简单PEDIY----让程序运行时打开指定网站

思路：在一个正常合法的程序上附加一段代码（这里演示的是调用Winexec打开网页），通过修改原程序的入口点跳到我们加的那段代码上，执行完成我们的代码之后再跳回原来的入口处执行。
步骤：
1.查找源程序入口点
2.搜索能写入代码的区域（或是自己添加区段）
3.向程序中写入我们自己的代码
4.跳回原入口正常执行程序
工具：OD LordPEPEID 测试程序：windows自带计算器calc.exe
测试环境：xp sp3+vs2008
首先peid查看计算器程序，单击 “EP区段”右边的“》”按钮打开“节查看器”，按鼠标右键选择“搜索全0处”，弹出一个“全0处信息”，在这里我们找一块能容下我们代码的空白区域

我们这里就选.text代码段，记下RAV：136b6
然后LordPE打开记下入口点:00012475跟基址RVA:01000000
根据内存地址=基址+rva计算出空白区域的开始内存地址为：10136b6
我们OD打开计算器ctrl+G转到这个地址，然后选中一大块（能存放我们字符串就可以），点击右键--二进制--编辑，将“c:\\program files\\internet explorer\\iexplore.exe www.baidu.com”写入，写入之后在下面再写入WinExec的Call，先push 1(SW_SHOWNORMAL)，在push 10136b6(IE路径（如果在path里直接填入iexplore.exe就可以）)，最后call WinExec,写好后再跳回原入口点jmp 1012475，保存所有修改，然后再用loadPe打开修改后的文件，将入口点改为我们里面push 1的地址，这里要转换成文件偏移，减去基址就可以，保存后运行下程序，执行计算器的同时打开了我们制定的网页。

扩展：粘滞键后门，这个好老了，就是远程桌面按五下shift可以调出粘滞键，给服务器留后门的时候可以改下服务器的粘滞键，让其调用winexec为我们添加一个账户，进去后再删掉账户，远程桌面也可以调出放大镜程序，修改这个也可以。入侵时有时拿到webshell在某个目录有上传文件下载文件的权限，提权时也可以在某个目录找到某个常用的文件，找某个程序能调用的DLL也可以，添加一段代码让其添加个用户。好处是不会改变程序版本信息或是大小（不添加区块的情况下），也没有使用第三方软件。