[求助]在PE文件节区空隙插入代码之后无法运行，有哪些原因导致失败？-求助问答-看雪-安全社区|安全招聘|kanxue.com

[求助]在PE文件节区空隙插入代码之后无法运行，有哪些原因导致失败？

2019-11-26 14:48 2259

[求助]在PE文件节区空隙插入代码之后无法运行，有哪些原因导致失败？

youngseaz

2019-11-26 14:48

2259

思路是：

如果.text节有足够的空隙，直接在.text空白的地方插入shellcode，同时修改OPE字段(AddressOfEntryPoint)
如果.text节没有空间，shellcode插入到其他有空隙的节区，并修改节区属性(characteristic)，使得节区中的shellcode可以被执行, 同时修改OPE字段(AddressOfEntryPoint)

遇到的问题：

已知shellcode插入到自己编译的helloworld.exe可以执行，并且执行shellcode之后能够跳回到helloworld.exe执行其代码，但是shellcode插入QQ或者其他应用程序时，被感染的程序无法启动，利用OD加载被感染的程序，有的程序可以被加载并且入口地址的代码是自己的shellcode，但是有的被感染的程序用OD加载时，直接加载到了DLL的地址空间。

是不是应用程序用有什么保护机制，导致感染失败的原因有可能是哪些？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

点赞・0

打赏

最新回复 (2)
killpy 雪币： 83 活跃值： (1052) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 45 关注私信	killpy 2 2019-11-27 18:13 2 楼 0 CFG
youngseaz 雪币： 257 活跃值： (194) 能力值： ( LV3，RANK：25 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	youngseaz 2019-11-29 16:42 3 楼 0 killpy CFG 你好，我吧自己编译的helloworld.exe也开了CFG，但是仍然可以感染成功，我用windbg看感染的QQ.exe是因为不能加载某些DLL而导致失败的。你说的CFG能回复具体一些吗，自己在这个方面不是很懂，也不知道利用哪些关键字去查找参考资料。谢谢啦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复