Delphi是最适合编写ShellCode的工具

最新推荐文章于 2020-02-28 21:33:14 发布
最新推荐文章于 2020-02-28 21:33:14 发布
阅读量4.7k 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: delphi 工具 module function borland integer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wr960204/article/details/1747972
本文介绍了一种使用Borland编译器优化ShellCode的方法,通过特殊的字符串处理技巧,使得字符串能在代码段内动态定位,从而避免了传统方法中的字符串常量区读取限制。此外,还提供了一个改进版GetProcAddress函数的例子,演示了如何直接使用函数名而不需要预计算CRC。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文是写给经常写ShellCode或者给PE文件添加代码的人的. 
题目这样写有点不精确.不过Borland的编译器确实是算得上最适合编写ShellCode工具.
编写ShellCode的朋友们知道.字符串常量应该是处理起来非常麻烦.
例如:
调用GetProcAddress函数吧.参数有一个是字符串.很多编译器字符串常量是在数据段中.只读的属性.
那么编写ShellCode的时候GetProcAddress(hm,"Function");就不行了.因为"Function"实际上是在数据段中,传递的只是指针.如果是DLL的话可能还要重定位.
所以见到有很多人编写ShellCode自己实现GetProcAddress.用的是函数名的CRC.
 
 
Borland的编译器有一个特点.正好可以利用.它编译的时候字符串常量不是放在数据段里面.而是放到所在函数的后面.以Delphi为例.
 
Function A():PChar;
begin
  Result := 'abc';
end;
实际上在编译后变成
00453BF0 B8F83B4500       mov eax,$00453bf8 //把字符串abc的地址付给eax,eax是返回值
00453BF5 C3               ret               //返回
00453BF6 0000                               //实际上是没用.作用是对齐代码
00453BF8 61626300         字符串abc
 
但是现在你还不能把这份代码作为ShellCode拷贝到任意地方使用.应为 mov eax,$00453bf8 的参数是绝对地址.我们怎么把它转化成相对的呢?
这需要一个技巧.

Function FixPChar(Value : PChar):PChar;forward;

Function A():PChar;
begin
  Result := FixPChar('abc');
end;

Function FixPChar(Value : PChar):PChar; register;//register;加不加都无所谓.默认就是register;
asm
          call   @next                //
@next:    pop    ecx                  //ecx里面装的就是@next的相对地址,当前执行时
          mov    ebx, offset @next    //ebx里面装的就是@next的绝对地址,编译时生成的
          add    eax, ecx             //返回Value的地址+(相对地址-绝对地址)
          sub    eax, ebx
end;


procedure _end();
begin

end;

 

现在我们可以把A函数和FixChar拷贝到任何地方使用了.如何拷贝呢?

我们只要拷贝A函数的地址为起始,_end函数的地址为终点的数据块就可以用了.

例如

Type
  TFunc = Function():PChar;
var
  M : String;
begin
  //
  SetLength(M, Integer(@_end) - Integer(@A)); //为M分配长度
  CopyMemory(PChar(M), @A, Length(M));        //把A函数和_end之间的代码拷贝到M
  ShowMessage(TFunc(PChar(M))());             //把M强制转换为TFunc类型执行
end;

 

网上流传很广的一个API搜索就是用CRC来避开字符串的.如果用这样的技术完全可以省略计算CRC的步骤.

原函数如下:FUNCTION GetProcAddress(Module:Cardinal;ProcessCRC:DWORD) : Pointer;
VAR
  ExportName           : pChar;
  Address              : Cardinal;
  J                    : Cardinal;
  ImageDosHeader       : PImageDosHeader;
  ImageNTHeaders       : PImageNTHeaders;
  ImageExportDirectory : PImageExportDirectory;
BEGIN
  ImageDosHeader:=Pointer(Module);
  ImageNTHeaders:=Pointer(Module+ImageDosHeader._lfanew);
  ImageExportDirectory:=Pointer(ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress+Module);
  J:=0;
  Address:=0;
  REPEAT
    ExportName:=Pointer(Cardinal(Pointer(Cardinal(ImageExportDirectory.AddressOfNames)+Module+J*4)^)+Module);
    IF CalculateCRC32(ExportName^,StrLen(ExportName))=ProcessCRC THEN
      Address:=Cardinal(Pointer(Word(Pointer(J SHL 1+Cardinal(
               ImageExportDirectory.AddressOfNameOrdinals)+Module)^) AND
               $0000FFFF SHL 2+Cardinal(ImageExportDirectory.AddressOfFunctions)
               +Module)^)+Module;
    Inc(J);
  UNTIL (Address<>0)OR(J=ImageExportDirectory.NumberOfNames);
  Result:=Pointer(Address);
END;

改良后如下:

function FixPChar(Value: PChar): PChar; forward;

function strcmp(p1, p2: PChar): boolean; forward;

function GetProcAddress(Module: Cardinal; ProcessName: PChar): Pointer;
var
  ExportName        : pChar;
  Address           : Cardinal;
  J                 : Cardinal;
  ImageDosHeader    : PImageDosHeader;
  ImageNTHeaders    : PImageNTHeaders;
  ImageExportDirectory: PImageExportDirectory;
begin
  ImageDosHeader := Pointer(Module);
  ImageNTHeaders := Pointer(Module + ImageDosHeader._lfanew);
  ImageExportDirectory := Pointer(ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress + Module);
  J := 0;
  Address := 0;
  repeat
    ExportName := Pointer(Cardinal(Pointer(Cardinal(ImageExportDirectory.AddressOfNames) + Module + J * 4)^) + Module);
    if strcmp(ExportName, ProcessName) then
      Address := Cardinal(Pointer(Word(Pointer(J shl 1 + Cardinal(
        ImageExportDirectory.AddressOfNameOrdinals) + Module)^) and
        $0000FFFF shl 2 + Cardinal(ImageExportDirectory.AddressOfFunctions)
        + Module)^) + Module;
    Inc(J);
  until (Address <> 0) or (J = ImageExportDirectory.NumberOfNames);
  Result := Pointer(Address);
end;

function strcmp(p1, p2: PChar): boolean;
begin
  Result := False;
  while (p1^ = p2^) do
  begin
    if (P1^ = #0) or (P2^ = #0) then
    begin
      Result := True;
      Exit;
    end;

    Inc(P1);
    Inc(P2);
  end;

end;

function FixPChar(Value: PChar): PChar; register; //register;加不加都无所谓.默认就是register;
asm
          call   @next                //
@next:    pop    ecx                  //ecx里面装的就是@next的相对地址,当前执行时
          mov    ebx, offset @next    //ebx里面装的就是@next的绝对地址,编译时生成的
          add    eax, ecx             //返回Value的地址+(相对地址-绝对地址)
          sub    eax, ebx
end;


procedure _end();
begin

end;

 调用的时候直接  GetProcAddress(hm,FixPChar('函数名'));就可以了.免了事先计算函数名CRC的麻烦.

 
武稀松
关注
第10章 shellcode实战:18 神级开源shellcode工具:donut
李小咖·网安技术库
05-15 2029
Donut是一款shellcode生成器,可将C/C++、C#生成的PE文件转换为shellcode文件,同时支持JS、XSL、VBS脚本转换为shellcode。以下“原生”EXE/DLL指非托管PE文件(包括并不限于C/C++、delphie等编写生成的可执行文件),可以直接由系统加载运行,区别于.Net生成的托管文件。被处理exe/dll为32位程序,则需要用32为的shellcode加载器启用,exe/dll为64位的就用64位shellcode加载器启用。
Windows Shellcode学习笔记——通过VisualStudio生成shellcode
weixin_33753003的博客
09-25 1796
本文讲的是Windows Shellcode学习笔记——通过VisualStudio生成shellcode, 0x00 前言 shellcode是一段机器码,常用作漏洞利用中的载荷(也就是payload)。 在渗透测试中,简单高效的方式是通过metasploit生成shellcode,然而在某些环境下,需要定制开发自己的shellcode,所以需要对...
Delphi编写本地溢出反向连接通用ShellCode
01-13
{ SinDoor One By Anskya Email:Anskya@Gmail.com Web:Www.Anskya.Net QQ:115447 说明:打开NC监听本地8848端口~运行程序返回一个Shell,本程序ShellCode:是通用ShellCode..内部镶有API搜索引擎和数据代码融合(很简单的技术,病毒和ShellCode都用得到),有兴趣大家自己用Debug跟一下我就不对说了... 感谢zhengxi's Crc32函数,Vecna API函数搜索引擎和29A的病毒杂志,还有pker的~API搜索引擎范例。--我没有使用ShellCode变型都是原始代码。 为了偷懒就把以前写的System.pas直接拿来用了,System.pas中包含的API搜索引擎在这里没有使用,紧紧是为了引用ExitProcess函数而已. ShellCode部分可以在VC下编写然后提取 ( 小弟是用TASM直接编写用16进制编辑器直接提取.. 关于ShellCode的提取参考可以参考..《C语言直接编写ShellCode》或者就用VC边写边翻译吧。^_^·力气活 ) 本程序仅仅为了演示~Delphi编写ShellCode的示例并没有其他意图}翻译《缓冲区溢出教程》时候的一个小例子。现在身体不行了·也不能写了,索性整理一下发布好了~~大家看一下就知道了,仅仅是个例子.
使用C/Delphi编写ShellCode
冷风
03-06 2879
这里说的ShellCode指的是一段x86机器码,无需重定位,在内存任何位置都可以执行的代码.使用C/Delphi编写代码也是由其编译器特性决定的。一说起ShellCode,一般人都想到MASM/TASM/FASM/NASM这类汇编语言编译器,但是,汇编语言写ShellCode维护起来总是很麻烦,肯定不如高级语言维护起来方便,尤其是大型的工程,例如PE Virus/Packer这样的工程。Shel
Delphi编写ShellCode的示例
02-22
Delphi编写ShellCode的示例+Delphi代码
Shellcode的原理及编写
热门推荐
maotoula的专栏
01-19 6万+
1.shellcode原理
Delphi 12 控件之Delphi ShellCode教程(第一章).zip
最新发布
02-14
教程的首章(第一章)通常会介绍ShellCode的基本概念,包括它的定义、作用以及如何在Delphi环境下编写ShellCode。在学习ShellCode编写过程中,开发者不仅需要了解编程语言的语法和编程技巧,还需要具备一定的操作...
飞翔远控0.6:多格式shellcode生成工具
1. **Shellcode生成**:描述中提到了“shellcode生成”,Shellcode是指一段用于利用软件漏洞的代码,通常用汇编语言编写,并且当其被执行时,能够提供一个控制的shell。在这里提到的“动态传输shellcode”,很可能...
关于 Shell Code 的编写
【GTA: Vice City】
08-29 1479
Shell Code 的编写下面是一个创建Shell的C程序shellcode.c: (本文以IntelX86上的Linux为例说明)void main() {  char *name[2];  name[0] = "/bin/sh";  name[1] = NULL;  execve(name[0], name, NULL);}我们先将它编译为执行代码,然后再用gdb来分析一下.(注意编译时要用
shellcode转换工具
07-26
shellcode转换工具
shellcode转unicode工具
06-13
这是一款超级便宜的shellcode转unicode工具,非常好用!
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
揭开Shellcode的神秘面纱
04-30 672
对于初期接触网络安全的人来说,Shellcode是很神秘的东西,对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的,但真正利用漏洞入侵时,通过把一段二进制码送入后并执行,就可以获得目标机器的控制权,之后的事情是属于爱好者学习技术,还是黑客的行为,就看攻击者的一念之差了。Shellcode就好象神秘的武器,安全防护变得如此不堪一击。Shellcode究竟是什么样的程序?是什么特殊代码?如何才能学会编写?我下面收集了几类常见的Shellcode,主要是学习使用。它其实也是一般的软件程序,主要是因为二进制码的“
shellcode编写
agoago_2009的专栏
10-13 1247
在VC中调试运行程序,比如输出一个字符串,看到反汇编以及机器码如下: 9: printf("str的地址:0X%p\n",str); //0X00414420 00401368 8B F4 mov esi,esp 0040136A 68 20 44 41 00 push offset str (00414
Heap Spray原理浅析
magictong的专栏
03-24 3万+
Heap Spray原理浅析 Magictong 2012/03   摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、堆溢出   Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh
Shellcode调试分析工具
信息安全
02-28 1162
文章目录前言代码使用方法 前言 在恶意软件分析的过程中,很多时候都会遇见shellcode,单独dump出来的shellcode在IDA中很难进行静态分析,但是由于Windows加载程序无法执行独立的shellcode,所以我们需要用工具来加载shellcode进行动态调试。 虽然已经有很好用的工具BlobRunner,但我仍然准备自己写一个去更好的学习理解 代码 #include <win...
Delphi 编写定制显示叠加图标的Shell扩展
weixin_30726161的博客
10-22 161
大家都知道快捷方式会在原有的图标左下方重叠个小箭头的图标, 文件夹共享也会在原有的图标下面出现个手的图标。 通过叠加图标的显示我们能很直观的了解到该图标所代表的含义, 下面我们就编写一个图标叠加扩展处理器,如果文件属性为只读的,就在图标的右下方加个小锁。 我们准备了一个16*16的小锁图标readonly.ico并存放到C:\目录下: 扩展接口 图标叠加扩展处理器...
ShellCode提取工具(转)
weixin_30399055的博客
01-10 290
看来我是这里除了admin外第一个原创呢~~~ 感觉幻影是个很有前途的~~~~RootKit还是木马~~~~混淆了呵呵…… 本来想加入这个团队的,一看要求就有点~~~偶就是米有这么系统的东西~~~喜欢什么就写什么~~呵呵。。。 不过还是没事放点东西上来滴~~~ OK切入主题~ 其实很多前辈已经做了这个工具,而且做得很好。 但是,要自己用自己的工具才比较爽。所以成没事的时候写了这个小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值