关于ExecutePeFromPngViaLNK

ExecutePeFromPngViaLNK是一款针对PE文件和LNK文件的安全测试工具，该工具旨在使用LNK 文件提取并执行嵌入在 PNG 文件中的 PE。

该工具可以对LNK文件和PE文件执行操作，并分析PNG文件结构，其中的PE 文件使用单密钥 XOR 算法加密，然后作为 IDAT 部分注入到指定 PNG 文件的末尾。

工具要求

Python 3

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Maldev-Academy/ExecutePeFromPngViaLNK.git

工具使用

工具帮助信息：

-h, --help：显示工具帮助信息和退出；

-i,--input INPUT：输入PE Payload文件

-png, --pngfile PNGFILE：输入要嵌入PE Payload的PNG文件

-o, --output OUTPUT：PNG/LNK输出文件的名称

InsertPeIntoPng.py用于创建嵌入的PNG文件并生成提取的LNK文件：

生成的LNK文件默认带有PDF文件的图标，执行时会认为嵌入的PNG文件位于同一目录中，PE文件将存储在该%TEMP%目录下以供执行。

工具运行演示

执行DLL

执行EXE

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

ExecutePeFromPngViaLNK：【GitHub传送门】

参考资料

https://maldevacademy.com