ExecutePeFromPngViaLNK是一款针对PE文件和LNK文件的安全测试工具,该工具旨在使用LNK 文件提取并执行嵌入在 PNG 文件中的 PE。
该工具可以对LNK文件和PE文件执行操作,并分析PNG文件结构,其中的PE 文件使用单密钥 XOR 算法加密,然后作为 IDAT 部分注入到指定 PNG 文件的末尾。
Python 3
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Maldev-Academy/ExecutePeFromPngViaLNK.git工具帮助信息:
-h, --help:显示工具帮助信息和退出;
-i,--input INPUT:输入PE Payload文件
-png, --pngfile PNGFILE:输入要嵌入PE Payload的PNG文件
-o, --output OUTPUT:PNG/LNK输出文件的名称
InsertPeIntoPng.py用于创建嵌入的PNG文件并生成提取的LNK文件:
生成的LNK文件默认带有PDF文件的图标,执行时会认为嵌入的PNG文件位于同一目录中,PE文件将存储在该%TEMP%目录下以供执行。
执行DLL
执行EXE
本项目的开发与发布遵循MIT开源许可协议。
ExecutePeFromPngViaLNK:
https://github.com/daniel2005d/mapXplore
原文始发于微信公众号(FreeBuf):ExecutePeFromPngViaLNK:一款PE文件嵌入隐写工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论