[发明专利]一种基于PE文件结构实现主机远程控制方法及装置在审
| 申请号: | 202110714351.9 | 申请日: | 2021-06-25 |
| 公开(公告)号: | CN113434863A | 公开(公告)日: | 2021-09-24 |
| 发明(设计)人: | 顾立;夏玉明 | 申请(专利权)人: | 上海观安信息技术股份有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;H04L29/08 |
| 代理公司: | 合肥市浩智运专利代理事务所(普通合伙) 34124 | 代理人: | 丁瑞瑞 |
| 地址: | 200333 上海市浦东新*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 pe 文件 结构 实现 主机 远程 控制 方法 装置 | ||
1.一种基于PE文件结构实现主机远程控制方法,其特征在于,所述方法包括:
获取Windows操作系统的PE文件,并根据预设条件确定目标PE文件;
查找所述目标PE文件的空白区域,并在查找到的空白区域注入shellcode;
将所述shellcode的起始地址作为所述目标PE文件的入口点;
在执行完所述shellcode后,跳转至所述PE文件的原入口点。
2.根据权利要求1所述的基于PE文件结构实现主机远程控制方法,其特征在于,所述查找目标PE文件的空白区域,并在查找到的空白区域注入shellcode的步骤包括:
通过PE结构指针逐步查找所述目标PE文件节表的位置;
将所述目标PE文件的所有节对齐,对齐以后每个节的实际数据所在位置以外的部分作为所述空白区域;
根据shellcode的大小,在所述空白区域中确定shellcode的起始地址;
通过写程序将所述shellcode注入到所述空白区域。
3.根据权利要求1所述的基于PE文件结构实现主机远程控制方法,其特征在于,所述PE文件包括DOS部分、PE文件头、节表以及若干个节。
4.根据权利要求1所述的基于PE文件结构实现主机远程控制方法,其特征在于,所述预设条件包括:PE文件的运行频率;所述根据预设条件确定目标PE文件的步骤包括:当PE文件的运行频率大于预设阈值时,将PE文件确定为目标PE文件。
5.根据权利要求1所述的基于PE文件结构实现主机远程控制方法,其特征在于,所述shellcode通过攻击方工具Cobalt Strike生成。
6.一种基于PE文件结构实现主机远程控制装置,其特征在于,所述装置包括:
目标PE文件获取模块,用于获取Windows操作系统的PE文件,并根据预设条件确定目标PE文件;
Shellcode注入模块,用于查找所述目标PE文件的空白区域,并在查找到的空白区域注入shellcode;
目标PE文件的入口点获取模块,用于将所述shellcode的起始地址作为所述目标PE文件的入口点;
跳转模块,用于在执行完所述shellcode后,跳转至所述PE文件的原入口点。
7.根据权利要求6所述的基于PE文件结构实现主机远程控制装置,其特征在于,所述Shellcode注入模块还用于:
通过PE结构指针逐步查找所述目标PE文件节表的位置;
将所述目标PE文件的所有节对齐,对齐以后每个节的实际数据所在位置以外的部分作为所述空白区域;
根据shellcode的大小,在所述空白区域中确定shellcode的起始地址;
通过写程序将所述shellcode注入到所述空白区域。
8.根据权利要求6所述的基于PE文件结构实现主机远程控制装置,其特征在于,所述PE文件包括DOS部分、PE文件头、节表以及若干个节。
9.根据权利要求6所述的基于PE文件结构实现主机远程控制装置,其特征在于,所述预设条件包括:PE文件的运行频率;所述根据预设条件确定目标PE文件的步骤包括:当PE文件的运行频率大于预设阈值时,将PE文件确定为目标PE文件。
10.根据权利要求6所述的基于PE文件结构实现主机远程控制装置,其特征在于,所述shellcode通过攻击方工具Cobalt Strike生成。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海观安信息技术股份有限公司,未经上海观安信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110714351.9/1.html,转载请声明来源钻瓜专利网。
