python shellcode分析

本文主要是介绍python shellcode分析，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

https://blog.csdn.net/qq_32261191/article/details/108994177

分析shellcode

ctypes是 Python 的外部函数库。它提供了与 C 兼容的数据类型，并允许调用 DLL 或共享库中的函数。可使用该模块以纯 Python 形式对这些库进行封装。在C/C++语言中，通过申请内存将shellcode加载到内存中进行执行，在Python语言中通过ctypes模块将shellcode加载到内存并执行。

内存申请

ctypes.windll.kernel32.VirtualAlloc函数。VirtualAlloc是Windows提供的API，通常用来分配大块的内存。

此处可参考https://blog.csdn.net/qq_37865996/article/details/107807123

VirtualAlloc函数原型：

调用kernel32.dll动态链接库中的VirtualAlloc函数申请内存，0x3000代表MEM_COMMIT | MEM_RESERVE，0x40代表可读可写可执行属性。

RtlMoveMemory从指定内存中复制内存至另一内存里 ，语法如下：

CreateThread创建一个新线程

系统将创建一个进程和一个主线程。CreateThread将在主线程的基础上创建一个新线程，大致做如下步骤：

1.在内核对象中分配一个线程标识/句柄，可供管理，由CreateThread返回

2.  把线程退出码置为STILL_ACTIVE，把线程挂起计数置1

3. 分配context结构

4. 分配两页的物理存储以准备栈，保护页设置为PAGE_READWRITE，第2页设为PAGE_GUARD

5. lpStartAddr和lpvThread值被放在栈顶，使它们成为传送给StartOfThread的参数

6. 把context结构的栈指针指向栈顶（第5步）指令指针指向startOfThread函数

WaitForSingleObject等待创建的线程，里两个参数，一个是创建的线程，一个是等待时间。正常的话我们创建的线程是需要一直运行的，所以将时间设为负数，等待时间将成为无限等待，程序就不会结束。

进行排察工作，通过手工逐行删除文件定位特征码，发现删除第三行或第四行后发现不再报毒，所以将这两句进行混淆。所有的作者将所有的shellcode进行编码。

使用pyinstaller打包

使用pyinstaller -F -w -i a3.ico horse.py打包为horse.exe

这篇关于python shellcode分析的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！