Dalam [[keselamatan komputer|keselamatan komputer (''computer security'')]], '''kod kerangka (''shellcode'')''' merupakan [[kod mesin]] [[pengisi program|boleh alih]] yang digunakan sebagai bebanan dalam mempergunakan pepijat perisian. Ia dikenali sebagai "kod kerangka" kerana ia biasanya melaksanakan kerangka perintah (''command shell'') dariyang manamembolehkan penyerang mengawal mesin yang terdedah. Disebabkan fungsi bebanan tidak terhad kepada sekadar menyalin dalam kerangka, sesetengah pihak berpendapat bahawa nama kod kerangka tidak tepat.<ref>''Sockets, Shellcode, Porting, & Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals.'' by James C. Foster and Stuart McClure (April 12, 2005). ISBN 1-59749-005-9</ref> Bagaimanapun, usaha menggantikan istilah ini tidak diterima ramai.
Kod kerangka boleh disimpan dalam proses ruang ingatan dan kemudiannya dilaksanakan sebagai hasilmenyebabkan penyerang mendapat kawalan [[penghintung perisian|penghintung perisian (''program counter'')]] dengan menggunakan kelemahan seperti [[peruntukan ingatan berasaskan tindanan|peruntukan ingatan berasaskan tindanan (''stack-based memory allocation'')]] dan [[Peruntukan ingatan dinamik|Peruntukan ingatan dinamik (''Dynamic memory allocation'')]] -berasaskan [[limpahan penimbal]], atau [[serangan format rantaian|serangan format rantaian (''format string attacks'')]]. Terdapat beberapa kaedah mengawal [[penghintung perisian]] yang berbeza antara sistem pengendalian dan seni bina pemproses termasuk menindantulis tindan (''overwriting'') [[alamat kembali]] yang tersimpan dalam kerangka tindan (''stack frame'') dan menindan [[pengendalian pengecualian|pengendalian pengecualian (''exception handlers'')]].
