中,编译器根据提供的初始化列表 `{ "er", "ly", "ing" }` 看到有 `3` 个字符串,所以推断出数组有 `3` 行。- 例如,`patterns[0]` 是一个指向 `"er"` 的 `char` 数组,`patterns[1]` 指向 `"ly"`,`patterns[2]` 指向 `"ing"`。- `strcmp(word + len - 2, "er")` 比较的是字符串 `"er"` 与 `"er"`,结果返回 `0`,说明 `word` 确实以 `"er"` 结尾。
C#学习记录--更新中
2301_76618920的博客
11-06 810
让泛型的类型有一定的限制关键字:where泛型约束一共有6种1.值类型 where 泛型字母:struct2.引用类型 where 泛型字母:class3.存在无参公共构造函数 where 泛型字母:new ()4.某个类本身或者其派生类 where 泛型字母:类名5.某个接口的派生类型 where 泛型字母:接口名6.另一个泛型类型本身或者派生类型 where 泛型字母:另一个泛型字母where 泛型字母:(约束的类型)
C# 集合与泛型
Y的博客
11-09 608
CSharp 集合与泛型的知识点
C#核心(9)静态类和静态构造函数
最新发布
a6s686的博客
11-09 287
静态的相关东西我们大致就已经讲完了,我们讲这么多其实都是为了unity设计模式中的单例模式服务,这个东西你们在日后做自己的demo的时候会经常使用。所以请务必熟悉静态相关的知识点。还是那句话,脚踏实地,一步一个脚印。请期待我下一篇博客!
数据库的使用05:不规范的写法与操作记录
m0_67412019的博客
11-05 371
【严禁】sql写成【原因】生产环境的不一定和开发环境的一样【正确写法】
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值