滴水逆向作业——PE向代码区添加messagebox的shellcode

最新推荐文章于 2023-12-19 22:15:25 发布
最新推荐文章于 2023-12-19 22:15:25 发布
阅读量2k 收藏 14
点赞数 3
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44584614/article/details/104423999
版权
本文介绍如何向PE文件的代码区添加messagebox的shellcode,详细阐述了从读取文件到内存,计算跳转地址,修改E8/E9指令,以及最后保存新文件的具体步骤。同时,提到了在不同阶段处理内存和地址转换的注意事项。
摘要由CSDN通过智能技术生成

摘要:向PE结构的代码区添加messagebox的shellcode,使打开exe文件时,先执行shellcode的内容,再执行本身的功能。

1.具体流程

在这里插入图片描述
流程如下:
先将.exe文件以文件模式(filebuffer)读取到内存中,再将其拉伸读取到另一段内存中内存模式(imagebuffer)但注意这可不是运行状态。判断代码区是否有存放shellcode代码的空间,如果有的话,将准备好的shellcode存入(关于shellcode中的操作下面会讲)。将内存模式(imagebuffer)再转化为另一个文件模式(newbuffer),最终存盘。

2.硬编码

调用一个程序时,对应的硬编码:

int main()
{
   
	function(); //调用function函数时对应的硬编码
	system("pause");
	return 0;
}

查看反汇编,可以看到:function(); 对应的硬编码E8 53 FE FF FF。功能:可能时跳到程序处。
在这里插入图片描述
F11单步进入,看到还有个JMP,对应的硬编码:E9 2B 2B 00 00。功能:可能时跳到function()下一句。
在这里插入图片描述

3.跳转地址

1.如下图,E8后的四个字节并不是要跳转的地址。
在这里插入图片描述
而是要满足公式:真正要跳转的地址 = E8这条指令的下一行地址 + X
也就是:要跳转的地方 = E8当前的地址 + 5 + X
计算结果如下,注意在memory中时小端模式存储,刚好对应E8后的3C31FFFF
在这里插入图片描述
2.同理,E9后的四个字节也是这么计算的。
在这里插入图片描述
要跳转的地方 = E9当前的地址 + 5 + X
在这里插入图片描述
结果为00 00 00 12。小端存储,E9后为12 00 00 00

代码如下:

#include "stdafx.h"
#include "string.h"
#include <malloc.h>
#include <windows.h>


#define lpszFile "D:\\Lib\\IPMSG2007.exe"
#define size_shellcode 0x12
#define messagebox_add 0x77630c30  
//#define file_path "D:\\Lib\\IPMSG2007.exe"
//#define write_file_path "D:\\Lib\\cp_IPMSG2007.exe"


BYTE shellcode[] = {
   
	0x6A,00,0x6A,00,0x6A,00,0x6A,00,
	0XE8,00,00,00,00,
	0XE9,00,00,00,00
};

char file_path[] = "D:\\Lib\\IPMSG2007.exe";
char write_file_path[] = "D:\\Lib\\cp_IPMSG2007.exe";

// exe->filebuffer  返回值为计算所得文件大小
int ReadPEFile(char* file_path,PVOID* pFileBuffer)
{
   
	FILE* pfile = NULL;  // 文件指针
	DWORD file_size = 0;
	LPVOID pTempFilebuffer = NULL;
	
	// 打开文件
	pfile = fopen(file_path,"rb");  // 如果有新的指针,就要进行判断
	if(!pfile)
	{
   
		printf("打开exe文件失败!\n");//如果分配失败就要关闭文件、释放动态内存、指针指向NULL
		return 0;
	}	
	// 读取文件大小
	fseek(pfile,0,SEEK_END);
	file_size = ftell(pfile);
	fseek(pfile,0,SEEK_SET);
	// 分配空间
	pTempFilebuffer = malloc(file_size);  // 如果有新的指针,就要进行判断
	if(!pTempFilebuffer)
	{
   
		printf("分配空间失败!\n");//如果分配失败就要关闭文件、释放动态内存、指针指向NULL
		fclose(pfile);
		return 0 ;
	}
	// 将数据读取到内存中
	size_t n = fread(pTempFilebuffer,file_size,1,pfile);
	if(!n)
	{
   
		printf("数据读取到内存中失败!\n"); //如果分配失败就要关闭文件、释放动态内存、指针指向NULL
		fclose(pfile);
		free(pTempFilebuffer);
		return 0 ;
	}
	// 关闭文件(已经读取到内存了)
	*pFileBuffer = pTempFilebuffer;
	pTempFilebuffer = NULL;
	fclose(pfile); 
	return file_size;
}

// filebuffer -> imagebuffer
DWORD CopyFileBufferToImageBuffer(PVOID pFileBuffer,PVOID* pImageBuffer)
{
   
	// 初始化PE头部结构体
	PIMAGE_DOS_HEADER pDosHeader =
最低0.47元/天 解锁文章
刘大聪聪聪聪
关注
专栏目录
逆向——PE导出表分析及应用
young的博客
03-22 1703
逆向——PE导出表分析及应用 文章目录逆向——PE导出表分析及应用前言一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件的导出表结构,分析导出函数VA的获取过程,得出导出表结构;研究导出表的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
PE文件增添启动时对话框
03-17
http://blog.csdn.net/wudaijun/article/details/8684822 增强对地址空间,文件映射,PE文件格式的理解和应用。 用VS2008开发。
滴水逆向----代码添加shellcode
clayoa的博客
01-09 763
上次海哥讲到FileBuffer------>ImageBuffer,这次我们需要在代码添加代码 我们这次要添加代码功能:双击exe,先跳出MessageBox,然后软件正常使用 需要的知识点: 1.我们添加代码不是c,不是汇编,而是二进制,因为exe都是二进制组成的,我们要知道一些汇编的硬编码,call的硬编码是E8,jmp的硬编码是E9 2.知道了call的硬编码,那么后面的地址是直接用编译器打开的地址吗?不是的,地址是经过转换得到的,公式:真正要跳转的地址=E8下一条指令的地址+X
PE添加一个弹窗(MssageBox)
weixin_42603425的博客
07-08 1293
#include&lt;windows.h&gt; #include&lt;stdio.h&gt; #include&lt;stdlib.h&gt; int Deviation = 0; //偏移 PIMAGE_DOS_HEADERDOSHANDER = NULL;//DOS头 PIMAGE_NT_HEADERSNTHEADERS = NULL;//NT...
滴水6.3-shellcode远程线程注入
最新发布
weixin_43751677的博客
12-19 404
远程线程注入和卸载,CreateRemoteThread
pe文件添加messagebox
lansefly1990的专栏
03-31 745
最近在看滴水逆向视频,看到如何向pe文件中添加messagebox,主要添加过程如下: 说明: 给小bug刷钻.exe程序添加一个messagebox的弹窗 1、添加思路 为了实现给目标程序添加弹框,由于程序在运行时都是二进制形式,所以先要获取添加shellcode的编码,然后在程序的可执行域加入恶意代码,此处的可执行域主要是指代码的空白。(只有代码才有可有可执行权限,空白主要是指VirtualAddress补齐后的域,如下图标注域) 添加完后,需要执行call函数调佣恶意
HOOKAPI(二)——HOOK自己程序的MessageBox
02-02
这里是HOOK自己程序的MessageBox,即将自己程序对MessageBoxAPI的调用重定向到自己实现的API中,在自己定义的API中实现内容的替换。需要注意的是,本例子的HOOK仅仅对自己实现的MFC窗口程序,当开始HOOK后,自己的...
逆向——PE头及导入表应用
young的博客
03-22 1781
逆向——PE头及导入表应用 文章目录逆向——PE头及导入表应用前言一、PE可执行文件分析二、调试软件OllyDBG2.1、利用OD软件调试PE文件。2.2、怎么理解E8 08000000?2.3、F7单步步入和F8单步步过 有什么不同?2.4、修改EXE文件字节码2.5、修改是从文件偏移的什么地方开始的(FOA和VA、RVA分别的多少)?三、调试软件W32DASM3.1、该函数用到哪几个DLL,分别用到哪几个函数?四、FlexHex 或 Winhex4.1、如何初步判断一个文件是PE文件?五、利用PEdi
手动PE编辑 写出MessageBox
Miibotree
04-24 2224
自己第一遍想手动写PE格式的时候,以为一个字段都不能错,小心翼翼的开始写。这得写到猴年马月去了呀。每次字段都仔细地琢磨一下,研究一下,结果到头来程序还是不能运行。 第二遍写的时候,参考了网上的“手工打造微型win32可执行文件”这篇文章。 http://www.xfocus.net/articles/200302/482.html 文章写的很早了,自己看了这篇文章以后觉得收获非常的大
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
滴水逆向中级课件源码
08-06
滴水逆向中级课件源码,学习最前沿的软件安全和逆向分析技术。
PE文件结构查看工具源码
08-24
学习PE文件结构时写的一个控制台小工具。
修改PE文件,在空白处添加代码添加messagebox)#笔记
Sanshul的博客
11-19 667
修改PE文件,在空白处添加代码
PE加壳工具源码
05-26
添加新的段、修改OEP、加密源代码添加密码验证窗口、简单反调试。
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
汇编PE工具源码
06-13
汇编PE工具源码,初学PE不错的选择,有PE基础都能看懂。
HOOKAPI入门:如何HOOK自己程序的MessageBox
在本文档的"HOOKAPI(二)——HOOK自己程序的MessageBox"部分,作者讲解了一个基础的HOOKAPI应用实例,即替换程序中对MessageBoxAPI的调用,以实现自定义的消息显示功能。 首先,文章强调了在Windows系统中,每个...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值