无文件执行:一切皆是shellcode中腾讯云开发者社区

467 854

良好的习惯是人生产生复利的有力助手。

shellcode是一段可以在内存中直接执行的指令,先将指令载入可读可写可执行的缓冲区,将指令指针指向缓冲区的起始位置,依次往下执行即可。

PE文件本身是无法直接在内存中执行的,windows操作系统需要将PE文件按照规则映射到内存中,并将指令指针指向程序入口就可以执行了,这就是PE loader的工作流程。

PE文件本身并不重要,它的执行依赖于PE loader,因此PE如何转化为shellcode的问题,变成了PE loader 如何转化为shellcode的问题。

PE文件功能千奇百怪,不受我们控制,但是PE loader 功能固定,我们只要通过shellcode实现PE loader,就可以达成目标。通过上述的思考,一个PE 转化为shellcode的结构模型就出来了,如下图所示,Stub是shellcode化的PE loader。

在项目的工程目录中,hldr32和hldr64分别是32位和64位的PE loader shellcode实现。

因为项目中有32位和64位的PE loader shellcode实现,我们仅以32位为例进行讲解,由于涉及的知识点过多, 部分的内容一句带过,不进行详细描述,之后会有专题进行讲解,本次只是搭建起整个 PE loader的框架,让大家明白整体流程。

实现PE Loader 需要找到GetProcAddress,LoadLibraryA,VirtualAlloc 三个关键API的地址:

1.定位TEB与PEB

TEB( 线程环境块)中保存频繁使用的线程相关的数据。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,PEB(进程环境块)存放进程信息,每个进程都有自己的PEB信息。

通过FS寄存器可以获取TEB的基址:在FS存储的是TEB在GDT 中的序号,通过GDT获取TEB的基址。

PEB结构体在TEB偏移0x30处,即FS:[0x30]。

2.定位Ldr

在PEB偏移0x0c处是Ldr,Ldr的类型为PEBLDRDATA结构体指针。Ldr的作用是存储进程已加载的模块(Module)信息。Module是指PE格式的可执行映像,包括EXE映像和DLL映像。Ldr通过3个队列存储进程加载的Module信息,即InLoadOrderModuleList、InMemoryOrderModuleList、和InInitializationOrderModuleList,我们选择的是InLoadOrderModuleList,加载的模块顺序如下:

3.定位LDR_DATA_TABLE_ENTRY

每当为本进程装入一个模块时,就要为其分配、创建一个LDRDATATABLEENTRY数据结构,并将其挂入InLoadOrderModuleList和InMemoryOrderModuleList,完成对这个模块的动态链接以后,就把它挂入InInitializationOrderModuleList队列,以便依次调用模块的初始化函数。由此可见进程加载的每个模块都会有一个LDRDATATABLEENTRY,其作用为存储模块的基本信息,DLL基址在其偏移0x18处。

这三步看似复杂,但最终的汇编代码 很简单:

使用LoadLibraryA循环加载PE文件导入表中的dll

通过上文提到的结构模型和PE Loader的实现,基本上可以完成PE转化为shellcode的功能,但是PE_to_shellcode项目生成的shellcode 不仅可以采用shellcode的加载方式,而且可以双击像PE一样独立运行,这是怎么做到的呢?至少上文的结构模型完成不了,因为Stub已经破坏了PE头,操作系统加载的时候是不会将他识别为PE文件的!!!

之前比较PEtoshellcode项目修改前和修改后的程序发现,修改后的程序是有MZ标识,而且Stub是附加在PE文件后面的,这给了我很大的启发。

通过猜想和比对,对原有的结构模型进行改进,将Stub是附加在PE文件后面,并对PE文件头部进行修改实现跳转,从而实现PE文件一文件两用。

在新模型中,Stub可以不用改变,直接附加在PE文件的最后,对PE文件的头部添加一段跳转shellcode,而且这段shellcode必须以"MZ"开头,这样才能被识别为正常的PE文件。PE文件的头部是DOS头,其结构如下,比较重要的是emagic和elfanew,而其他的位置内容改变可以随意一些:

由于“MZ”必不可少,那需要看一下M和Z对应 ASCII的汇编指令:

在接下来的shellcode里,首先消除上面两条指令的影响,具体内容如下,仔细看注释:

在上面的shellcode中,有三行可能大家不明白:

shellcode如何跳转到Stub,必须要知道Stub在内存中的地址。我们可以先知道整个文件加载到内存中的基地址,然后通过偏移找到Stub。但是如何找到基地址呢?我们可以知道自身指令在内存中的地址,然后减去执行的指令字节数就是基地址,常用的是call-pop方式。

THE END

初识文件dos头pe头cunren

无文件执行:一切皆是shellcode中腾讯云开发者社区

文件分析

文件结构不会笑的孩子

文件工具下载文件工具官方版免费下载文件工具合集

系统安全十六文件逆向基础知识解析编辑工具和修改bruce的技术博客

什么是文件及文件的结构和简述(转载)indows还是inux

re入门文件小知识博客

0.PE文件格式详细解析(一)pe格式本文深入解析Windows下的PE文件格式,包括PE文件的种类、位置标识、整体结构等内容,并通过WinHex和PEtools等工具进行实例演示。 PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PEjvzquC41dnuh0lxfp0tfv8|gkzooa=<976>:68ftvkimg8igvcomu864336:;>5
1.PE文件结构详解本文深入解析PE文件结构,包括DOS头部、PE头部、节表、节数据等内容,阐述PE文件在磁盘与内存中的状态差异,以及如何利用PE文件进行代码修改、节的扩展与合并等高级操作。 PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件 jvzquC41dnuh0lxfp0tfv8vsa7764:7421gsvrhng1jfvjnnu1734997:9>
2.PE文件结构详解针对在硬盘上存储文件中的地址,称为原始存储地址或物理地址,表示距离文件头的偏移。 针对加载到内存以后映象中的地址,称为相对虚拟地址(RVA),表示相对内存映象头的偏移。 RVA 是当PE 文件被装到内存中后,某个数据位置相对于文件头的偏移量。 举个例子:如果 Windows 装载器将一个PE 文件装入到 00400000h 处的内jvzquC41z|4bnr~wp0ipo8sgyu524;;9
3.PE文件整体结构介绍吾爱破解1、本文章使用的将PE文件编译为十六进制字节码格式用的是C32Asm,但大家实际操作还是推荐使用WinHex,工具均取自于爱盘。2、这篇文章主要是讲PE文件的整体结构,还有数据目录表没有具体讲解,数据目录之后会以单独的形式一个个讲解。PE文件是可移植的可执行的文件,什么是可执行文件?可执行文件是为进程创建所服务的,jvzquC41yy}/7;uqlkk/ew4vjtkbf6698796966/30nuou
4.PE文件详解(C制作PE格式解析器)pe文件解析器本文介绍了PE文件的基本结构,包括DOS头部、PE文件头、节表等,并深入探讨了导入表和导出表的工作原理。此外,还提供了一个使用C语言编写的简易PE文件解析器示例。 0x00:前言 PE文件可以说是在逆向的各个领域都有涉及,特别是病毒领域,如果你是一名病毒制造者,那你肯定是对PE文件有详细的了解,那么这里我就详细介绍一jvzquC41dnuh0lxfp0tfv8HjctrfuPtfZ1gsvrhng1jfvjnnu1>97B<625
5.PE文件格式分析pe文件格式详解本文详细解析了PE文件的基本概念、结构分析、区块对齐、文件偏移与RVA转换、输入表与输出表、基址重定位等核心内容,提供了深入理解PE文件的全面指南。 一、PE的基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何jvzquC41dnuh0lxfp0tfv8xjkvjci8ftvkimg8igvcomu89;95:5;>
6.PE文件格式详细解析(二)pe头的大小本文深入解析PE文件结构,包括NT头、可选头、节区表等关键组件,揭示PE文件如何组织代码与数据。 3.PE文件的结构 3.2 NT头 由一个IMAGE_NT_HEADERS结构组成,该结构中包含了PE文件被载入内存时需要用到的重要域。通过DOSheader中的e_lfanew,可以直接定位到真正的PE Header部分。该结构体的大小为0xf8字节。 jvzquC41dnuh0lxfp0tfv8|gkzooa=<976>:68ftvkimg8igvcomu86433715@:
7.PE文件结构解析DOS Stub(存根)实际上是个有效的 MS-DOS .EXE 或者.COM 程序(如果文件格式不对会报错),在不支持 PE文件格式的操作系统中,它将通过简单调用中断21h服务9来显示字符串"This program cannot run in DOS mode"或者根据程序员自己的意图实现完整的 DOS 代码。它的大小一般不能确定。利用链接器(linker)的 /STUB:fijvzquC41dnuh0lxfp0tfv8~i{cthi~fpi1gsvrhng1jfvjnnu1;33?;:4
8.PE文件结构详解快速的计算方法是从文件的偏移0x3C(第59字节)处获得一个4字节的PE文件签名的偏移地址,这个偏移地址就是本文所定义的DOS头的大小。NT头在32位系统是244字节,在64位系统是260字节。节头的大小由NT头的第1部分的NumberOfSections(节的数量)*40字节(每个节头是40字节)得出。如此,DOS头、NT头、节头3个头的大小jvzquC41dnuh0lxfp0tfv8vkokthaƒmcpi5bt}neng5eg}fknu5859>;2;
9.C++PE文件格式解析类(轻松制作自己的PE文件解析器)pe文件绑定(c++本文介绍了一个用C++封装的高效PE文件格式解析类,提供了丰富的接口函数,便于理解和使用。适用于学习PE文件结构及开发PE文件解析软件。 PE是Portable ExecutableFileFormat(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考jvzquC41dnuh0lxfp0tfv8ucuenfp8ftvkimg8igvcomu8:286654:
10.Windows基础知识PE结构之初始PE当执行体在支持PE文件结构的操作系统中执行时,PE装载器将从IMAGE_DOS_HEADER结构的e_lfanew字段里找到NT头的起始偏移量,用其加上基址,得到PE文件头的指针。 在C++中Signature会被预处理为IMAGE_NT_SIGNATURE #define IMAGE_NT_SIGNATURE 0x00004550// PE00 FileHeader 文件头,表现jvzquC41z|4bnr~wp0ipo8sgyu526=98
11.有效利用PE文件内部空间植入用户程序windowspe广告应用植入本文介绍了一种利用PE文件内部空间植入用户程序的方法。通过在PE文件的节间空隙存储额外代码,实现代码的隐蔽植入。该技术适用于寄生型病毒程序,能够有效避免因文件体积增大而被轻易检测。 【文章标题】: 有效利用PE文件内部空间植入用户程序 【文章作者】: 空手剑客 jvzquC41dnuh0lxfp0tfv8hpalkwqwx1ctzjeuj1fgzbkux143624A<
12.PE文件查看器(PeViewer)电脑版下载2025最新文件分割口碑排行榜 PDF猫分割合并软件 小说分割器(TXT文本) peview.exe Ultra Video Splitter 下载服务协议见页面底部 基本简介 PE文件查看器(PeViewer)是一款强大的PE文件查看器,PeViewer作为国人研制开发十分的强大并便捷,下载使用这款PeViewer文件,可以任意的dll等文件,马上下载PeViewer吧。 jvzq<84yyy4ppunpgfuxp7sgv1yph}4;997777mvo
13.LordPE下载LordPE(PE文件编辑器)v1.4绿色汉化版下载LordPE v1.4绿色汉化版是一款非常好用PE文件编辑工具,winwin7小编听闻该软件在网上享有“最好的PE文件修改工具”的称号!LordPE是一款相当专业功能强大的pe文件修改器工具,支持用户快速方便的修改pe文件,并且软件是完全汉化的,我们使用起来也完全不会因为不懂英文而烦恼,如有需要的用户快来下载这款反编译预处理的利器jvzq<84yyy4xkw|kp94dqv4uqhz06<950jznn
14.逆向基础PE文件结构windowspe结构本文详细介绍了PE文件的结构,包括DOS头、NT头、文件头、可选PE头、区段头等关键部分,并通过代码示例展示了如何解析这些头信息。同时,解释了PE文件在Windows平台上的执行过程,如DOS头的兼容性、PE头的标志、可选PE头中的入口点和内存基址等。此外,还涵盖了导出表、导入表、重定位表和TLS(线程局部存储)的概念及其jvzquC41dnuh0lxfp0tfv8FrrYnjvndUvcx0c{ykenk0fnyckny03;;295:18
15.pe文件结构PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、WindowsjvzquC41dnuh0lxfp0tfv87525e93:;757>0c{ykenk0fnyckny03=5992>56
16.深入解析WindowsPE文件结构及其关键组成部分本文详细介绍了WindowsPE文件的基本概念,包括PE文件头、DOS头部、区块数据、虚拟地址和RVA等关键部分,展示了PE文件的内存映射和地址转换机制,以及如何通过API获取模块信息。 部分PE文件结构 一.PE文件基本概念 ​ PE文件是windows系统中遵循PE结构的文件,比如以.exe .dll .ocx .sys .com为后缀名的文件以及系统驱动jvzquC41dnuh0lxfp0tfv8r2a9;36<8841gsvrhng1jfvjnnu1748@76;6;
17.PE文件(一)PE结构概述PE文件(一)PE结构概述 本文详细介绍了Windows操作系统下的PE结构文件,包括.exe文件的内存分配、虚拟内存、PE文件的节和节表、DOS头与NT头的作用,以及编译器对文件对齐的影响。展示了不同操作系统文件结构的区别,以及如何手动解析PE文件的DOS头和NT头。 PE结构简述jvzquC41dnuh0lxfp0tfv87523e8:A8:86=0c{ykenk0fnyckny03<<;5;827
18.详解PE文件(一):PE文件基础概念详解PE文件(一):PE文件基础概念 PE(Portable Executable)文件格式是Windows操作系统中用于可执行文件(.exe)、动态链接库(.dll)和系统驱动程序(.sys)的标准文件格式。它是Windows平台上软件执行的基础,理解PE文件格式对于系统编程、逆向工程、恶意软件分析和软件安全等领域都很重要。jvzquC41dnuh0lxfp0tfv8lggukiq€ftf461294ctvodnn4fgvgjn|4376=53@55
19.PE文件格式详解:深入理解Windows可执行文件结构// 执行PE文件时,PE装载器先创建进程,再将文件载入内存,// 然后把EIP寄存器的值设置为ImageBase+AddressOfEntryPoint''// PE文件的Body部分被划分成若干节段,这些节段储存着不同类别的数据。'DWORD SectionAlignment;'// SectionAlignment指定了节段在内存中的最小单位, -> 00 00 10 00'DWORD FileAlignment;'//jvzquC41dnuh0lxfp0tfv8|gkzooa?75;3=478ftvkimg8igvcomu86676;82B7
20.PE文件结构剖析基本结构pe结构主模块基址PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式,唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32+。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件被装入内存的。 jvzquC41dnuh0lxfp0tfv8vsa669;9<781gsvrhng1jfvjnnu1>3:>>9;;