动态加载并执行Win32可执行程序(上)

最新推荐文章于 2020-05-17 12:52:47 发布
最新推荐文章于 2020-05-17 12:52:47 发布
阅读量1k 收藏 1
点赞数
分类专栏: security

本文所贴出的PoC代码将告诉你如何通过CreateProcess创建一个傀儡进程(称之为可执行程序A),并把dwCreationFlags设置为CREATE_SUSPENDED,然后把另一个可执行程序(称之为可执行程序B)的内容加载到所创建的进程空间中,最终借用傀儡进程(A)的外壳来执行可执行程序B的内容。同时这段代码也会告诉你如何手工对Win32可执行程序进行重定位处理,以及如何从进程空间中取消已经映射的EXE映像。

在Windows操作系统下,通过给CreateProcess传递一个CREATE_SUSPENDED参数可以使得被创建的进程处于挂起状态,此时EXE的映像会被加载到进程空间中,但是并不会立即被执行,除非调用ResumeThread。在调用ResumeThread之前,可以通过调用ReadProcessMemory和WriteProcessMemory这样的API来读写进程空间的内容,这使得这样一种情形成为可能:通过读取另一个可执行文件的内容来覆盖刚创建的处于挂起状态的进程的空间,然后通过原始进程的空间来执行第二个可执行程序的内容。可以通过如下的步骤来完成这个过程:

通过给CreateProcess传递CREATE_SUSPENDED参数来创建一个处于挂起状态的进程(该进程为可执行程序A的一次执行)

通过调用GetThreadContext来获取被挂起进程的CONTEXT。其中ebx寄存器指向进程的PEB,eax寄存器的值为进程的入口点地址。

通过PEB来获取进程的基地址,如[EBX + 8]

把第二个可执行程序(B)加载到内存中并进行对齐处理,如果文件对齐尺寸和内存对齐尺寸不一致的话,这个操作是必须的。

如果可执行程序B和进程A有相同基地址并且B的内存镜像尺寸小于进程A的内存镜像尺寸,那么只需要简单的调用WriteProcessMemory来把可执行程序B的镜像写到进程A的内存空间之中,并从基地址开始执行即可。

否则的话,需要通过调用ZwUnmapViewOfSection(由ntdll.dll导出)来取消可执行程序A的映像映射,然后通过VirtualAllocEx在进程A中为可执行程序B分配足够的空间。调用VirtualAllocEx的时候,必须提供可执行程序B的基址以确保所分配的空间是从指定的位置开始的。然后把可执行程序B的镜像复制到进程A的内存空间并从分配的空间的起始地址开始执行。

如果ZwUnmapViewOfSection操作失败,而可执行程序B时可重定位的(存在重定位表),那么可以再进程A的内存空间的任意位置为B分配足够的空间,然后基于所分配的空间进行为B进行重定位处理,然后把可执行程序B的镜像复制到进程A的内存空间并从分配的空间的起始地址开始执行。

把进程A的PEB中的基地址改为可执行程序B的基地址。

把线程上下文中的EAX寄存器的值设置为可执行程序B的入口点。

通过调用SetThreadContext来设置线程的上下文。

通过调用ResumeThread来执行被挂起的进程。

PoC展示的技术点:

手工对可执行程序进行重定位处理(如果存在有重定位表的话)。

使用ZwUnmapViewOfSection取消原始EXE的内存映像的映射。

使用ReadProcessMemory和WriteProcessMemory来读写别的进程的内存空间。

通过修改进程的PEB来修改其基地址的值。

使用方法:傀儡进程默认为calc.exe(计算器),命令行下输入 loadEXE.exe

int main(int argc, char* argv[])
{
    if(argc != 2)
    {
        printf("\nUsage: %s <EXE filename>\n", argv[0]);
        return 1;
    }
  
    FILE *fp = fopen(argv[1], "rb");
    if(fp)
    {
        MZHeader mzH;
        PE_Header peH;
        PE_ExtHeader peXH;
        SectionHeader *secHdr;
  
        if(readPEInfo(fp, &mzH, &peH, &peXH, &secHdr))
        {
            int imageSize = calcTotalImageSize(&mzH, &peH, &peXH, secHdr);
            //printf("Image Size = %X\n", imageSize);
  
            LPVOID ptrLoc = VirtualAlloc(NULL, imageSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
            if(ptrLoc)
            {
                //printf("Memory allocated at %X\n", ptrLoc);
                loadPE(fp, &mzH, &peH, &peXH, secHdr, ptrLoc);                                             
  
                doFork(&mzH, &peH, &peXH, secHdr, ptrLoc, imageSize);                              
            }
            else
                printf("Allocation failed\n");
        }
  
        fclose(fp);
    }
    else
        printf("\nCannot open the EXE file!\n");
  
    return 0;
}
萧柚
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win32汇编——过程控制(环境变量、命令行参数、可执行文件执行
kisbuddy
08-21 1964
1.环境变量 按用途可分为:与系统运行相关、反应系统状态以及应用程序自定义三种环境变量 操作函数: 获取一个环境变量的值:GetEnvironmentVariable 设置新变量或删除已有变量 :SetEnvironmentVariable (仅改变本进程的环境变量)
windows是如何加载程序
smile的专栏
02-27 1200
Windows系统下的可执行文件(exe文件)就是已经编译好的、二进制程序文件,而快捷方式才是一个“地址”。双击执行的时候,就像是去饭店吃饭,首 先要进入饭店(打开文件夹),然后服务员会奉上菜单(看到里边有什么文件),然后你点了一道菜(双击可执行文件),服务员去后厨下单(操作系统通过文件系 统驱动找到文件的存储位置并开始加载),后厨会切菜、配菜(分解文件,并按数据代码等不同部分加载到内存),
Windows编程 - 启动可执行(exe)程序 代码(C++)
Mystra
06-08 7988
启动可执行(exe)程序 代码(C++)本文地址:http://blog.csdn.net/caroline_wendy通过输入程序位置启动可执行(exe)程序, 使用windows的CreateProcess()函数, 即可.示例是调用预先生产的可执行(exe)程序.代码:/* * main.cpp * * Created on: 2014.06.08 * Author:
一个exe可执行程序的生与死
jiht594的专栏
11-07 1万+
全文转载 图片丢失 写在前面: 最近在研究一个VC界面库DuiLib,在细读它的源码时遇到些问题,比如 它的界面是如何绘制上去的,底层操作是如何实现的,就是CreateWindow和 ShowWindow又是如何实现的, 也不得而知, 因此我想有必要重新认识下Win32 应用程序的启动/运行原理才好。 如题所述, 本文讲的的Windows环境下exe可执行文件的运行原理, 这里
win32初篇-win32执行文件的开发过程
weixin_43575859的博客
04-03 1097
win32生成可执行文件的步骤 win32汇编要比之前的8086汇编要复杂许多,光是生成可执行文件就多了好多步骤。之前的8086汇编生成可执行文件只需要将写好的汇编程序(.asm)编译,生成目标文件(.obj),然后连接就生成可执行文件(.exe)了。而win32汇编就不一样了,下面来介绍一下具体步骤。 要生成一个win32执行文件,首先也和8086汇编一样,我们先要在文本编辑器中打出汇编程...
VC程序Win32环境下动态链接库(DLL)编程原理
09-04
在Windows操作系统中,动态链接库(DLL)是一种特殊类型的可执行文件,它允许多个应用程序共享同一块代码数据,从而节省内存和磁盘空间。在VC++环境下,开发者可以利用DLL来实现模块化编程,提高代码重用性,并...
深入剖析Win32可移植可执行文件格式
05-10
深入剖析Win32可移植可执行文件(PE)格式,是一项对系统级编程者至关重要的技能。PE格式是Windows操作系统中用于存储代码数据的文件结构,它包含了运行时环境所需的所有信息,如程序入口点、资源、导入和导出函数...
win32:使用Dart构建Win32应用程序
02-06
4. 加载Win32动态库 使用dart:ffi:dynamic_library加载kernel32.dll或用户需要的其他Win32库。例如: ```dart final DynamicLibrary user32 = DynamicLibrary.open('user32.dll'); ``` 5. 定义和调用API函数 ...
win32画图程序 可保存bmp 截图
05-21
在本文中,我们将深入探讨如何使用Win32 API在C++环境下实现一个简易的画图程序,该程序具有截图、工具栏、调色板、橡皮擦功能,并能保存图片为BMP格式。首先,我们需要了解Win32 API的基础知识。 Win32 API是微软...
Win32 C应用程序中的Windows Ribbon框架
04-08
10. **样例代码与文档**:提供的`Win32Ribbon_Source.zip`和`Win32Ribbon_Binary.zip`可能包含了示例源码和编译好的可执行文件,供开发者参考学习。通过研究这些代码,可以更好地理解和应用Windows Ribbon框架到自己...
win32_reverse_shell:用c ++编写的反向shell,支持DNS名称解析,因此您可以将其与NGROK或任何您使用的东西一起使用
02-12
win32_reverse_shell 用C ++编写的反向Shell支持DNS名称解析,因此您可以将其与NGROK或任何您使用的东西一起使用 显然,includes.h是我通常用于每个项目的常规包含文件。 如果您需要减轻二进制文件的大小,请随意删除以下标头: #include <iostream> #include <time> #include <queue> #include <assert> #include <fstream> #include <algorithm> #include <sstream> using std::string; using std::queue; using std::vector; using std::ostringstream; 当前,这可能会被任何优秀的防病毒软件捕获,但是将来我计划将其实施到win32 shellcode中,然
C++程序中调用exe可执行文件
科研的起点
12-27 4969
[本文整理自:http://blog.csdn.net/moyumoyu/article/details/6767621] 当项目比较大的时候,通常会分开来开发,如果分开的部分只是一些函数或类,整合的时候 就可以使用静态库或动态库。但如果分开的是一个exe文件,整合的时候,就要通过调用exe文件来使用。尤其是当第三方软件是一个用c语言编写的exe文件时,更是需要如此。         最近在我
C# Windows服务启动错误1083配置成在该可执行程序中运行的这个服务不能执行该服务
热门推荐
q7989682的博客
05-21 4万+
今天参考微软的软件windows服务的教程 :https://docs.microsoft.com/zh-cn/dotnet/framework/windows-services/walkthrough-creating-a-windows-service-application-in-the-component-designer#create-a-service 然后根据安装服务: http...
.net服务 错误1083:配置成在该可执行程序中运行的这个服务不能执行该服务
05-29 3229
一个服务安装程序或者项目的输出中有多个服务,安装到本地后只有一个服务能启动。 遇到这个问题大多是由于在启动文件中只设置了其中一个服务造成的。 解决方法:修改启动文件Program.cs就可以了。 ServiceBase[] ServicesToRun; ServicesToRun = new ServiceBase[] { new Service1(), ...
动态加载EXE文件到内存执行
zzz3265的专栏
10-14 4777
//*******************************************************************************************************// loadEXE.cpp : Defines the entry point for the console application.//// Proof-Of-Concept Co
Windows98/NT服务
铜板的专栏
03-27 1842
  每个操作系统都需要有在后台执行任务的方法,无论是谁正在使用这部机器,这些任务都可以继续运行,后台任务可以处理各种重要的服务,包括系统的或者用户的。例如,一个信使服务可以监控网络,并且在接收到另一台机子的信息时,可以显示一个对话框。一个发送和接收传真的应用需要在启动的时候运行,并且不断地监控负责传真的modem,看有没有传真进来。一个家庭的或者办公室的安全程序,用来控制一件检测设备时,它需要不时
VS2017生成可执行程序执行提示“不是有效的win32应用程序
Coding13的博客
09-06 3万+
“不是有效的win32应用程序”解决 在windows项目中经常会遇到需要支持XP系统的情况,最近遇到使用VS2017生成MFC程序,在Windows10、windows7的32位系统及64位系统上测试都能正常启动并运行中正常,但是在XP系统下测试运行时一直在报“不是有效的win32应用程序”的错误。 方法一、设置平台工具集 项目右键属性-&gt;配置属性-&gt;常规-&gt;平台工具集(...
成功解决win32的运行问题
zcydhr的博客
05-17 3096
最近,我在使用win32将word批量转换成pdf时,遇到了以下问题: AttributeError: word.Application.Quit 其实导致这个问题有一个最重要的因素就是word = Dispatch()里面的参数错误,假如想要调用word文档的话,那么括号中的参数需要为kwps.Application,即word = Dispatch(‘kwps.Application’),此时,再次执行的话,就不会出现报错提示。 pywintypes.com_error: (-2147352567, ‘
Win32汇编语言程序设计
09-08
Win32汇编语言程序设计是一种在Windows操作系统下进行编程的技术,通过详细剖析win32汇编程序设计可知,其结构包括汇编程序的指令集、内存模式和参数传递规则的设置,以及包含已初始化数据、未初始化数据、常数声明...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值