写一个PE的壳_Part 1:加载PE文件到内存

已于 2022-05-30 20:32:27 修改
阅读量1.3k 收藏 9
点赞数 2
CC 4.0 BY-SA版权
分类专栏: # 写一个PE的壳 文章标签: c++ windows 安全
于 2022-05-25 02:10:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44531336/article/details/124958499

前面都是PE的零散的知识,可以通过给PE文件写一个壳将前面的PE相关知识进行汇总

网上看到了一个英文教程(详细看参考),里面包含了给PE加壳和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part 4),对理解PE文件格式和脱壳很有帮助

下面是结合自己的实践写的笔记,不是教程的原版翻译

教程主要实现的壳的整体功能:

  • 1.A PE File will be copied as-is (at first) in a custom section.
  • 2.The unpacker will load this PE in memory and jump on it.

源码:https://github.com/jeremybeaume/packer-tutorial

编译器选取

可以使用Visual Studio或者MinGW,本教程使用MinGW64

MinGW编译器安装教程:MinGW-w64安装教程——著名C/C++编译器GCC的Windows版本_无知人生 (ivu4e.com)

  • 小插曲:由于实验的机器使用的是win10,64位;导致开始使用MinGW64编译时总是达不到预期效果,后来发现MinGW64默认生成的是64位程序,尝试使用-m32参数显示缺库,还是不生效(生效是要32位的库是全的才可以,自己电脑不想安装那么多库,不处理了)

  • 解决:重新下载i686-8.1.0-release-win32-sjlj-rt_v6-rev0版本,使用i686-w64-mingw32-gcc.exe 就可以了

教程使用的测试程序:以系统自带的32位计算器进行测试,路径:C:\Windows\SysWOW64\calc.exe

系列汇总

文章目录

Part 1:加载PE文件到内存

目的:写一个读取PE文件,分析它的头部信息、将它的节区信息映射到内存的程序(loader.exe

1.main函数框架

main函数实现的主要功能如下:

  • 1.读取一个文件,申请一块能放下文件大小的内存
  • 2.调用load_PE函数将PE文件读取到上面申请的内存中,然后返回PE文件的EP(暂时先不关心具体的实现)
  • 3.从PE文件EP处开始执行
#include <stdio.h>
#include <stdlib.h>
// loads a PE in memory, returns the entry point address
void* load_PE (char* PE_data);
int main(int argc, char** argv) {
   
   
    if(argc<2) {
   
   
        printf("missing path argument\n");
        return 1;
    }

    FILE* exe_file = fopen(argv[1], "rb");		//读取一个PE文件
    if(!exe_file) {
   
   
        printf("error opening file\n");
        return 1;
    }

    fseek(exe_file, 0L, SEEK_END</
最低0.47元/天 解锁文章

200万优质内容无限畅学
一个PE_Part 5:PE格式修复+lief源码修改
可乐松子的博客
05-27 1026
文章目录1.CFF查看2.python再次加载3.异常2的Raw问题step 1:运行程序step 2:调试器运行程序step 3:单步调试step 4:CFF查看二进制step 5:查看LIEF源码step 6:解决办法step 7:结果验证step 8:源码修改建议4.参考 用原教程中Part 4的py文件处理test.exe,生成名为packed_bug1.exe程序;运行时直接报错 下面给出了整个修复的思路 1.CFF查看 CFF看一下packed_bug1.exe,直观上会发现2处异常,导致PE
Wine中PE格式文件加载(三):PE格式文件加载
chrisnotfound
04-16 1413
前面分析到ntdll中加载了kernel32,然后调用了kernel32的初始化函数__wine_kernel_init。该函数的实现在dlls/kernel32/process.c中。内容较多,就不完整截图了首先函数开始获取了需要加载windows应用的路径名,这个就是在开始执行的命令的微信的绝对路径,在wine中一般为“/home/username/.wine/drive_c/Program...
关于PE文件内存加载分享
最新发布
2401_84434570的博客
05-20 1257
当我们想要加载执行一个程序或者shellcode时,通常的做法就是双击exe执行,然而在攻防场景中这并不容易做到,考虑到有杀软或EDR设备的环境下,命令行执行很大概率也会报毒,这是因为进程的调用链是cmd→灰进程,对于av来说这种调用很可疑,为了规避这种敏感调用,一种方法是断链, 关于断链的内容这里不多赘述,读者可自行查找学习,另一种方法就是内存加载,把DLL或者exe等PE格式的文件内存中直接加载内存中去执行,不需要通过LoadLibrary等API函数去操作,这样做的好处是。
Pe研究之:从内存加载Pe文件(代码重定位,进程隐藏,代码注入)
mergerly的专栏
01-19 5125
<br />Pe研究之:<br /> <br />从内存加载Pe文件<br /> <br />作者:Sunline              lisunlin0@yahoo.com.cn 日期:2007年7月<br />关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件<br />Remotthread, injectcode, relocation code, load dll from memory, load pe from memory load pe from memor
PE(dll、exe)文件内存加载(手动映射)小记
qq_31314583的博客
09-28 2692
前言 PE文件即Windos操作系统下的可执行文件文件结构名称,其中包含但不限于.dll .exe .sys .ocx等等。内存加载PE顾名思义就是通过内存,而非文件。这里的内存指代的是直接加载源。 这个技术其实很早之前就有了,网上也有很多开源可参考的代码,但是仅做一个伸手党那是绝对不行的,首先这些历史悠久的代码存在或多或少的bug,或莫名的崩溃咯,或32和64不兼容咯,各种问题皆是。当然,这些前辈先贤的代码一定是具有非常大的参考和开拓意义的。 技术用途 ...
内存加载PE模块
09-07
内存加载PE模块
一个PE_Part 3:Section里实现PE装载器
可乐松子的博客
05-26 1021
文章目录Part 3:Setion里实现PE装载器1.unpack部分step 1:通用想法step 2:修改代码step 3:编译选项2.用python打包step 1:lief安装和使用step 2:避免告警step 3:命令行参数step 4:准备文件step 5:给PE文件添加一个section3.结果展示4.遗留问题5.参考 Part 3:Setion里实现PE装载器 Part 3主要做了什么? Part 1Part 2中我们一个简易的PE装载器(loader.exe),可以加载一个3
一个PE_Part 6:简单的混淆
可乐松子的博客
05-27 902
文章目录1.清理step 1:移除不必要信息step 2:重命名.packed2.简单的混淆step 1:改变packer(python)step 2:改变unpacker(C)3.结果4.其他可能5.参考 处理完Part 4,Part 5会轻松很多;Part 6主要是对Part4 中的最终结果中加入简单的混淆 1.清理 step 1:移除不必要信息 当前现状 我们已经使用 -nostartfiles 和 -nostdlib编译选项,在最终的二进制文件中移除了C的标准库和运行时库;但是结果PE中可能
一个PE_Part 4:修复对ASLR支持+lief构建新PE
可乐松子的博客
05-27 842
文章目录1.解决思路step 1:当前现状step 2:解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2:ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位表,因此无法产生可移动的二进制文件Part 4中要处理MinGW生成的可执行文件(不能移动的,即不支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
PE文件内存中的加载
duangduang2020的博客
07-28 2955
PE文件分为 文件头,各个数据节 在PE文件中,各个部分不满200h个字节的,用0填充,直到满足200h个字节 PE文件加载内存后,各个部分不满4KB个字节的,用0填充,直到满足4KB个字节 这里说的各个部分包括文件头和各个数据节,特别需要注意的是文件头也是这样的单独一部分!
RunPE 内存中直接运行PE文件
02-04
内存中直接运行PE文件
PE工具源码
05-26
添加新的区段、修改OEP、加密源代码、添加密码验证窗口、简单反调试。
PE文件软件源代码
05-08
本软件能对PE文件exe加,保护程序,这个是源代码程序,学习加的,可以看看
RunPE-In-Memory:在内存中运行Exe文件PE模块)(如Application Loader)
02-06
RunPE-In-Memory:在内存中运行Exe文件PE模块)(如Application Loader)
Delphi PE文件加密加源码实例.rar
07-10
Delphi PE文件加密加源码实例,思路是在执行exe时尾部添加一个Section,修改PE的入口地址,使exe在运行时跳出一个输入密码对话框,从而实现简单加密。同时源码包中还有一个BIG繁体版本供参考。
PE文件加载内存的主要步骤
gzfqh的专栏 →底层代码研究
04-16 7922
1PE文件被执行,PE加载器会首先检查DOS MZ header里的PE header偏移量。如果找到则忽视DOS stub 部分直接跳转到PE header。 2 PE 加载器会检查PE header是否有效,有效则跳到PE header的尾部。3 PE 加载器读取节表中的信息,然后采用内存文件映射的方法将这些节映射到内存,同时按照节表的属性设置内存块的属性。 4 PE 文件映射到内存后,P
逆向分析学习笔记--PE文件加载流程
王二娃的生活的博客
10-07 2456
一、WIN32PE加载流程(参考《软件保护及分析技术》) win32程序一般是由其他程序启动生成的,启动的顺序一般为: 1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建 2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数中指定的程序状态和文件
内存中直接运行PE程序
weixin_34202952的博客
09-07 235
效果是这样的,假设一个PE数据在内存里面了,我们利用下面我讲的技术可以直接建立一个进程并运行这个PE,当然直接在本进程运行在可以,这两钟技术在前些时日我都有实现,今天我只说关于建立进程并运行的,当然,为了防止无味的技术剽窃,我不准备给出完整代码,只给出部分关键性代码. 这种技术严格来说没有什么用处,不过对于用到木马病毒上效果缺非常不错,当然我并非是用到木马或者是病毒当中,我是用在直接从网络上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值