-
-
未解决 [求助]创建新节,添加异常处理函数到seh中,会对pe文件造成什么影响 200.00雪花
-
发表于: 2020-7-25 13:57
-
当在新节中嵌入异常handler函数,并将其装载在seh中,为什么原来的节中的一些地址会改变,是因为fs段改变导致的嘛
1.section
如题所说,我现在已经使用python中的lief在pe文件末尾增加了新节
bin = lief.parse(INPUT_PE) bin.add_section(section_my)#大致是这样
2.seh的安装问题
我现在已经可以在一个.cpp程序中增加一个自己的handle函数。在触发异常时可以解决返回继续执行。如何在exe文件自己嵌入的节中插入handle函数并安装到seh中,对异常进行利用。萌新最好能有可以用来模仿的代码,我好知道如何开始[笑哭]。
[新增]我已经解决了这个问题,通过汇编写handler函数和装载到seh中,并将入口点改到这,装载handler后再跳回原地址,为什么原地址的一些地址会发生改变,如下图:
_shcode proc
nop
nop
nop
call @@0
DD xx xx xx xx ;RVAof_shcode + 8-AddressOfEntryPoint
@@0:
mov eax,[esp]
mov edx,[eax]
sub [esp],edx
mov ebx,[esp]
;------------
; your shell code here ;在这安装seh
;------------
push ebx
ret
_shcode endp
添加seh前:
添加seh后:
0x1001790中的内容也会发生变化(我最不解的地方):
添加前: 
添加后: 
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-8-22 16:18
被atlanta_zhao编辑
,原因: 有了新的进展
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
.text节应该也是可以改的,只要修改所有后边的节,重定向一些地址,还要修改重定位表的好像~ https://bbs.pediy.com/thread-84932.htm这位老哥做过这个,有些许bug但是。 我现在的主要问题是想利用seh,不知道怎么修改线程seh了。不知注入exe或者shellcode可不可以实现。利用seh似乎是要LoadLibrary的吧,单纯的将代码放到新节中应该不行 |
|
|
|
|
|
|
|
|
|
|
|
|
