首页
社区
课程
招聘
未解决 [求助]在PE文件节区空隙插入代码之后无法运行,有哪些原因导致失败?
发表于: 2019-11-26 14:48 2470

未解决 [求助]在PE文件节区空隙插入代码之后无法运行,有哪些原因导致失败?

2019-11-26 14:48
2470
思路是:
  1. 如果.text节有足够的空隙,直接在.text空白的地方插入shellcode,同时修改OPE字段(AddressOfEntryPoint)
  2. 如果.text节没有空间,shellcode插入到其他有空隙的节区,并修改节区属性(characteristic),使得节区中的shellcode可以被执行, 同时修改OPE字段(AddressOfEntryPoint)
遇到的问题:
       已知shellcode插入到自己编译的helloworld.exe可以执行,并且执行shellcode之后能够跳回到helloworld.exe执行其代码,但是shellcode插入QQ或者其他应用程序时,被感染的程序无法启动,利用OD加载被感染的程序,有的程序可以被加载并且入口地址的代码是自己的shellcode,但是有的被感染的程序用OD加载时,直接加载到了DLL的地址空间。 
        是不是应用程序用有什么保护机制,导致感染失败的原因有可能是哪些?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
CFG
2019-11-27 18:13
0
雪    币: 257
活跃值: (194)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
3
killpy CFG
你好,我吧自己编译的helloworld.exe也开了CFG,但是仍然可以感染成功,我用windbg看感染的QQ.exe是因为不能加载某些DLL而导致失败的。你说的CFG能回复具体一些吗,自己在这个方面不是很懂,也不知道利用哪些关键字去查找参考资料。谢谢啦
2019-11-29 16:42
0
游客
登录 | 注册 方可回帖
返回
//