PE文件代码段特征码扫描 以及进程代码段扫描

最新推荐文章于 2023-07-16 19:36:02 发布
最新推荐文章于 2023-07-16 19:36:02 发布
阅读量3.2k 收藏 6
点赞数 4
分类专栏: PE文件详解 WIN32 文章标签: PE PE格式 PE特征码扫描 PE文件扫描 PE进程扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobai_2511/article/details/62440319
版权

好久没写博客了  今天好累  休息一下 想起来写个博客  (未加壳文件)

最近在做PE文件的特征码扫描   刚开始的时候一头雾水  因为对PE文件的格式不是很了解   之前虽然看过一些PE文件的帖子 但是都是看不下去  现在针对这几天的努力 贴上我对PE文件特征码扫描的一些见解  方法和代码    本文不考虑后面的节点以及节点格式和内容


1、PE文件特征码扫描

  a). 读文件  判断是否是PE格式的文件

读文件,文件的开始是DOS头  IMAGE_DOS_HEADER   这个结构体很长  想详细了解就去百度 (http://blog.csdn.net/pxm2525/article/details/39895487#) 有用的就两个字段。该结构体中,有两个字段需要注意,分别是第一个字段 e_magic,和最后一个字段 e_lfanew字段。第一个字段e_magic就是Dos 头,两个字节 0x5a4d, 第二个字段e_lfanew是跳转到 IMAGE_NT_HEADERS 结构体的偏移地址。IMAGE_NT_HEADERS 包括三部分,(1)PE头,四个字节0x00004550  ; (2)Image_File_Header(0x14h大小);(3)Image_Optinoal_Header(0xe0h)

判断是否是标准的PE文件就是判断DOS头中的e_magic 是否为0x5a4d 以及 e_magic偏移的字节在读取四个字节是否为0x00004550  还有一些是否为.exe或者是否为.dll的一些判断 这个判断在IMAGE_FILE_HEADER 中的Characteristics字节 如果是 IMAGE_FILE_EXECUTABLE_IMAGE 0x0002  如果是IMAGE_FILE_DLL (0x2000)就是.dll  

 b). 获取到代码段的偏移以及大小  定位到文件的代码段

获取代码段的偏移地址和大小是在Image_Optinoal_Header中的baseofcode 字段,大小在baseofcode字段。

下面是我写的一些片段代码

// lpdata 是文件的内容buffer
lpmImageDosHeader = (IMAGE_DOS_HEADER*)lpData;
lpmImageNtHeaders = (IMAGE_NT_HEADERS*)((SIZE_T)lpData + lpmImageDosHeader->e_lfanew);
dwBaseOfCode = lpmImageNtHeaders->OptionalHeader.BaseOfCode;
dwSizeOfCode = lpmImageNtHeaders->OptionalHeader.SizeOfCode;
//  获取到代码段的大小以后,偏移到代码段
BYTE* bByte = NULL;
// 跳转到代码段
bByte = (BYTE*)((SIZE_T)lpData + dwBaseOfCode);


c). 扫描代码段

扫描代码段的时候,需要在外部给出一些要扫描的特征码 我自己写个按照字节一个个比较的,然后这个方法经理看了以后觉得比较low 然后就建议我用这个方法:

首先读取前四个特征码的的值 (int ulog)都行 然后跟代码段的比较 一次比较四个字节 但是每次比较完之后偏移一个字节 如果前四个字节相等的话 下面我做了特征码的哈希值,如果哈希值也相等的话,就说明在代码段匹配到特征码

说是这个方法简单一些 ,下面是获取哈希值的一些代码 (水平有限,高手略过)

// 获取一段字节的hash值
BOOL GetHashValue(BYTE* lpByte, ULONG uSize, WCHAR* wszHashValue)
{
if ((lpByte == NULL) || (uSize == 0))
{
return FALSE;
}
HCRYPTPROV hProv = NULL;
if (CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT) == FALSE) // 获得CSP中一个密钥容器的句柄
{
return FALSE;
}
HCRYPTPROV hHash = NULL;
// 初始化对数据流的hash,创建并返回一个与CSP的hash对象相关的句柄。这个句柄接下来将被CryptHashData调用。
if (CryptCreateHash(hProv, CALG_SHA1, 0, 0, &hHash) == FALSE)
{
CryptReleaseContext(hProv, 0);
return FALSE;
}
if (CryptHashData(hHash, lpByte, uSize, 0) == FALSE) // hash文件
{
CryptReleaseContext(hProv, 0);
CryptDestroyHash(hHash);
return FALSE;
}
DWORD dwHashLen = sizeof(DWORD);
if (!CryptGetHashParam(hHash, HP_HASHVAL, NULL, &dwHashLen, 0)) //参照msdn
{
CryptReleaseContext(hProv, 0);
CryptDestroyHash(hHash);
return FALSE;
}
BYTE *pbHash = NULL;
pbHash = (byte*)malloc(dwHashLen);
if (CryptGetHashParam(hHash, HP_HASHVAL, pbHash, &dwHashLen, 0))//获得SHA1值
{
DWORD i = 0;
for (i = 0; i < dwHashLen; i++) // 输出SHA1值 
{
swprintf_s(wszHashValue + 2 * i, 4, L"%02x", pbHash[i]);
}
wszHashValue[2 * i] = '\0';
}
free(pbHash);
CryptDestroyHash(hHash);
CryptReleaseContext(hProv, 0);
return TRUE;
}

一些字节比较的代码我就不贴了  简单的一逼


二、 进程的PE特征码扫描

进程这个特征码扫描跟文件的差不多,只不过是其他进程的一些地址的获取或者偏移等。在这里今天犯了一个特别蠢的问题,在自己的进程获取到要扫描的进程的加载地址的时候, 我在VS上用alt+6 调出来内存窗口  添加地址 回车  发现全是 cc cc cc cc....  我就无语了 难道我取错了吗  还是怎么搞得 。最后同事说进程在不同的空间  我才恍然大悟  真是醉了....  

a) . 遍历所有进程 拿到pid   注意提权

CreateToolhelp32Snapshot       Process32First   

 

while (Process32Next(hProcessSnap, &ProcessInfoFirst))
{
if (FALSE == ScanSignalProcess(ProcessInfoFirst.th32ProcessID, stThreadParasPro.lpScanBytes, stThreadParasPro.uScanSize))
{
CloseHandle(hProcessSnap);
return FALSE;
}
}

b).  根据Pid,获取进程的加载的首地址

CreateToolhelp32Snapshot     代码正在调试  做个参考吧

PVOID GetModulBaseAddr(DWORD dwProcessID, PVOID pvModuleRemote)
{
if (pvModuleRemote == NULL)
{
return NULL;
}
PVOID pvBaseAddr = NULL;
IMAGE_DOS_HEADER dosHdr;
IMAGE_NT_HEADERS ntHdr;
Toolhelp32ReadProcessMemory(dwProcessID, pvModuleRemote, &dosHdr, sizeof(dosHdr), NULL);
if (dosHdr.e_magic == IMAGE_DOS_SIGNATURE)
{
Toolhelp32ReadProcessMemory(dwProcessID, (PBYTE)pvModuleRemote + dosHdr.e_lfanew, &ntHdr, sizeof(ntHdr), NULL);
if (ntHdr.Signature == IMAGE_NT_SIGNATURE)
{
pvBaseAddr = (PVOID)ntHdr.OptionalHeader.ImageBase;
}
}

return pvBaseAddr;
}


BOOL GetSignalProcessStarAddr(IN ULONG Pid, IN OUT DWORD& dwStarAddr)
{
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, Pid); 
if (hSnapshot == INVALID_HANDLE_VALUE)
{
CloseHandle(hSnapshot);
return -1;
}

MODULEENTRY32 me;
ZeroMemory(&me, sizeof(MODULEENTRY32));
me.dwSize = sizeof(MODULEENTRY32);
if (!Module32First(hSnapshot,&me))
{
return FALSE;
}
// 获取基址
PVOID pAddr = GetModulBaseAddr(Pid, me.modBaseAddr);
if (pAddr == NULL)
{
return FALSE;
}
if (pAddr == me.modBaseAddr)
{
printf("%08x ", (DWORD)pAddr);
dwStarAddr = (DWORD)pAddr;
}
else
{
printf("%08x ", (DWORD)me.modBaseAddr);
dwStarAddr = (DWORD)me.modBaseAddr;
}


CloseHandle(hSnapshot);
return TRUE;
}
PVOID GetModulBaseAddr(DWORD dwProcessID, PVOID pvModuleRemote)
{
if (pvModuleRemote == NULL)
{
return NULL;
}
PVOID pvBaseAddr = NULL;
IMAGE_DOS_HEADER dosHdr;
IMAGE_NT_HEADERS ntHdr;
Toolhelp32ReadProcessMemory(dwProcessID, pvModuleRemote, &dosHdr, sizeof(dosHdr), NULL);
if (dosHdr.e_magic == IMAGE_DOS_SIGNATURE)
{
Toolhelp32ReadProcessMemory(dwProcessID, (PBYTE)pvModuleRemote + dosHdr.e_lfanew, &ntHdr, sizeof(ntHdr), NULL);
if (ntHdr.Signature == IMAGE_NT_SIGNATURE)
{
pvBaseAddr = (PVOID)ntHdr.OptionalHeader.ImageBase;
}
}

return pvBaseAddr;
}



c).  readprocessmemory或者Toolhelp32ReadProcessMemory 读取指定进程的PE结构信息  (IMAGE_DOS_HEADER  IMAGE_NT_HEADERS 等 )

d).  获取到指定进程的代码段数据到本地

这个就不说了  直接读取指定进程内容到本地

e).  和文件扫描一样进行特征码的匹配扫描

这个就更不说了

附件:PE格式表




















MrBai_2511
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C++ 进程内存搜索,特征极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征极速定位,方便找Call 找地址!!
第115天:免杀对抗-特征定位&添加花指令&加冷门壳&加反VT保护&资源修改
最新发布
qq_46081990的博客
07-22 437
之前针对的是没有打包成exe的代码做文章,现在是对打包好了的exe做文章今天针对打包好的exe免杀,介绍了以下几种技术: 1 、通用跳转法:主要思想:通过跳转至其他代码区域执行代码,而不是按照原始代码的顺序线性执行,难以被静态查杀。利用工具(VirTest)检测特征的位置,然后将特征区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。2 、花指令改入口:花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查杀难度,但单纯的花指令效果一般。
x64dbg 基本使用技巧
热门推荐
沐一 · 林 的博客
06-22 1万+
最近使用 DBG 多了起来,所以查了一些资料来学习并整理成自适应的笔记。本文摘抄自:x64dbg 使用技巧与实用插件合集官方网站: https://x64dbg.com/DBG 解压后根目录如下图,双击 x96dbg,出现三个弹窗,会生成 x96dbg.ini 文件,里面记录着 32 位和 64位 dbg 程序的路径。 当你需要把整个程序文件夹移动到其他路径时,最好把这个 ini 删除,重新双击让它再生成。当你需要把它加到发送到菜单中的时候,也推荐添加 x96dbg,它会自动选择用 x32 还是 x64db
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1032
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器调试器暂...
4.6 x64dbg 内存扫描与查壳实现
2301_78834737的博客
07-16 164
LyScript 插件中默认提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚不同函数之间的差异,本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用,并实现一种内存查壳脚本,可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。如上代码中的内存扫描方法如果能被读者理解,那么查壳这个功能就变得很简单了,市面上的查壳软件PEID等基本都是采用特征定位的方式,所以我们想要实现查壳以及检测编译器特征可以采用特征扫描法,只需要将上述代码更改一下,即可实现查壳功能。
C/C++ 实现简易特征扫描
CSDN
05-26 5164
特征扫描通常是指在二进制文件或内存中搜索特定的字节序列或代码模式,以便识别、分析或修改特定的C++结构、函数或对象。这种技术通常用于逆向工程、漏洞分析、安全研究等领域。通过扫描可以帮助识别特定的C++函数或类,以便进行调试、修复漏洞或修改程序的行为。这些特征可以是函数的入口点、函数的调用序列、特定的数据结构、类的成员变量等。
文件头、文件尾、特征、常见文件特征
m0_59856804的博客
11-15 1458
文件头、文件尾、特征、常见文件特征
C 获取计算机的特征,C++ 实现PE文件特征识别的步骤
weixin_35613582的博客
08-02 641
打开PE文件映射:在读取PE结构之前,首先要做的就是打开PE文件到内存,这里打开文件我们使用了CreateFile()函数该函数可以打开文件并返回文件句柄,接着使用CreateFileMapping()函数创建文件的内存映像,最后使用MapViewOfFile()读取映射中的内存并返回一个句柄,后面的程序就可以通过该句柄操作打开后的文件了.#include #include #include #p...
图片特征
huabiaochen的博客
06-15 2992
 今天发现获取图片的宽高,并不需要把图片完全读完之后再来获取,而只需要读取文件文件,几十个字节便可以读出文件的宽高。   图片的文件头部存储有该图片相关信息,可以从中读取相应字,得到尺寸、大小、格式等信息。由于无需载入整张图片,故而速度较快。当图片较大时,优势更加明显。 bmp(771*434):      可以看出width低位:0x12,高位:0x13。height低位:0x16,...
网络安全学习第4篇-使用特征和MD5对勒索病毒进行专杀,并对加密文件进行解密
一清道长的个人博客
04-03 2539
请使用IDA或其它分析工具分析本次的样本文件,写一个简要的行为分析报告,并编写一个针对于这次样本的专杀(恢复)程序。 要求: 1、样本分析只要说明主要行为即可。提示:sub_401320主要用于文件加密操作;sub_401470主要用于查找docx文件;sub_4017D0主要用于创建自删除脚本文件;sub_4019B0主要用于创建readme说明文件。 2、专杀工具需要能够识别本次的样本文...
内存读写支持库开源 x64进程特征搜索及完善的内存读写-易语言
06-13
应该是不再更新了 老说着火绒报毒啥的 直接开源自己看着用就好 哪个驱动报毒自己把它删掉就好 写支持库的初衷是整合了下资源便于自己可以方便点 在不同系统下都可以对游戏进行内存读写
LordPE 1.4汉化特别版 在做无特征定时能到哟!
01-16
LordPE 1.4汉化特别版 在做无特征定时能到哟!
snapcode:代码管理器
04-09
快照 代码管理器 ...管理您的代码 备份片到云 共享片 项目设置 yarn install 编译和热重装以进行开发 yarn serve 编译并最小化生产 yarn build 整理和修复文件 yarn lint 自定义配置 请参阅。
特征 过检测修改程序的实现
09-16
特征 过检测修改程序的实现,具体实现方法,非程序源代码
Matlab代码verilog-code-reminder:帮助您摆脱代码和提醒
05-27
Matlab代码verilog 代码提醒 适用于像我这样无法摆脱其代码的人的Tiny Chrome Extension项目。 下载crx: 特征 创建代码语言节点,代码节点和代码 Chrome帐户同步了所有内容 在编辑器或编辑节点中保存在Ctrl...
2011特征定位器
05-04
起使位置最好写代码code,或者txt然后程序会把代 分成10块,然后从第1块开始恢复,并生成文件。生成完毕 后,用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀 毒软件是按顺序杀毒的话,可以在杀掉第一个...
MyCCL复合特征定位器!1.1 Build 58
07-24
起使位置最好写代码code,或者txt然后程序会把代 分成10块,然后从第1块开始恢复,并生成文件。生成完毕 后,用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀 毒软件是按顺序杀毒的话,可以在杀掉第一个...
键盘硬件原理
xiaobai_2511的博客
03-20 2140
键盘和CPU的交互方式是中断和读取端口,这个操作是串行的.CPU只接收通知并读取端口的扫描,这个通知只能知通知一个事件:某个键被按下或弹起. 为此一个键实际需要两个扫描:一个表示按下,一个表示弹起.如果按下的扫描为X,则弹起的扫描为X+0x80.  键盘端口在xp下端口和中断号都是定死的,即中断号为0x93,商品号为0x60.每次0x93中断发生,CPU都去读取0x60中的扫描
模拟特征扫描c语言
05-26
模拟特征扫描可以用于检测程序中是否存在指定的代码。在C语言中,可以使用字符串匹配算法来实现模拟特征扫描。 具体步骤如下: 1. 定义需要匹配的特征,可以是一字符串或者一个正则表达式。 2. 读取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值