当前位置： && 知识详情
【技术分享】如何在PE文件中手动植入一个后门
阅读：8768次
翻译：预估稿费：200RMB投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿一、简介1.1 什么是后门在本文中，后门植入指的是使看似无害的可执行文件（即PE文件，Portable Executable）执行恶意载荷的一种技术。包括启动calc.exe、添加用户账户以及获取远程shell等都可以算是恶意载荷。任何能够自给自足的代码都可称为shellcode。虽然杀毒软件的绕过技术并不是本文的重点，但本文也会通过迭代分析来证明这种后门植入手段在绕过杀毒软件方面的有效性。虽然这一主题已经被人反复提起，但之前的分析没有涉及ASLR以及已有代码洞（code cave）的利用，而本文刚好覆盖了这两方面内容。Josh Pitts开发了这个工具，可对可执行文件进行自动化地后门部署。感谢他帮我做了一些分析，然而，不要过度依赖这个工具，毕竟知道如何手动部署后门并不是一件坏事。那么，什么是后门植入的最佳目标呢？由于我们希望可执行文件最终创建反弹型（或者绑定型）shell，因此当用户发现程序产生网络流量或者请求添加防火墙例外时，程序不应该引起他们的警觉。因此，这种情况下后门的最佳目标可以是NetCat、SSH/Telnet客户端以及其他程序。另外一类目标可以是软件破解工具，肯定有用户想在不付费的前提下玩某些游戏，因此他们会下载经过破解的.exe文件。他们对这类文件比较信任，认为游戏破解版除了不需要付费意外，并不会有其他可疑行为。我们会在本文中以PsExec（工具集中的一个工具）这个工具作为目标。之所以将它作为目标，原因有几点，比如系统管理员经常使用这个工具、该工具的确有网络流量，也会与其他机器通信。它最初的目的也是加载和执行二进制程序，因此当使用它创建绑定/反弹型shell时也不会那么可疑。最有趣的是，Sophos杀毒软件将PsExec检测为（这是什么鬼？），因此我们不会将Sophos杀软的检测结果考虑在内。读懂本文需要事先掌握哪些知识？其实这些知识都是我自学的，因此可能读者也不需要掌握太多背景知识。但如果读者想要掌握本文的全部知识点，复现所有实验，我建议可以先掌握有关x86汇编、shellcode编写、调试器（特别是OllyDbg/Immunity）的使用以及驻留技术等相关知识。1.2 实验环境为了保护我们的系统，我们在修改和执行载荷的时候应该使用虚拟机。读者可以根据自己的喜好使用任何工具，我在本文中使用的系统及工具如下所示：虚拟机1：Windows 7 SP1（x86）Immunity Debugger (&)LordPE ()XVI32 (&)Stud_PE (&)Netcat (可以在Kali系统的/usr/share/windows-binaries/目录中找到)PsExec (&&)虚拟机2：Kali Linux（位版本已通过实验验证，但其他版本应该也可以）该系统已经自带了我们需要的所有工具1.3 PE结构简介本节会重点介绍PE文件的某些字段，这些字段在下文讨论的后门植入中会有所涉及。读者可以参考了解更多细节，但这里我们会重点介绍与后门植入有关的那些字段。在Windows 7虚拟机中，使用LordPE载入PsExec.exe，可以看到如下界面：相关字段为：入口点（EntryPoint）：距离基址的虚拟偏移量，指向需要运行的第一条指令。镜像基址（ImageBase）：用于映射可执行文件的首选基址，默认值为0x，但可以被覆盖。如果使用ASLR编译，该值会被忽略。块对齐（SectionAlignment）：内存中区块的对齐值，这个值不能小于内存页面大小（4096字节）。内存中的块大小必须是该值的整数倍。文件块对齐（FileAlignment）：原始文件中区块的对齐值，通常为512字节。标志字（Magic）：文件特征的另一种说法（这里并没有什么魔法（magical））。区段数目（NumberOfSections）：在文件头之后定义的区段数目，稍后再讨论这个值。校验和（Checksum）：镜像文件的校验和。可选头部大小（SizeOfOptionalHeader）：正如字面含义所言。可选头部中包含某些数据，如首选镜像基址、入口点、校验和以及其他字段。点击“区段（Sections）”按钮，如下所示：正如“区段数目”中所显示的数值，该文件有5个区段。.text段包含可执行代码，因此默认情况下该区段需要为可读以及可执行。.data段以及.rdata段包含只读数据，设置可执行标识就可以执行这个区段中的数据。.rsrc段包含资源数据，.reloc段通常不是必需区段，除非内存中的基址存在冲突。现在来看一下其他字段：VOffset：载入内存后，区段距离镜像基址的偏移量。VSize：载入内存后，区段的大小。ROffset：磁盘中文件的实际偏移量，你可以使用二进制编辑器工具查看这个值。Flags：包含定义区段“权限”的那些标志。为了便于查看，你可以右键点击某个选定的区段，选择“编辑区段头部”，然后再点击“Flags”文本框右侧的小按钮。1.4 代码洞（Code Caves）Drew Benton写过一篇介绍的非常好的文章，在这篇文章中，他将代码洞定义为“一种重定向机制，程序执行流程会被重定向到另一个位置，然后再返回到之前离开的那个区域”。对于后门植入而言，代码洞指的就是一个全新的或者没被使用过的死亡空间，我们可以将自定义代码放在这段空间中，然后在没有破坏可执行文件的前提下，将程序执行流程重定向到这个位置。我们将回顾几种技术：1、添加全新的区段优点：可用空间很大缺点：增加二进制文件的大小，更为可疑。2、使用现有的死亡空间优点：文件大小没有改变，不是那么可疑。缺点：空间可能非常小，可能需要改变区段权限，才能执行代码。这篇文章中没有涉及以下两个技术点：1、拓展最后一个区段优点：区段数目没有改变缺点：二进制文件大小增加，文件更为可疑，严重依赖最后一个区段。与添加新区段相比没有优势。2、代码洞跳转优点：更为灵活，可以单独或混合使用现有的技术，隐蔽性可能更好。缺点：需要将载荷切割成更小的单元，可能需要更改多个区段的权限。1.5 地址空间布局随机化（ASLR）地址空间布局随机化（Address Space Layout Randomization，ASLR）是一种安全机制，可以将可执行文件/DLL文件以及其他内存段（如栈或者堆）的位置随机化处理。这种机制可以避免基于固定函数/代码段跳转的漏洞利用技术。当在支持ASLR的操作系统上使用/DYNAMICBASE选项编译PE或者DLL时，程序不需要考虑.reloc段（前文提到过）。当修改程序指令时，我们不能使用固定跳转方式，相反我们必须使用在当前指令和下一条指令之间的相对偏移量（后文会详细介绍）。如果你想查看ASLR，你可以使用Immunity工具加载PsExec，然后查看“内存（Memory）”选项卡（ALT+M）：基址为。重新启动程序（你需要关闭Immunity）：基址变成了。目前关于ASLR你只需要了解这些信息就可以。1.6 文件偏移量及RVA正如前文讨论过的，当某个PE文件被载入到内存中时，它在内存中的映射方式与在硬盘中的映射方式有所不同，我们需要记住这几个名词，下文会涉及到这几个词：文件偏移量（File Offset）：当前文件中的位置，可以使用十六进制编辑器查看这个值。基址（Base Address）：载入内存中的起始地址。默认首选值为0x，但如果开启了ASLR，每次加载时这个值都会发生变化。虚拟地址（Virtual Address）：载入内存中的段地址，虚拟地址包含程序的起始基址。相对虚拟地址（Relative Virtual Address，RVA）：与虚拟地址含义相同，不过需要减去基址。入口点位于9DE6，不过这是一个RVA地址，因此映射到内存中后，这个地址应该为：ImageBase + EntryPoint。类似地，我们看到的ImageBase是一个首选值，如果该值被占用，PE加载器会去查找另一个可用的地址。如果启用了ASLR，这个值会被完全忽略掉。使用Immunity加载PsExec，你会看到如下信息;接下来，转到内存窗口（ALT+M）：当程序被载入内存后，内存中区段的映射方式与文件中的区段映射方式有所不同。如果你查看Size这一列，你会发现所有区段的大小都是4096的倍数（读者是否还记得SectionAlignment这个字段？）。BaseAddress为0x00F0000，我们可以查看PE头部中的起始地址，也可以查看Owner列中的值来获取BaseAddress。我们还可以看一下SizeOfHeader字段，这个字段位于400h处，然而它被映射到1000h字节处，因此.text段的FileOffset字段与它的RVA地址之间存在600h字节的偏移量。附录中的公式2会告诉你如何计算这个值。二、手动植入后门2.1 控制执行流程一个最基本的后门可以按照如下步骤实现：1、劫持代码执行：执行后门的最简单的方法就是使用JMP代码洞替换ModuleEntryPoint处的指令。JMP代码洞可能会覆盖不止一处指令，因此需要将这些指令以及紧随其后的指令保存下来。2、保存当前状态：二进制程序的执行对后门隐藏来说至关重要，我们需要保存所有位于寄存器和标志中的值。我们可以使用PUSHAD和PUSHFD完成这一任务，注意观察ESP寄存器的值。3、执行恶意载荷：现在我们可以安全地执行shellcode。4、对齐栈：shellcode可能会将数据推送到栈中。由于我们需要恢复寄存器以及标志的值，因此ESP可能需要对齐。我们需要将该值与步骤3之后的ESP值进行对比，然后再对齐（ADD ESP，对齐）。5、恢复状态：使用POPFD/POPAD恢复状态。需要以相反顺序完成这个操作，因为栈是LIFO（后进先出）结构。6、执行被覆盖的代码：我们在步骤1覆盖了某些指令，是时候恢复这些指令了。7、继续执行流程：最后一个步骤是跳转到程序正常执行流程中的下一条指令，执行该指令，恢复程序的正常执行流程。后门植入前后的程序结构如以下两图所示：2.2 典型的后门植入方法第一种方法是在原始PE文件的末尾添加一个全新的区段，通常一个Meterpreter载荷大约为350个字节，我们可以使用Stud_PE工具来创建一个新的区段。请注意：我之所以使用Stud_PE，而不使用LordPE+十六进制编辑器，原因在于后者对我来说有时候会出错，你可以按照自己的喜好选择合适的工具。打开Stud_PE，将PsExec.exe拖到窗口中，转到Sections标签页，右键选择“New Section“，按照下图所示填入对应字段：区段添加完毕后，你可以看到如下信息：该区段的默认标志为RWX，因为区段应该为可读且可执行的，如果在内存中修改这个区段，我们还需要设置区段的可写标志。非常好，区段添加成功，双击这个区段，你会看到一堆null值。我们的载荷应该存放在这个区域。在继续下一步之前，我们需要看检查这个文件的可疑程度。我们可以使用VirusTotal.com这个网站，探测常用杀软厂商对这个文件的扫描结果。虽然这个网站会共享样本数据，但不共享样本的另一个网（NoDistribute.com）貌似发生了故障，认为这个文件不可疑（0/35的检出率）。此外，我不介意分享这个文件，因此这样做对我来说没有什么损失。请注意：Sophos反病毒软件默认情况下会将PsExec标记为恶意软件，因此我会忽略Sophos的检测结果。添加一个额外的区段后，3/59的杀毒软件认为它是可疑的。现在让我们继续往前走。接下来，我们需要劫持第一条指令，跳转到我们新创建的区段，为此，我们需要.test段、第一条CALL指令以及下一跳指令的RVA地址。001C9DE6&&&$&E8&&CALL&PsExec_b.001D1500
001C9DEB&.^E9&7BFEFFFF&JMP&PsExec_b.001C9C6B001D1500的RVA地址为RVA_1DEB的RVA地址为RVA_9DEB，.test的RVA地址为RVA_7D0000。请注意：如果JMP代码洞覆盖了不止一条指令，你同样需要考虑其他情况。幸运的是，CALL PsExec_b.001D1500操作码的大小满足JMP代码洞的需求。我们将使用nasm_shell.rb（属于Metasploit框架的一部分）来获取正确的指令。如果你使用“JMP .test_section_start“的方式，程序可能会正常工作一次，但待跳转的地址会被硬编码到文件中，重启后就不能正常工作。为了能从9DE6跳转到7 D000，我们需要使用的偏移量是7 321A。复制生成的操作码（E），回到Immunity。在第一条指令上右键，依次选择“Binary“、”Binary Paste“。单步执行（F7），你会跳转到.test区段的起始地址：重启调试器（CTRL+F2），粘贴新的操作码，右键依次选择“Copy To Executable“、”All Modification“。在新窗口中，右键选择”Save File“。将文件保存为PsExec_bkdr1.exe。打开新创建的可执行文件，你可以看到新的覆盖后的指令（你认为指令变了？再仔细看看）。接下来，转到新创建的区段，让我们添加一些代码。1、使用PUSHFD/PUSHAD将值存放到寄存器/标志中。2、填充大约400个NOP指令（为shellcode和栈对齐预留的空间）。3、使用POPAD/POPFD。4、覆盖（多条）指令（也就是劫持ModuleEntryPoint）。5、JMP到下一条指令。最后，你需要恢复寄存器/标志的值。内存看起来应该如下所示：RVA_7D000&-&RVA_7D001:&PUSHAD/PUSHFD
RVA_7D002&-&RVA_7D1FD:&NOP指令&(为shellcode和栈对齐预留的空间)
RVA_7D1FE&-&RVA_7D1FF:&POPFD/POPAD&(栈为后进先出结构)从011D D200（RVA_7D200）开始，我们希望添加如下几条指令：CALL&RVA_11500
JMP&RVA_9DEB我们需要使用 “CALL RVA_11500“指令，通过nasm_shell很容易就能做到：复制操作码，确保你已经为新的指令选择了足够大的空间。从RVA_7D205跳转到RVA_9DEB的情况与之类似：最后的改动应该与下图类似：将改动保存到PsExec_bkdr2.exe中。可执行文件运行起来应该与原始文件一样，因为代码洞正确处理了程序的执行流程。快速扫描后，我们发现该文件的检出率为9/66。需要注意的是，此时此刻，这个可执行文件还没有包含任何恶意载荷。现在我们可以使用msfvenom生成我们的载荷，我们使用的是windows/shell_reverse_tcp这个载荷。非常需要注意的是：1、程序如果执行默认的EXITFUNC，那么关闭shell后进程就会退出，我们不希望这种情况发生。我们可以使用“EXITFUNC=none“，这样执行流程就不会被暂停。2、我们需要修改生成的载荷，因为它会以-1这个参数调用（即无限等待）。我们也不希望这种情况发生。在PUSHAD/PUSHFD命令后选择足够大的空间，将生成的载荷粘贴进去。在载荷结尾附近，修改这些命令，避免程序执行被暂停[WaitForSingleObject(-1)]：请在PUSHFD/PUSHAD执行后以及载荷执行后关注ESP的状态，确保栈对齐。对我而言，我需要添加一条“ADD ESP, 1FC“指令。保存所有的修改，避免前功尽弃。在Windows主机上启动一个netcat监听端，执行这个程序。你会获得一个shell。成功了！虽然检测率已经提高到了17/60。为了降低检测率，我们需要经过不断尝试，经历各种错误。我尝试了以下几种方法：1、使用MSF对载荷进行编码（之前我们使用的是原始载荷）：结果不妙，大多数杀软已经熟悉MSF编码处理技巧。2、修改校验和：额，大多数杀软直接忽视了这个值。3、压缩二进制程序（使用UPX加壳）：很好，检测率降到了11/60。目标快完成了，让我们尝试略有不同的另一种方法。三、劫持已有的代码洞之前的方法有几个缺点：1）文件大小发生明显的改变，2）刚开始已经有3个杀软把它标为可疑程序，即使只添加了最基本的逻辑处理流程（还没有添加载荷时），这个数量变成了9。让我们使用二进制文件中已经存在的一个空的代码洞来解决这个问题。需要注意的是，代码洞的查找工作必须在文件形态时完成，不能等到文件被加载到内存中再开始查找。我们会使用如下命令完成这一任务：root@kali:~/Desktop#&backdoor-factory&-f&PsExec.exe&-c&-l&500&-q-f: 输入文件-c: 查找代码洞-l: 最小的代码洞大小值-q: 静默模式额，我看到的到底是什么鬼？1、BDFactory至少找到了3个代码洞，可以存放我们的后门。2、这3个代码洞都位于.data段。3、代码洞的开始和结束地址都是原始的文件偏移地址，为了使用这些代码洞，我们必须获取它们的RVA地址。4、PointerToRawData/End of Raw Data：代表.data段开始/结尾的原始文件偏移值。让我们试一下第一个代码洞，因为它位于.data区域，我们需要设置.data区域的可执行标志（使用LoadPE即可）。仅仅将.data区域设为X标志后，这个文件的检出率就变为2/60：接下来，我们需要使用公式3，计算代码洞1偏移地址的RVA地址：RVA = 代码洞所在区段的VOffset + 代码段的ROffset - 代码洞所在区段的ROffset - 当前地址 = 0x29000 + 0x272e5 – 0x27200 = RVA_290E5使用RVA_290E8这个值：将第一条指令替换为载荷：将改动保存到PsExec2_bkdr.exe中，重新运行并单步执行。现在，让我们重复相同的步骤，即PUSHFD/POPFD、添加大约400个NOP指令、POPFD/POPAD、CALL RVA_11500然后JMP RVA_9DEB。这次修改后检测率变为5/58，与上次同一阶段的检测率相比少了4个检测结果。接下来，我们重复之前的工作，粘贴MSF载荷，调整栈。保存更改后，再次扫描。虽然13/60不是一个特别好的结果，但结果至少优于之前添加新区段的17/60的检测率。需要注意的是，我们并没有使用任何方式对MSF载荷进行编码、加密或者混淆。&四、人为因素现在我们已经弃用了添加新区段的方法，我们还可以做些什么吗？我们在前面两种方法中都在入口点使用了JMP代码洞方法，这是一个好方法，能确保载荷被执行，但杀软同样也会跟踪代码的执行流程，导致检测率明显提高。如果我们通过与用户交互来触发代码洞呢？毕竟杀毒软件不像人类那样可以充分地与可执行程序进行交互或传递参数（可能永远也达不到这个高度）。毕竟对于PsExec来说，这个程序需要传入参数，否则就会打印程序使用说明。让我们看一下，PsExec在常规输入下的行为：如果我们的后门hook某个字符串的打印动作会怎么样？我们可以在某个字符串被载入内存时设置断点，触发我们的后门。Immumity这个工具支持传入命令行参数。查找程序中所有引用的文本字符串。右键，选择“Follow in Disassembly“，跳转到汇编代码的相应位置。你可能会碰到某个异常，忽略它即可。让我们跟进第二个CALL（即CALL PsExec2_.003182AF）。在RET之前有某些未使用的空间可以利用，我们为什么不让程序在这里跳转到我们的载荷呢？在RVA_8334处，我们可以跳转到我们的代码洞中（RVA_290E8）。劫持RETN指令有什么好处呢？我们可以直接使用它，而不用去在意下一跳指令是什么。请注意：不要忘记修补入口点指令，我们再也不需要从那个位置跳转到我们的代码段。保存更改，然后启动监听器。杀软检测结果如何？只有9/60，这是目前最低的检测率！可能是静态分析还有点问题，且知名的杀软还是会检测出MSF载荷。4.1 更多的杀软绕过方法根据前文的内容，我们来思考下还有什么方法能够降低检测率。我尝试了以下方法：1、使用strip函数处理二进制文件：结果没变化（9/60）。2、去掉损坏的证书信息：结果不好，检测率提升到了18/60。3、使用自定义的处理一个最小的MSF载荷。所使用的载荷：msfvenom&-p&windows/shell_reverse_tcp&-b&&\x00&&–smallest检测率：5/60，这是目前为止最低的检测率！如果我们弃用MSF载荷，使用不是那么可疑的exploit-db的呢？我使用的是这个载荷，没有进行编码处理。结果非常好，只有3/59的检测率！当然我们可能还有提升的空间（比如使用加密方法？），但现在结果已经足够好了。4.2 如何保护自己我建议我们自己编译源码，编写自己的工具，不要信任任何人。否则，还是放弃保护自己的念头吧。当然，现实点的建议是：1、只从信任的源上下载程序。2、检查校验和/哈希值。3、给自己的系统打补丁，经常更新自己的病毒库。4、注意提示信息，正常情况下calc.exe肯定不会请求添加防火墙例外的。5、希望一切顺利，不要无脑单击到底。感谢读者阅读本文。五、附录5.1 公式1、ModuleEntryPoint（模块入口点） = BaseAddress（基址） + EntryPoint（入口点）2、EntryPoint在文件中的偏移 = EntryPoint – (VirtualSizeOfHeader - SizeOfHeaders)3、代码洞的RVA地址 = 代码洞所在区段的虚拟偏移 + 代码洞的原始偏移 – 代码洞所在区段的原始偏移5.2 代码仓库1、https://github.com/abatchy17/Introduction-To-Backdooring2、https://github.com/abatchy17/SLAE六、参考资料[1] &[2] &[3] &[4] &[5] &[6] &
本文由 安全客 翻译，转载请注明“转自安全客”，并附上链接。
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]联合金融839269
最新价：0.00 涨跌幅：0.00%
九鼎集团430719
最新价：2.10 涨跌幅：-8.70%
合全药业832159
最新价：45.77 涨跌幅：-0.50%
狼和医疗836795
最新价：15.00 涨跌幅：25.00%
东海证券832970
最新价：0.00 涨跌幅：0.00%
聚通达837883
最新价：0.00 涨跌幅：0.00%
联讯证券830899
最新价：1.99 涨跌幅：1.53%
七维航测430088
最新价：2.00 涨跌幅：-0.50%
PE们的难题：投资企业IPO折戟后，再次冲关还是选择被收购
导语通过率的降低，意味着折戟企业也就越多，未来是再度冲关还是就此放弃，投资方私募股权投资机构(PE)也显得焦灼不安。
证券时报网
· 文/罗曼 · 浏览2157
　　Wind数据显示，截至6月5日，年内发审委共审核241家次，首发申请通过率82.99%，而2016年、2015年首发申请通过率分别为93.07%和91.18%。
　　通过率的降低，意味着折戟企业也就越多，未来是再度冲关还是就此放弃，投资方私募股权投资机构(PE)也显得焦灼不安。
IPO放缓 审核通过率下降
　　上周证监会核准了4家企业IPO申请，这是继5月26日证监会核发7家IPO公司批文以来，连续两周核发批文少于10家。不仅如此，募资金额也明显下降，核发的4家企业首发申请筹资总额不超过15亿元。
　　值得注意的是，在IPO批文数量与筹资额双降的同时，IPO通过率也在不断降低。上周证监会发审委合计审核了15家企业的首发申请，其中11家获通过，1家取消审核，3家被否，通过率仅为73.33%，比前一周的通过率78.57%再度下降。
　　Wind数据显示，截至6月5日，今年以来共有241家企业上会，其中被否企业29家，首发审核通过率为82.99%，低于2016年、2015年同期首发申请通过率93.07%和91.18%。
　　值得注意的是，这还不包括主动撤回IPO申请的企业。据了解，今年主动撤回的企业家数已经超过40家，也就是说，通过审核机制产生的实际否决率远高于发审会否决率。
　　武汉大学金融与证券研究所所长董登新表示，对于IPO的审核，监管层在严把质量关方面不遗余力，证监会并不希望在IPO常态化的同时降低发行门槛，在此基础上，监管层打出了包括了加大现场检查力度和处罚力度的“组合拳”，严防企业“带病闯关”。IPO的核心就是做好上市公司发行公司股票的质量审查，由此可见，对资本市场“入口”的从严监管将成为常态。
　　而企业IPO上市最大的“拦路虎”，主要还是公司盈利不稳定、关联交易、独立性缺失、业绩下降、股份代持等问题。
　　以时代院线首发申请被否为例，发审受阻的原因在于：其分账比例、上座率、影院平均利润贡献等指标趋于下降、控股影院整体亏损、参股影院亏损面扩大，2016年电影放映收入和发行收入均同比下降，且2016年的扣非净利润同比大幅下降。
折戟企业二次冲关还是曲线上市?
　　“入口”从严监管，审核通过率降低，意味着闯关IPO失败的企业逐渐增加。这就出现一个问题：未来要登陆资本市场，是重新排队IPO，还是选择被收购?
　　东北证券投行部执行董事张立厅向时报君表示：“很多折戟企业其实更愿意重新排队IPO，因为目前借壳与IPO排队的时间差已经大幅缩短，而且之前企业已经花费了很多精力、财力去做上市准备，其中发行费用都需要3000万以上，这其中包括承销保荐费、审计验资费用、律师费用、发行手续费用等。”
　　根据证监会规定，拟上市公司IPO申请首发被否半年后可以再次申请上会，一般要根据企业自身准备情况而定。
　　Wind数据显示，IPO多次报审公司中，截至6月5日，今年以来共计有26家二次上会，14家公司IPO过会，其中暂缓表决的有4家，1家未通过，2家取消审核，3家待表决，过会通过率为53.84%。
　　深圳一家PE机构项目经理向时报君表示：“我们的项目仍以IPO为主要退出通道，现在IPO发行放缓，通过率降低，对我们造成的压力也很大。”
　　张立厅表示，是选择重新IPO还是通过并购重组上市，可能还取决于投资方PE机构是否着急退出。如果PE资金着急退出，可能更倾向于通过并购重组实现套现退出;如果有耐心的话，那么再规范一两年然后重新排队上市。
　　然而，在上市公司并购重组趋严并叠加减持新规的背景下，“上市公司+PE”并购模式的退出焦虑正在进一步加强。机构的投资成本正在加重并且面临越来越大的不确定性，减持退出的通道收紧，为上市公司并购服务的PE资金需要重新全盘考虑其中的风险收益比。
　　值得一提的是，今年以来被否或终止的首发申请企业还未有出现被上市公司收购的案例，反倒是上市公司的并购标的频频转去IPO而不愿被收购。
　　以华图教育为例，刚刚在借壳之路上按下暂停键，5月26日就发布公告称，公司审议通过了《关于首次公开发行人民币普通股(A股)股票并在上海证券交易所上市的议案》等33个议案，宣布重启IPO。
声明：本文为新三板在线转载文章，如有版权问题请联系
6984.03亿股
3724.95亿股
7139.74万股
29458.33万元
日排行/周排行/原创/推荐
2016新三板在线 · 金号角奖
分享到微信朋友圈
如此精彩内容扫一扫分享微信
风险提示：新三板在线呈现的所有信息仅作为投资参考，行情数据为第三方数据供应商提供，用户发言具有其特定立场，以上信息并未经过本网站证实 ，均不构成任何投资依据，投资有风险，入市需谨慎！
Copyright (C) 新三板在线
阳光恒美金融信息技术服务（上海）股份有限公司 版权所有
沪ICP备号-5
风险提示：新三板在线呈现的所有信息仅作为投资参考，数据为第三方数据供应商提供，用户发言具有其特定立场，以上信息并未经过本网站证实 ，均不构成任何投资依据，投资有风险，入市需谨慎！