[原创]PE感染&ShellCode编写技术补充-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]PE感染&ShellCode编写技术补充

发表于: 2013-6-4 22:45 23876

[原创]PE感染&ShellCode编写技术补充

tishion

2013-6-4 22:45

23876

 
int _tmain(int argc, TCHAR *argv[])
{
    char szStr[] = {"Shell Code."};
 
    printf(szStr);
 
    return 0;
}

 
    jmp run_code
szStr:
    db 'Shell Code',0
run_code:
    push szStr
    call printf

 
int _tmain(int argc, TCHAR *argv[])
{
    __asm
    {
        jmp run_code
szStr:
        _emit 'S'
        _emit 'h'
        _emit 'l'
        _emit 'l'
        _emit ' '
        _emit 'C'
        _emit 'o'
        _emit 'd'
        _emit 'e'
        _emit '.'
        _emit 0
 
run_code:
        push szStr
        call printf
    }
 
    return 0;
}

 
int _tmain(int argc, TCHAR *argv[])
{
    __asm
    {
        call run_code
szStr:
        _emit 'S'
        _emit 'h'
        _emit 'e'
        _emit 'l'
        _emit 'l'
        _emit ' '
        _emit 'C'
        _emit 'o'
        _emit 'd'
        _emit 'e'
        _emit '.'
        _emit 0
 
run_code:
        call printf
    }
 
    return 0;
}

 
    call run_code
szStr:
    db 'Shell Code',0
run_code:
    ;push szStr   感谢 38楼alvasli同学指出这里的手误。 
    call printf

 
            call _push_text
            db "Back Door Opend!", 0
        _push_text:
            pop edi
            call _push_caption
            db 'HA...', 0
        _push_caption:
            pop esi
 
            push 00000040h
            push esi
            push edi
            push 0
            call eax ;MessageBoxA

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

image001.png （31.20kb，25次下载）
image003.png （27.64kb，19次下载）
image005.png （29.35kb，11次下载）
PE32Infector.7z （3.92kb，355次下载）

收藏・75

免费・5

支持

最新回复 (58) 1 2 3 ▶
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 2 楼又爆料啦,围观之! 2013-6-4 23:38 0
Arcade 雪币： 100 活跃值： (323) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 3 楼写的不错，哈哈。不过为何要静态变量？普通成员变量好点感觉 2013-6-4 23:49 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 4 楼这年代谁还用这破代码去感染,感染了你的计算机有money吗？ 2013-6-5 09:20 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 5 楼 mark一下 2013-6-5 09:31 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 6 楼要不您写点高级的感染来，MBR，BIOS或者UEFI的感染代码瞧瞧？明确说了觉得没技术含量就看看代码风格。 2013-6-5 09:44 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 7 楼还是支持lz无私分享的精神~ 2013-6-5 09:53 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 8 楼我写不出来,没你牛,我是小菜,楼主饶了我吧...... 2013-6-5 09:56 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 9 楼有分享的精神就好 2013-6-5 10:04 0
ttstation 雪币： 1103 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 154 粉丝 1 关注私信	ttstation 10 楼发现论坛中总有那么些人说话忒冲，有话好好说，如果在现实生活中，这种人一般情况下混不开的，当然如果是非常牛逼的人说话冲点也能理解，不过貌似比尔或者巴菲特此类牛人现实生活中说话也是很平易近人的。。。 2013-6-5 10:45 0
xiaofo 雪币： 6 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 108 粉丝 5 关注私信	xiaofo 11 楼愿意把自己的东西拿出来分享，心境就比一般人高，支持。 2013-6-5 10:52 0
HOWMP 雪币： 2781 活跃值： (2573) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 12 楼顶LZ，123456 2013-6-5 11:05 0
Protected 雪币： 6723 活跃值： (1199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 344 粉丝 1 关注私信	Protected 13 楼 mark 2013-6-5 11:15 0
wcfq 雪币： 1025 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	wcfq 14 楼楼主上一讲是那个啊？ 2013-6-5 11:43 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 15 楼现在貌似感染行不通了，病毒都不用了 2013-6-5 12:02 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 16 楼大家都看不见我,看不见我,我是打酱油的,我只是 2013-6-5 12:24 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 17 楼感染的话要看如何进行了，如果对编译后的exe做了一些PADDING操作，那有些规矩的感染方式确实无法行得通了。但是对于那种丧心病狂的，直接覆盖exe原有数据的感染型病毒来说，还是可以感染。但是这一切都是要以过得了杀软为前提的。 2013-6-5 12:34 0
lookzo 雪币： 6 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 18 楼 c++写病毒实在太浪费了 2013-6-5 12:35 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 19 楼 http://bbs.pediy.com/showthread.php?t=172496 2013-6-5 12:35 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 20 楼留个脚印,顺便向楼主学习 2013-6-5 20:20 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 21 楼 #define RELEASE_HANDLE(h) do \ { \ if (NULL != h && INVALID_HANDLE_VALUE != h) \ { \ CloseHandle(h); \ h = NULL; \ } \ } while (0); 感觉这样比较好 #define RELEASE_HANDLE(h) do \ { \ if (NULL != h && INVALID_HANDLE_VALUE != h) \ { \ CloseHandle(h); \ h = NULL; \ } \ } while (0) 2013-6-5 20:44 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 22 楼两个代码一样的。。。。难道是我撸多了？ 2013-6-5 21:09 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 23 楼下面那个无”；“ do {} while(0)的使用完全是为了保证宏定义的使用者能无编译错误地使用宏，它不对其使用者做任何假设。如果有”；“ if(h) RELEASE_HANDLE(h); else //... 会出现编译错误，else没有对应的if分支，因为宏中多了一个分号。 2013-6-5 21:20 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 24 楼膜拜大牛论坛家的温暖啊 2013-6-5 21:39 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 25 楼好贴我是来学习的：） 2013-6-5 22:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tishion

发帖

319

回帖

400

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) 1 2 3 ▶
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 2 楼又爆料啦,围观之! 2013-6-4 23:38 0
Arcade 雪币： 100 活跃值： (323) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 3 楼写的不错，哈哈。不过为何要静态变量？普通成员变量好点感觉 2013-6-4 23:49 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 4 楼这年代谁还用这破代码去感染,感染了你的计算机有money吗？ 2013-6-5 09:20 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 5 楼 mark一下 2013-6-5 09:31 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 6 楼要不您写点高级的感染来，MBR，BIOS或者UEFI的感染代码瞧瞧？明确说了觉得没技术含量就看看代码风格。 2013-6-5 09:44 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 7 楼还是支持lz无私分享的精神~ 2013-6-5 09:53 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 8 楼我写不出来,没你牛,我是小菜,楼主饶了我吧...... 2013-6-5 09:56 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 9 楼有分享的精神就好 2013-6-5 10:04 0
ttstation 雪币： 1103 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 154 粉丝 1 关注私信	ttstation 10 楼发现论坛中总有那么些人说话忒冲，有话好好说，如果在现实生活中，这种人一般情况下混不开的，当然如果是非常牛逼的人说话冲点也能理解，不过貌似比尔或者巴菲特此类牛人现实生活中说话也是很平易近人的。。。 2013-6-5 10:45 0
xiaofo 雪币： 6 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 108 粉丝 5 关注私信	xiaofo 11 楼愿意把自己的东西拿出来分享，心境就比一般人高，支持。 2013-6-5 10:52 0
HOWMP 雪币： 2781 活跃值： (2573) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 12 楼顶LZ，123456 2013-6-5 11:05 0
Protected 雪币： 6723 活跃值： (1199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 344 粉丝 1 关注私信	Protected 13 楼 mark 2013-6-5 11:15 0
wcfq 雪币： 1025 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	wcfq 14 楼楼主上一讲是那个啊？ 2013-6-5 11:43 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 15 楼现在貌似感染行不通了，病毒都不用了 2013-6-5 12:02 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 16 楼大家都看不见我,看不见我,我是打酱油的,我只是 2013-6-5 12:24 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 17 楼感染的话要看如何进行了，如果对编译后的exe做了一些PADDING操作，那有些规矩的感染方式确实无法行得通了。但是对于那种丧心病狂的，直接覆盖exe原有数据的感染型病毒来说，还是可以感染。但是这一切都是要以过得了杀软为前提的。 2013-6-5 12:34 0
lookzo 雪币： 6 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 18 楼 c++写病毒实在太浪费了 2013-6-5 12:35 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 19 楼 http://bbs.pediy.com/showthread.php?t=172496 2013-6-5 12:35 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 20 楼留个脚印,顺便向楼主学习 2013-6-5 20:20 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 21 楼 #define RELEASE_HANDLE(h) do \ { \ if (NULL != h && INVALID_HANDLE_VALUE != h) \ { \ CloseHandle(h); \ h = NULL; \ } \ } while (0); 感觉这样比较好 #define RELEASE_HANDLE(h) do \ { \ if (NULL != h && INVALID_HANDLE_VALUE != h) \ { \ CloseHandle(h); \ h = NULL; \ } \ } while (0) 2013-6-5 20:44 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 22 楼两个代码一样的。。。。难道是我撸多了？ 2013-6-5 21:09 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 23 楼下面那个无”；“ do {} while(0)的使用完全是为了保证宏定义的使用者能无编译错误地使用宏，它不对其使用者做任何假设。如果有”；“ if(h) RELEASE_HANDLE(h); else //... 会出现编译错误，else没有对应的if分支，因为宏中多了一个分号。 2013-6-5 21:20 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 24 楼膜拜大牛论坛家的温暖啊 2013-6-5 21:39 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 25 楼好贴我是来学习的：） 2013-6-5 22:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复