写一个PE的壳_Part 6:简单的混淆

原创 已于 2022-05-30 20:34:11 修改 · 902 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #安全 #windows #python

于 2022-05-27 22:30:00 首次发布

系列汇总

文章目录

处理完Part 4,Part 5会轻松很多;Part 6主要是对Part 4 中的最终结果中加入简单的混淆

1.清理

step 1:移除不必要信息

  • 当前现状

我们已经使用 -nostartfiles-nostdlib编译选项,在最终的二进制文件中移除了C的标准库和运行时库;但是结果PE中可能还有其他不必要的section和符号信息

给cal.exe打包的后的section分布如下

在这里插入图片描述

  • 加入改变

我们将新增2个编译选项:-fno-ident-fno-asynchronous-unwind-tables 进一步清除section

-fno-ident:忽略#ident命令
-fno-asynchronous-unwind-tables:用来不生成CFI指令,禁止生成.eh_frame和.eh_frame_hdr section

同时使用strip.exe移除符号信息和调试信息,进一步减小文件体积

因此,compile_stub函数更改如下

def compile_stub(input_cfile, output_exe_file, more_parameters = []):
    cmd = (["mingw32-gcc.exe", input_cfile
最低0.47元/天 解锁文章

200万优质内容无限畅学
基于ESP32的MicroPython项目量产烧指南
qq_20031585的博客
02-29 1779
前段时间用MicroPython开发了一个项目,硬件是ESP32-C3,目前准备量产,我需要提供固件以供加工厂批量烧录,需要把我有程序的板子里的程序读出来,然后下到别的板子上,以下做这件事情的过程记录。
一个PE_Part 5:PE格式修复+lief源码修改
可乐松子的博客
05-27 1026
文章目录1.CFF查看2.python再次加载3.异常2的Raw问题step 1:运行程序step 2:调试器运行程序step 3:单步调试step 4:CFF查看二进制step 5:查看LIEF源码step 6:解决办法step 7:结果验证step 8:源码修改建议4.参考 用原教程中Part 4的py文件处理test.exe,生成名为packed_bug1.exe程序;运行时直接报错 下面给出了整个修复的思路 1.CFF查看 CFF看一下packed_bug1.exe,直观上会发现2处异常,导致PE
PETiger代码乱序混淆工具
01-29
-PETiger是什么? 是一款快速代码混淆工具,中间层加密,也就是说在使用PETiger之前可以进行加密 压缩,然后再使用PETiger加密保护,然后任然可以继续使用其他加密软件进行加密, 也可以直接使用PETiger完成全部加密。 如何保护软件最好? 目前PETiger为了操作简单没有SDK进去,对于关键代码先用加密软件进行SDK保护 起来然后通过PETiger加密即可有很强的反破解反调试能力,也可以软件保护内存不被 破解。 PETiger保护的强度如何? PETiger再内核中融入了多种加密软件使用的技术,多核心合为一个同时保护软件。 PETiger的自编程是什么? 把自己入的DLL代码加入到要保护的文件中,可以自己反调试代码,或者完善功能。
共享.net PE文件结构浏览器+名称混淆 + 16进制结构图 (源码)
weixin_30652271的博客
10-25 121
花了两天时间一个简易.net pe文件结构浏览器,已经可以名称混淆了,流程混淆以后有时间在做。VC2005开发,这里只是一个类,半成品。用了ATL的CATLList类 MFC的CFile类,其它都没什么。下载 http://files.cnblogs.com/satng/dotNetPeStruct.7zhttp://files.cnblogs.com/satng/dotnetpestruc...
gcc的用法
weixin_54706831的博客
09-04 324
Linux基础学习:gcc的用法
交叉编译-19:Linux裁剪库及可执行程序思路
zhuyunier的博客
02-22 1585
  当库和可执行程序在IPC端所占的空间有限制时,就需要考虑对库和可执行程序进行裁剪,以达到功能需求。现采用将所有的库编译成静态库,最后集成为一个可执行程序的方法,整理裁剪过程如下: 一、编译阶段 1、编译静态库为release版本,并添加以下编译选项: 编译参数 参数详解 -fvisibility=hidden 可以将所有导出的符号设置为隐藏,然后在库的代码中通过设置 __ at...
一个PE_Part 1:加载PE文件内存
可乐松子的博客
05-25 1366
前面都是PE的零散的知识,可以通过给PE文件一个将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式和脱很有帮助 下面是结合自己的实践的笔记,不是教程的原版翻译 教程主要实现的的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
一个PE_Part 3:Section里实现PE装载器
可乐松子的博客
05-26 1021
文章目录Part 3:Setion里实现PE装载器1.unpack部分step 1:通用想法step 2:修改代码step 3:编译选项2.用python打包step 1:lief安装和使用step 2:避免告警step 3:命令行参数step 4:准备文件step 5:给PE文件添加一个section3.结果展示4.遗留问题5.参考 Part 3:Setion里实现PE装载器 Part 3主要做了什么? Part 1和Part 2中我们一个简易的PE装载器(loader.exe),可以加载一个3
一个PE_Part 4:修复对ASLR支持+lief构建新PE
可乐松子的博客
05-27 842
文章目录1.解决思路step 1:当前现状step 2:解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2:ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位表,因此无法产生可移动的二进制文件Part 4中要处理MinGW生成的可执行文件(不能移动的,即不支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
gdb 调用栈 (call stack)
sylin的专栏
06-19 5395
分享一篇不错的文章讲述调用栈; 如果得到调用栈 http://www.yosefk.com/blog/getting-the-call-stack-without-a-frame-pointer.html 不做全文翻译,做个简单归纳: 有三种方式得到调用栈: a. 通过栈桢寄存器(frame pointer register). 每一层函数调用都保存前一层栈桢, 这样顺
手动脱RLPack实战
07-15
手动脱RLPack实战的分析文档和脱后的程序下载。
gcc的编译选项总结
gzxb1995的博客
07-03 7325
目录前言1 常用的编译选项2 不常用的编译选项2.1 -x3 ARM架构专有的编译选项 前言 本文用于记录我在学习和工作中遇到的各种GCC选项,虽然这些选项可以在GNU的手册上查到,不过这里做个总结,可以避免每次都去查手册,算是一个备忘吧。本文的内容会不断更新扩充。 1 常用的编译选项 选项 作用 -o 指定输出文件名称 -c 只预处理、编译、汇编,但不链接 2 不常用的编译选项 2.1 -x linker input file
PE文件学习笔记
mm350670610的专栏
04-29 1186
环境:Windows XP SP3,VC++6.0       这一个月好像天天都很忙,但到头来也不知道忙了些什么,好像在学习,又好像在玩,好久以前就想看“PE文件格式”,这次才算大概看了一遍,以前以为PE文件是高手才玩得懂的东西,现在看来貌似不是很难。虽然还有一些地方不太清楚,但趁现在头脑还比较清楚,赶紧把已经比较清楚的地方记下来。在这里,我只会记下每个结构的大体意思,和一些
PE文件代码段的加密与解密
dasgk的专栏
09-07 3027
// 区块合并.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; #pragma comment(lib,"imagehlp.lib") char* strSrcExePath="D:\\project\\tmp\\Debug\\tmp.ex
混淆技术(Obfuscation techniques)
kl195375的博客
08-20 3774
混淆技术被病毒制作者大量使用于躲避防病毒扫描程序的检测。 现有的恶意软件种类有:加密(encrypted),寡态(oligomorphic),多态(ploymorphic),变形(metamorphic)。 多态与变形恶意软件中常用的混淆技术。 死码插入(Dead-Code Insertion) 程序无效指令改变其外观,但保证其行为。例如:通过插入无效指令nop可以轻松地对原始代码进行模糊处理...
Unwind 栈回溯详解
热门推荐
pwl999的博客
07-24 2万+
1. 历史背景 1.1 frame pointers 在调试的时候经常需要进行堆栈回溯。最简单的方式是使用一个独立的寄存器(ebp)来保存每层函数调用的堆栈栈顶(frame pointer): pushl%ebp movl%esp,%ebp ... popl%ebp ret x86_64的frame point模式 arm64的frame point模式 这种方式在堆栈回溯时非常方便快捷。但是这种方法也有自己的不足: 需要一个专门寄存器ebp来保存frame poniter。 保存e
交叉编译找不到头文件问题
idea的博客
06-28 8977
echo 'main(){}'|arm-xilinx-linux-gnueabi-gcc -E -v - 看到如下输出内容 Using built-in specs. COLLECT_GCC=arm-xilinx-linux-gnueabi-gcc COLLECT_LTO_WRAPPER=/home/ding/xilinx/CodeSourcery/Sourcery_CodeBen
linux交叉编译-strace工具
automan05的博客
10-22 1767
linux交叉编译-strace工具1、下载starce源码github/gitlab autogenerated archives are not supported2、配置configure3、编译4、使用 1、下载starce源码 使用:git clone https://github.com/strace/strace 克隆源码 root@:/home/samba/strace# git ...
windows x64 GCC AT&T汇编程序分析 - 编译器设计前的铺垫
我心素已闲,清川澹如此
02-15 1559
在前面 话痨预警! 我永远忘不了本科时代编译原理的课程设计,那是我成年后的第一次崩溃。选题要求可以做编译器的前端、后端或者两者都做,评估了一下所带领的开发团队的实力,毅然决然选择只做前端,把前端做精,并且为后端开发留好接口。两个星期,我艰(dan)苦(da)开(du)发(dou),几乎都熬到凌晨3:00,发布前还通宵调试,终于我认定我做了一个优秀的前端,拥有完美而丰富的功能。 发布那天,验收...
'end_part': part_end KeyError: 'start_park'
最新发布
06-07
因此,综合两个问题,我们可以这样:#获取数据,使用get方法避免KeyErrorcollect_start_time=data.get('start_park')#或者根据实际情况使用正确的键名ifcollect_start_timeisNone:#处理缺失值,例如给一个默认值或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值