浅析Pe2shellcode

最新推荐文章于 2025-11-16 12:48:52 发布
原创 最新推荐文章于 2025-11-16 12:48:52 发布 · 1.6k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shellcode #Pe2shellcode #安全 #网络安全

编者注:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

前言

众所周知,对shellcode免杀是很流行的技术,但是直接对exe的免杀方法相对稀缺,如果我们能将exe转为shellcode,然后用shellcode免杀那一套就会简单许多。所以shellcode转exe是一个很值得研究的课题。下面我将大概讲解一下pe2shellcode这个开源项目的思路。

Github项目地:

https://github.com/hasherezade/pe_to_shellcode。

代码分析

我们先看看它的项目结构,主要模块有Injector、Runshc、pe2shr。

图片

1 Injector

该文件夹下存在一个main.cpp。

图片

这是一个简单的远程shellcode注入的代码,用于将我们的恶意代码注入到其它进程。

关于进程注入这里就不赘述了。

2 Runshc

主文件main.cpp。

图片

这是个最基本shellcode加载器,可以看出来Injector和Runshc都是给PE转成shellcode之后测试用的,测试shellcode是否能成功运行。

然后就是libpeconv。

图片

这个工具也是非常经典,拿来用和学习pe结构都特别好(https://github.com/hasherezade/libpeconv),这个工具可以用来处理解析PE文件,可以用以替代windows的Createprocess制作Runshc和pe2shr。很巧的是,pe2shr里面的stub.bin是作者用汇编实现的一个简易版的libpeconv。

3 pe2shr

然后就是文章主角pe2shc,利用了stub32.bin、stub64.bin和main.cpp。

stub32.bin和stub64.bin是一个作者用汇编写的一个peloader。

图片

接着打开main.cpp看看作者怎么实现的pe2shellcode。

图片

前面就是对参数的处理,比如获取需要处理的原生pe路径,设置输出的shellcode路径,然后就是步入is_supporte_pe函数。

图片

可以看到有三点:

1、必须要有重定位表

2、不能是控制台应用程序

3、不能是.net程序,.net的pe结构不同之处在于pe头中的IMAGE_OPTIONAL_HEARDER:这个结构中的数据目录DataDirectory包括了映像文件中的CLR头的RVA和大小。而stub并没有处理.net形式PE的代码。

其实除了作者在代码里列出的三种pe无法执行之外,有些有tls表的pe以及某些使用了延迟重定位表的pe也是转换不了的(或者说转换了也运行不了),因为作者的stub并没有对这些表处理,后面讲到stub的时候就可以发现了。

图片

接下来将原生pe加载进内存处理后再将更改后的shellcode另存为(或者叫它pe?)。

关键是处理这一

最低0.47元/天 解锁文章
安全研发----使用pe_to_shellcode免杀mimikatz
SHELLCODE_8BIT的博客
10-28 3389
前言 mimikatz是一款大量使用的项目,我们在实战中经常会用到它来抓取目标密码,而由于项目中大量实战导致杀软查杀非常严重,我们来看看现在的mimikatz编译出来的查杀情况。在该项目中我们会学习到一个叫pe_to_shellcode的项目,直接能够将pe转换成shellcode,可以简易的将pe使用内存加载避开特征文件落地。 一.下载和编译mimikatz 首先从https://github.com/gentilmimikatz下载mimikatz 二.去掉mimikatz大部分特征 1.
pe植入shellcode
m0_46377671的博客
11-29 744
shellcode是一个弹窗,为: fc686a0a381e686389d14f683274910c8bf48d7ef433dbb7042be366bb33325368757365725433d2648b5a308b4b0c8b491c8b098b6908ad3d6a0a381e750595ff57f895608b453c8b4c057803cd8b592003dd33ff478b34bb03f5990fbe063ac47408c1ca0703d046ebf13b54241c75e48b592403dd66
pe_to_shellcode:将PE转换为Shellcode
05-09
pe_to_shellcode 转换PE,以便可以像普通shellcode一样将其注入。 (同时,输出文件仍然是有效的PE)。 同时支持32位和64位PE 作者: 和 客观的 该项目的目标是提供一种生成PE文件的可能性,该文件可以轻松完成注入。 它受Stephen Fewer的启发-但不同之处在于,使用pe2shc可以在编译后添加反射加载存根。 同样,以一种方式修改PE文件的头,使您可以从头开始执行注入的缓冲区-就像使用shellcode一样。 它将自动找到存根,并继续加载完整的PE。 建物 下载最新。 克隆 使用递归克隆将存储库与所有子模块一起获取: git clone --recursive https://github.com/hasherezade/pe_to_shellcode.git 如何使用它 使用pe2shc.exe转换您选择的PEpe2shc.exe <pat
pe_to_shellcode_linux:PEshellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode(https:github.comhasherezadepe_to_shellcode
02-13
pe_to_shellcode_linux PEshellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode( )。 Hashrezade的HLDR64文件源 下载和构建: 在终端中,通过git下载源代码: git clone cd进入文件夹: cd pe_to_shellcode_linux 键入./build.sh 选项: -f指定要转换的exe文件 -o输出要使用的二进制shell文件 用法:pe2shellcode -f 64bitexe.exe -o shellcode.sc
libpeconv 开源项目教程
gitblog_01048的博客
11-16 468
libpeconv 是一个用于加载和转换 PE (Portable Executable) 文件的开源库。它提供了一系列的工具和函数,帮助开发者解析、修改和加载 PE 文件。该项目由 hasherezade 开发,主要用于逆向工程、恶意软件分析和安全研究。 ## 项目快速启动 ### 环境准备 在开始使用 libpeconv 之前,请确保您的开发环境已经安装了以下工具和库: - CMake
手工给程序插入 ShellCode
热门推荐
优快云
11-04 1万+
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,本次实验的目标是手工修改或增加节区,并给特定可执行程序插入一段ShellCode代码,实现程序运行自动反弹一个Shell会话。 VA地址与FOA地址互转 首先我...
PEShellcode项目使用教程
gitblog_00291的博客
08-16 553
PEShellcode项目是一个开源工具,用于将PE(Portable Executable)文件转换成可以在目标进程中像shellcode那样直接注入并执行的格式。以下是该项目的目录结构及其介绍: ``` pe_to_shellcode/ ├── CMakeLists.txt ├── LICENSE ├── README.md ├── src/ │ ├── main.cpp │ ├─...
【亲测免费】 pe_to_shellcode - 让PE文件像shellcode一样注入运行
gitblog_00008的博客
05-12 1134
`pe_to_shellcode` 是一个开源工具,由[@hasherezade](https://github.com/hasherezade)和[@hh86](https://github.com/86hh)共同开发。它能够将PE(Portable Executable)文件转换成可以在目标进程中像shellcode那样直接注入并执行的格式。这种转换后,PE文件保持其原始结构的同时,添加了反射...
pe2shc_pe_to_shellcode_analysis.md
最新发布
12-04
在探讨pe2shc工具如何将PE文件转换为Shellcode的过程中,首先需要了解PE文件和Shellcode的基本概念。PE文件是指Windows操作系统中的可执行文件格式,也即 Portable Executable,而Shellcode通常指的是一段代码,旨在...
shellcode 插入到PE节表的间隔中
小驹的专栏
12-04 1万+
shellcode 插入到PE节表的间隔中 // InsertShellCodeToPE.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include #define FILENAME "hello.exe" //自定义的shellcode char shellcod
PE手动添加shellcode
qq_45694932的博客
07-19 722
1、用OllyDBG加载notepad,左下角command框中输入bp MessageBoxA下断点。查看断点即可得MessageBox地址为:0x755b1060 2、call和jmp指令地址的计算 #include <stdio.h> #include <windows.h> void func() { MessageBox(0, 0, 0, 0); } int main() { func(); return 0; } main 函数的反汇编
ShellcodeLoader:加载shellcodePE进行分析的小工具
05-18
ShellcodeLoader 构建ShellcodeLoader的目的是在可执行文件的上下文中快速调试在恶意软件分析中提取的Shellcode。 ShelcodeLoader的工作是从磁盘到内存读取一个常规文件,然后跳转到基址或指定的入口点以执行该文件。 它会自动检测是否正在调试,并在执行shellcode之前询问用户是否要设置断点。 在x86和x64系统中工作。 发行版 转到“发行版”选项卡并下载已编译的可执行文件。 用法 该文件是必需的。 其他参数是可选的。 ShellcodeLoader.exe [-e --entrypoint ENTRYPOINT] [-a --address ADDRESS] [-r --run] [-b --break] FILE 加载文件并以指定的偏移量执行代码 ShellcodeLoader.exe -e 1000 shellcodex86.bi
WindowsPE(二)空白区添加代码&新增,扩大,合并节
sky123博客
11-20 1189
PE 中插入一段调用 MessageBox 的代码。利 OD 定位出 MessageBoxA 函数的地址为 0x77D507EA 。 构造 shellcode : 其中 shellcode 中的地址需要根据 shellcodePE 中插入的位置来确定。节表中的 SizeOfRawData 为 该节在 PE 文件中关于文件对齐后的大小,Misc.VirtualSize 为该节加载到内存后的真实大小。因此可以添加内容的空白区域大小为 SizeOfRawData - Misc.VirtualSize
ShellCode详解一
gongxie0235的博客
05-11 1045
这些数据会导致什么问题呢,那就是当当我们的shellcode代码调用这些数据地址时,执行shellcode的进程若不是我们shellcode的进程则会出现一些无法预料错误,它是找不到这些数据的地址的。大功告成,现在已经没有那些杂乱的数据了,剩下的就可以不用管了,它并不影响我们的shellcode代码,接下来就到了我们的正题了(编写shellcode代码),哈哈哈,别着急,请听下回分解^ - ^从上图中可以看到,导入表中的库明显少了,那么剩下的这个库怎么去掉呢,别着急,我们继续往下走。
ShellCode详解三
gongxie0235的博客
05-11 1329
直接进入正题。在完成正式的shellcode代码导出之前,我们先手动的对代码进行导出,以使各位同学更加了解其原理。
远控免杀从入门到实践 (11) 终结篇
weixin_46236101的博客
03-13 4873
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践
关于shellcode工具的一些收集
r250414958的博客
01-01 585
之前的C语言shellcode模板并不够便捷 然后发现了个更加优秀的模板支持:x86/x64 PIC_Bindshell:https://github.com/mattifestation/PIC_Bindshell 下面这个是看雪大佬基于上面的工程改良过的模板,不过需要20块买个课程,里面有一些讲解优化的思路以及排除一些之前模板上的bug,个人感觉还是可以,有兴趣的师傅可以买来看看: https://www.kanxue.com/book-brief-40.htm C++模板: ShellcodeStd
探秘libPeConv:一个强大的PE文件处理库
gitblog_00065的博客
05-15 637
探秘libPeConv:一个强大的PE文件处理库 项目介绍 libPeConv是一个高效的开源库,专门用于加载和操作PE(Portable Executable)文件。它集成了各种实用的函数,可方便地在自定义加载器中进行整合,例如重新映射段、应用重定位、加载导入以及解析资源。这个库不仅能够帮助你加载PE文件,还可以进行诸如IAT钩子(通过提供自定义IAT解析器)和函数重定向等高级操作。虽然不是为了...
PEShellcode项目推荐
gitblog_01060的博客
11-22 324
PEShellcode项目(pe_to_shellcode)是一个开源工具,旨在将PE文件(可执行文件)转换为ShellcodeShellcode是一种可注入的代码片段,通常用于渗透测试和恶意软件分析。该项目的主要编程语言包括C++、汇编(Assembly)、CMake等。 ## 2. 项目的核心功能 该项目的主要功能是将PE文件转换为Shellcode,使得转换后的文件既可以像普通She...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值