首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Python脚本,打开exe文件,根据偏移条件从exe文件复制数据,并将提取的数据写入其他文件

Python脚本是一种使用Python编程语言编写的脚本文件,它可以执行一系列预定义的操作。打开exe文件是指通过Python脚本打开一个可执行文件(exe文件),以便对其进行操作。

在Python中,可以使用open()函数来打开一个文件。对于可执行文件,可以使用二进制模式打开,如下所示:

代码语言:txt
复制
with open('file.exe', 'rb') as f:
    # 执行操作

根据偏移条件从exe文件复制数据,可以使用seek()函数来设置文件指针的位置,然后使用read()函数来读取数据。偏移条件可以是文件中的字节偏移量或特定的标记。

代码语言:txt
复制
with open('file.exe', 'rb') as f:
    f.seek(offset)  # 设置文件指针的位置
    data = f.read(length)  # 读取指定长度的数据

将提取的数据写入其他文件,可以使用write()函数将数据写入另一个文件。

代码语言:txt
复制
with open('output.txt', 'wb') as f:
    f.write(data)  # 将数据写入文件

以上是一个简单的Python脚本示例,用于打开exe文件,根据偏移条件从exe文件复制数据,并将提取的数据写入其他文件。根据具体需求,可以在脚本中添加更多的逻辑和功能。

关于Python脚本、文件操作和数据处理的更多信息,可以参考腾讯云的相关产品和文档:

请注意,以上仅为腾讯云的一些相关产品示例,其他云计算品牌商也提供类似的产品和服务。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

新版本 Redline 使用 Lua 字节码逃避检测

遥测分布 根据遥测数据,Redline Stealer 木马已经日渐流行,覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。...写入文件 后续这三个文件会被移动到指定路径中: 特定路径 可以看到,compiler.exe 由 msiexec.exe 执行,并以 readme.txt 作为参数。...恶意软件会将前述三个文件复制到另一个文件夹中,路径非常长而且很随机。 文件移动 请注意,compiler.exe 已经改名为 NzUW.exe。...调试信息 调试信息 文件字节码使用 memmove 函数将字节码从一个偏移量更改为另一个偏移量。使用 memmove 函数复制 JIT 字节码中 200 字节定长数据。...调试信息 收集以下信息并将其发送到 C&C 服务器: 回传信息 回传信息 微软已经官方存储库中删除了存在问题文件

9810

Misc工具(22.7.6更)

所在文件夹,打开 cmd 输入: stegdetect.exe -tjopi -s 10.0 [stego_file] -s 修改检测算法敏感度,该值默认值为1。...使用(解密) 安装成功后打开 bwm.py 所在文件夹,在文件夹中打开终端 # 1.png 为无水印原图 # 2.png 为有盲水印图 # flag.png 为解出来图片 > python bwm.py.../hfeeki/dtmf 使用 先将其中dtmf-decoder.py这个脚本中读入文件部分按照个人需求进行修改 修改后直接运行脚本即可 python dtmf-decoder.py 注:如果在py3...5.8 stegsnow(空白字符隐写) 安装 apt install stegsnow 使用 -C : 加密时压缩数据,解密时解压数据 -f [message-file] : 将该文件内容隐藏在输入文本文件中...立体图可以通过两个相同图片偏移取差值方法看到信息 先将生成字符串截图出来 然后使用 stegsolve stereogram solver 选项,依次查看图片偏移 可以看到当偏移为96

2.5K81

恶意代码分析实战总结

,监视in指令,第二个操作数为VX (7)查看str指令,主机和虚拟机中返回值不一样,str指令用来任务寄存器中检索段选择子 措施: (1)修补代码,使用nop或修改条件跳转 (2)卸载VMware...IMAGE_FILE_HEADER 中文件属性字段中 普通EXE文件这个字段值一般是010fh,DLL文件这个字段值是0210h 注意:当磁盘文件一旦被装入内存中,磁盘上数据结构布局和内存中数据结构布局是一致...遇到e8指令,将后面四个字节解析成数据(本地call指令5个字节),修改:将后面字节变成指令 如何分辨反汇编:跳转到一个无效指令,相同目标的跳转指令,固定条件跳转指令,无效反汇编指令,滥用返回指针...(7)用调试器动态调试,用IDA静态分析,编写辅助脚本进行分析 (8)对产生日志和流量进行分析,取证,调研 (9)提取特征码,和已有的样本库进行比对 (10)文档化 (11)备份相关文件...,一次是写入数据,一次是写入代码 进程替换:dll注入可能让进程崩溃,进程替换关键是以挂起状态创建,会被载入内存,恢复主线程后,开始执行。

2.3K20

别再问我exe反编译成Python脚本了!

脚本提取pyc文件 通过 pyi-archive_viewer 工具提取pyc文件 脚本提取pyc文件 pyinstxtractor.py 脚本可以在github项目 python-exe-unpacker...中下载,地址: https://github.com/countercept/Python-exe-unpacker 下载该项目后把其中pyinstxtractor.py脚本文件复制到与exe同级目录...name X : extract name Q: quit 然后可以提取出指定需要提取文件: 要提取其他被导入pyc文件,则需要先打开PYZ-00.pyz: 很显然,使用PyInstaller...,这里我使用UltraEdit32: 分别打开正常情况下编译出pyc和pyinstaller提取出来pyc文件进行对比: 可以看到前16个字节都被去掉了,其中前四个字节是magic,这四个字节会随着系统和...打开查看一下: 可以看到对于非入口运行pyc文件12字节开始缺4个字节。

15K43

内网渗透基石篇之域控制器

使用ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级控制器留下数据等。...2.复制卷影拷贝中Ntds.dit文件到C:\盘下 1.3 利用vssown.vbs脚本提取ntds.dit vssown.vbs脚本功能和vssadmin类型,可以用于创建和删除卷影拷贝,...不管是交互模式还是非交互模式,都可以使用exec调取一个脚本文件来执行相关命令 在渗透测试中,可以使用diskshadow.exe来执行命令 首先需要将执行命令写入txt文件中 比如 exec c:\...windows\system32\calc.exe 1.首先写入1.txt 2.使用diskshadow.exe加载该txt文件。...域控制器复制用户凭据 微软官方解释:指定目录复制服务(DRS)远程协议,一种用于复制和管理Active Directory中数据RPC协议。

1.1K70

导出域内用户hash几种方法

这些域内用户hash存储在域控制器(NTDS.DIT)中数据文件中,并带有一些其他信息,如组成员身份和用户。...如果另一个路径调用它,脚本将无法正确执行。 diskshadow.exe /s c:\diskshadow.txt ? 直接解释器运行以下命令将列出系统所有可用卷影副本。...命令副本并将NTDS.DIT和SYSTEM文件复制到名为ShadowCopy本地驱动器上新创建文件夹中。 copy \\?...在执行期间,fgdump将尝试禁用可能在系统上运行防病毒软件,如果成功,则会将所有数据写入两个文件中。...该脚本将所有信息写入项目名称下各种文件中,当数据文件NTDS解密完成后,将用户列表和密码哈希值导出到控制台中。该脚本将提供有关域用户大量信息,如下所示。 ? 密码哈希将以下列格式显示。 ?

4.7K40

对某单位 APT 攻击样本分析

二.宏病毒文档提取与调试 使用OfficeMalScanner解压Office文档并提取文档所带vba宏代码,打开Office文档启用宏后,采用快捷键Alt+F11开启宏代码动态调试。...使用OfficeMalScanner这个工具命令infovbaProject.bin中提取宏代码,提取完后可以知道有6个宏代码,其中fdrhfaz2osd是主要宏代码: ? ?...软件先判断载入是不是DLL,xfj=eaa是个编码后脚本,判断后程序将会尝试解码。 ? 解码成功后,将解码数据写入一个临时文件中,软件将会重新创建一个进程来重新加载脚本。 ?...解码后Autolt脚本,代码被混淆了。 ? 根据混淆脚本,只是函数名混淆,而且脚本只是一个纯文本代码,通过重写此脚本后,可以看到基本还原Autolt脚本代码了。 ?...自我复制到C:\Users\l\AppData\Roaming\MyApp\MyApp.exe,设置为系统文件,并设置为无法删除文件Zone.Identifier,在注册表设置为自启应用并且隐藏。

1K20

十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)

(7) 引入函数节 ⽤来其他DLL中引⼊函数,引入了kernel32.dll和user32.dll,这个节一般名为“.rdata”。...引入函数是被某模块调用但又不在调用者模块中函数,用来其他(系统或第三方写)DLL中引入函数,例如kernel32.dll、gdi32.dll等。...此时可以看到加载到内存中数据,可以看到该数据与010Editor打开PE文件数据一致。 接着继续按F8单步步过弹出第二个窗口。...增加内容如下图所示: 注意,现在我们只是写入内存,而没有写入PE文件中。 第三步,选中新增内容,右键点击“复制到可执行文件”。 此时显示如下图所示,成功复制到PE文件中。 第四步,修改代码段。...数据跟随显示如下图所示,代码段中每个弹框是22字节,“68 40”开始,共计两个弹框。 接着我们将退出函数所有字节复制出来,为了整体后移。

5.5K52

Office 远程溢出漏洞测试与分析

等到跳回这里,就是我们 Shellcode 执行起始地址了,这里 Shellcode 也不复杂,主要就是根据 PEB 获得镜像加载基址,并根据固定偏移获得 call Winexec() 汇编代码地址...POC 文件复制一份出来,双击打开,再依次点击"插入"、"对象"、"package"、"确定"按钮,然后把我们准备好 test.exe 文件以 package 对象形式插入进去 ?...然后起始标志开始一直到它下一个标签起始标志前结束,把这段数据复制出来 ?...到这里,我们根据该漏洞 POC 文件把它改造成一个 EXP 任务已经完成 通过前面我们将 CVE-2018-0802 与 CVE-2017-11882 比较可知,这两个漏洞触发条件是互斥,因此,...如果有对 rtf 文件格式以及 OLE、PACKAGE 对象比较熟悉童鞋,还可以用 C++ 或 python 实现一个能一键生成 POC 或 EXP 程序以及脚本,具体过程这里不再详细讨论 0x06

1.3K40

对某单位 APT 攻击样本分析

该APT样本整体运行流程图如下: 二.宏病毒文档提取与调试 使用OfficeMalScanner解压Office文档并提取文档所带vba宏代码,打开Office文档启用宏后,采用快捷键Alt+F11...使用OfficeMalScanner这个工具命令infovbaProject.bin中提取宏代码,提取完后可以知道有6个宏代码,其中fdrhfaz2osd是主要宏代码: 动态调试分析宏代码,首先宏代码传入两个值...软件先判断载入是不是DLL,xfj=eaa是个编码后脚本,判断后程序将会尝试解码。 解码成功后,将解码数据写入一个临时文件中,软件将会重新创建一个进程来重新加载脚本。...解码后Autolt脚本,代码被混淆了。 根据混淆脚本,只是函数名混淆,而且脚本只是一个纯文本代码,通过重写此脚本后,可以看到基本还原Autolt脚本代码了。...编写python脚本进行了字符串解密,解密后效果如下所示: 字符串解密核心算法如下: 入口处获取主机名进行判断是否包含以下6个主机名,攻击目标是否符合: 自我复制到C:\Users\l\AppData

74300

域控安全之ntds.dit导出

里面存放了密钥,如果sam,ntds.dit要破解就需要system 提取ntds.dit 通过ntdsutil.exe 提取 ntds.dit ntdsutil.exe是一个位活动目录(AD)提供管理机制命令行工具...PowerSploit中Invoke-NinjaCopy脚本 下载地址 复制一些系统无法复制文件,如sam文件( 管理员权限 ) 命令使用 Invoke-NinjaCopy -Path <需要复制文件...监控卷影拷贝服务及任何涉及活动目录数据文件(ntds.dit)可疑操作行为。...SYSTEM是大写 或者导出csv格式也可以,还具有一个“dscomputers.py”工具可以分离出来表中提取域中计算机信息 python dscomputers.py ntds.dit.export...如果条件满足,你可以执行以下命令: python2 secretsdump.py -system system -ntds ntds.dit LOCAL 首先下载impacket工具包 git clone

1.9K40

公交线路数据获取脚本分享

数据获取过程 ▼最终成果 -1st- 获取公交线路数据脚本 ---- 1、 首先爬取目标区域公交站点POI数据并将最后生成文件“POI.xls”粘贴至“Linedata” *依托POI数据获取脚本...2、 双击运行“1-ExtracBusLines .exe”,“POI.xls”中提取公交线路数据,保存在“Linedata/BusLineNames.txt” *也可以忽略1-2步骤,自己创建BusLineNames.txt...文件,手动输入公交、地铁线路名称 3、双击运行“2-GetBusRoutes.html”(将使用默认浏览器打开),依据页面提示进行数据获取,并将生成三个“*.json”文件粘贴至“Linedata/”...数据导入GIS工具 ---- 01 使用方法 1、 将“BusRoutesDraw.tbx”复制到ArcGIS链接工作文件夹下或“我工具箱路径”,以便于后期使用其中工具 2、 启动ArcGIS后(....exe”自动退出无提示,请打开第二步获取三个*.json文件确认 ----

2.3K20

利用卷影拷贝服务攻击域控五大绝招

它和SAM文件一样,是被Windows系统锁定,我们来介绍一下如果将ntds.dit系统转导出以及如何读取ntds.dit中信息。...图6-8删除快照 03 vssown.vbs脚本提取 vssown.vbs是和vssadmin类似,它是由Tim Tomes开发完成,它可以创建和删除卷影副本,以及启动和停止卷影复制服务。...在前面提到过nishang工具包中,包含名为Copy-VSS.ps1powershell脚本,我们将该脚本单独提取出来,在域控制器打开一个Powershell窗口,将Copy-VSS.ps1导入并执行该脚本...图6-20使用diskshadow.exe运行了一个calc.exe diskshadow.exe同样是可以用来导出ntds.dit,我们需要将命令写入一个文本文件中,写入内容如下: set context...3.在实战中,先将含有需要执行命令文本文件写入到远程目标操作系统中,然后使用diskshadow.exe调用文本文件并执行。

49920

Windows 10 SSH-Agent中提取SSH私钥

我在这里发布了一些PoC代码,注册表中提取并重构RSA私钥。 在Windows 10中使用OpenSSH 测试要做第一件事就是使用OpenSSH生成几个密钥对并将它们添加到ssh-agent中。...我博客中获取了Python脚本,并为它提供了我Windows注册表中获得不受保护base64 blob: ? 可以正常工作了!...我不知道原作者soleblaze是如何找出二进制数据正确格式,但在这里我要特别感谢他所做以及他分享! 在证明可以注册表中提取私钥后,我将PoC分享到了GitHub。...由于我不知道如何在Powershell中解析二进制数据,所以我把所有的密钥保存到了一个JSON文件中,然后我可以在Python中导入。Powershell脚本只有几行: ?...我大量借用了parse_mem_python.py中代码,并将其更新为Python 3,用于下一个脚本:extractPrivateKeys.py。

2.6K30

使用卷影拷贝服务提取 ntds.dit 多种姿势

使用 Windows 本地卷影拷贝服务,就可以获得文件副本(类似与虚拟机快照) 使用卷影拷贝服务提取 ntds.dit 在活动目录中,所有的数据都保存在 ntds.dit 文件中。...使用 ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级与控制器留下数据等。...在渗透中可以使用 diskshadow.exe 来执行命令,例如将需要执行命令exec c:\windows\system32\calc.exe写入C盘目录下command.txt文件: ?...渗透测试人员可以在非特权用户权限下使用 diskshadow.exe 部分功能。与其他工具相比,diskshadow使用更为灵活。...脚本执行后,要检查从快照中复制出来 ntds.dit 文件大小。如果文件大小发生了改变,可以检查或修改脚本后重新执行。

3K10

利用 mstsc 反向攻击思路整理

b、利用 通常情况下,tsclient 利用思路较为简单,通过文件传输将恶意程序脚本写入用户启动(startup)文件夹,当机器重启时,就会执行恶意程序脚本。...虽然限制条件较多,但在实际环境中,很多运维人员为了方便操作,通常会挂载磁盘,因此这一方法并非全然无用,需要根据实际情况判断。...此外,由于该进程是后台运行,当管理员同时用远程桌面登陆多个服务器,在其中某一个服务器上进行复制拷贝操作时,会将数据同步到所有服务器 rdplicp.exe 进程。...) 函数,将文件数据添加到描述符中 5、完成后,将 Fgd Blob 发送到服务器上 RDP 服务 6、服务器只是将其包装并将其发送给客户端 7、客户端将其解包并将其存储在自己剪贴板中 8、"粘贴...此外,如果受害者不进行复制粘贴操作,也无法触发次漏洞,而多次进行复制粘贴又会触发文件重复弹窗(修改脚本,每次附加文件文件名都不同应该可以解决),使用起来限制不小。

4.3K50

Python 自动化指南(繁琐工作自动化)第二版:九、读取和写入文件

当以读取模式打开文件时,Python 只允许文件中读取数据;你不能以任何方式写或修改它。读取模式是在 Python打开文件默认模式。...写入文件 Python 允许你以类似于print()函数将字符串“写入”屏幕方式将内容写入文件。但是,您不能写入以读取模式打开文件。...一旦我们将cats中数据作为一个字符串,就很容易将该字符串写入一个文件,我们称之为myCats.py。 一个import语句导入模块本身就是 Python 脚本。...你 Python 程序甚至可以生成其他 Python 程序。然后,您可以将这些文件导入脚本。...如果你使用 Windows,你可以很容易地 run 运行这个脚本…窗口,创建一个名为mcb.bat批处理文件,内容如下: @pyw.exe C:\Python34\mcb.pyw %* 第一步:注释和架子设置

3.4K51

记一次详细勒索病毒分析

PE 文件 OEP dump.exe:(新 PE 文件行为): 1、解密数据,获取系统信息,释放到系统路径,打开注册表添加启动项 2、创建文件,保存用户 RSA 公钥以及 用户 ID,并生成勒索信息...分配空间之后进入左边条件分支,将偏移数据(加密 shellcode )复制到刚刚分配空间,之后进入右边条件分支,对 shellcode 进行解密,解密函数如下 ?...获得 OptionalHeader 长度,之所以计算各个段长度是为了获取最后一个节区偏移,通过偏移把解密后新 PE DOS 头,PE 头和节表头复制到 400000 内存空间中,之后...右边分支为复制节区数据,由于新PE文件只有一个节区所以循环只有一次,这里不做过多解释,重点在 IAT 修复上,当右边分支执行完后,会执行左边分支,首先会释放掉解密后新 PE 文件,通过 PE 头偏移获取...接着将加密后文件数据复制到 D1BBB8 处,然后调用三次 WriteFile,分别将数据复制文件中,使用用户 RSA 公钥将 uuid 进行加密,并写入文件,最后将用户 ID第二部分写入文件中,

1.7K10
领券