手戳shellcode编写 第一课(动态函数地址调用函数)

已于 2024-08-21 10:06:47 修改
阅读量97 收藏
点赞数 5
分类专栏: 深入C++编程入门 文章标签: c++ shellcode PEB PE文件 window内存管理 函数地址获取 函数地址调用
于 2024-08-21 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arv002/article/details/141233276
版权

手戳shellcode编写入门第一课(动态函数地址调用函数)

一、介绍

在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
https://arv000.blog.csdn.net/article/details/141233276

二、PE文件讲解

在编写思路之前我们需要大致了解一下PE文件格式,PE文件被映射到内存中。我们如何通过映射关系拿到对应的函数在内存中的地址。然后通过这个地址调用对应的函数。

2.1 PE文件类型

PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)

2.2 PE文件格式

下图是PE文件格式,因为只需要找到函数地址,我们只需要关注PE文件头中的(DOS头部、IMAGE_NT_HEADERS)就可以了。这个部分很重要,需要读者自己去查看相关资料。
每一个exe和dll都是按照下面的内容映射到内存中的,一个exe的运行,你可以理解为多个pe文件映射到内存中,有多个相同的一下结构。
在这里插入图片描述
在这里插入图片描述

2.3 相对虚拟地址直接调用函数

在dll中保存了函数的相对虚拟地址(RVA)的信息。
我们可以通过dumpbin方法拿到相对虚拟地址(RVA)的信息。
kernel32.dll文件存储在C:\Windows\System32中
打开Native Tools Command Prompt for VS 2022控制台程序
如下图:
在这里插入图片描述
执行命令

cd C:\Windows\System32
dumpbin /exports kernel32.dll | findstr LoadLibraryA

0001F520 为函数地址的偏移量。
在这里插入图片描述

获取函数LoadLibraryA的地址偏移量。
RVA = 基地址 + 地址偏移量

#include <iostream>
#include <Windows.h>
int main(){
	HANDLE baseAddress = LoadLibraryA("kernel32.dll");
	std::cout << "baseAddress:" << baseAddress << std::endl;
	std::cout << "LoadLibraryA:" << &LoadLibraryA << std::endl;
	long offset = (long)&LoadLibraryA - (long)baseAddress;
	std::cout << std::hex << "offset:" << offset << std::endl;
	return 0;
}

运行结果可以看到程序中的offset的值和dumpbin查询出来的值是一样的。
在这里插入图片描述

三、开发思路

思路如下:
我们应该先拿到LoadLibarayA的函数地址才能加载其他的DLL动态库(我们需要的动态库不一定在程序加载的时候就已经加载进来,因此需要使用LoadLibarayA加载我们需要的dll,例如例子中的MessageBoxA这个函数所在的动态库位user32.dll),那么LoadLibarayA又在那个动态库中呢?LoadLibarayA在KERNEL32.DLL动态库中,KERNEL32.DLL是程序运行一定加载的一个库。所以我们需要先找到KERNEL32.DLL基地址,然后再找LoadLibarayA的函数地址。
步骤如下:

  1. 先获取PEB(Process Environment Block,进程环境块)的信息。
  2. 通过PEB获取InLoadOrderModuleList(InLoadOrderModuleList列表中包含了所有加载的模块,包括exe文件以及各个需要加载的dll)
  3. 循环InLoadOrderModuleList内容,对比dllName名称找到KERNEL32.DLL基地址。
  4. 通过KERNEL32.DLL基地址拿到KERNEL32.DLL基地址导出表的地址。
  5. 通过名称对比拿到LoadLibarayA的函数地址。
  6. 通过LoadLibarayA地址调用LoadLibarayA函数,获取到user32.dll的模块基地址
  7. 同理通过user32.dll基地址以及名称获取MessageBoxA的函数地址。
  8. 通过函数地址调用MessageBoxA函数。

四、开发源码

4.1 环境说明

操作系统:window10
架构:x64
开发工具:visual studio 2022

4.2 获取本程序的所有加载模块

获取本程序的所有加载模块的名称,以及每个模块的基地址。
CMakeLists.txt文件内容如下:

cmake_minimum_required(VERSION 3.0)

project(printAllDLLModule)
file(GLOB SRC_LIST *.cpp phnt/*.h)
include_directories(phnt)
add_executable(${PROJECT_NAME} ${SRC_LIST})

#include "phnt/phnt_windows.h"
#include "phnt/phnt.h"
#include <iostream>
// 打印所有的dll模块内容。当然其中也包括exe本身。
void printAllDLLModule(){
    auto peb = (PEB*)NtCurrentTeb()->ProcessEnvironmentBlock;
    // 获取Ldr并遍历InLoadOrderModuleList来查找模块
    if (peb && peb->Ldr) {
        PLIST_ENTRY moduleList = &peb->Ldr->InLoadOrderModuleList;
        PLIST_ENTRY entry = moduleList->Flink;

        while (entry != moduleList) {
            // 获取当前模块的LDR_DATA_TABLE_ENTRY结构
            PLDR_DATA_TABLE_ENTRY currentModule = CONTAINING_RECORD(entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

            // 打印模块名称和基址
            std::wcout << "Module Name: " << currentModule->BaseDllName.Buffer << std::endl;
            std::wcout << "Base Address: " << currentModule->DllBase << std::endl;

            // 继续下一个模块
            entry = entry->Flink;
        }
    } else {
        std::cerr << "Failed to retrieve PEB or PEB->Ldr is NULL." << std::endl;
    }
    return;
}

int main(){
    printAllDLLModule();
    return 0;
}

4.2 获取某一个模块的所有函数名称,以及函数地址。

获取某一个模块中的所有函数的函数名称以及虚拟函数地址。
CMakeLists.txt文件内容如下:

cmake_minimum_required(VERSION 3.0)

project(printAllFunctionName)
file(GLOB SRC_LIST *.cpp phnt/*.h)
include_directories(phnt)
add_executable(${PROJECT_NAME} ${SRC_LIST})

#include "phnt/phnt_windows.h"
#include "phnt/phnt.h"
#include <iostream>

void printAllFunctionName(HANDLE hModule){

    if (hModule == NULL) {
        std::cerr << "Failed to load DLL." << std::endl;
        return ;
    }

    // 获取PE头指针
    PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER)hModule;
    PIMAGE_NT_HEADERS pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE*)hModule + pDOSHeader->e_lfanew);

    // 获取导出表的地址
    DWORD exportDirRVA = pNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE*)hModule + exportDirRVA);

    // 获取导出表的信息
    DWORD* pAddressOfFunctions = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfFunctions);
    DWORD* pAddressOfNames = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfNames);
    WORD* pAddressOfNameOrdinals = (WORD*)((BYTE*)hModule + pExportDir->AddressOfNameOrdinals);

    // 遍历所有导出函数
    for (DWORD i = 0; i < pExportDir->NumberOfNames; i++) {
        char* functionName = (char*)((BYTE*)hModule + pAddressOfNames[i]);
        DWORD functionRVA = pAddressOfFunctions[pAddressOfNameOrdinals[i]];
        void* functionAddress = (BYTE*)hModule + functionRVA;

            std::cout << "Function Name: " << functionName << std::endl;
            std::cout << "Function Address: " << functionAddress << std::endl;

    }
    return;
}
int main(){

    HANDLE hKernel32 = LoadLibraryA("kernel32.dll");
    printAllFunctionName(hKernel32);
    CloseHandle(hKernel32);

    return 0;
}

打印exe运行时模块中所有 的函数名称以及地址
https://download.csdn.net/download/arv002/89655996

  • 运行结果如下:
    在这里插入图片描述

4.4 C++完整源码

CMakeLists.txt文件内容如下:

cmake_minimum_required(VERSION 3.0)

project(demo)
file(GLOB SRC_LIST *.cpp phnt/*.h)
include_directories(phnt)
add_executable(${PROJECT_NAME} ${SRC_LIST})

main.cpp文件内容如下:

#include "phnt/phnt_windows.h"
#include "phnt/phnt.h"
#include <iostream>

HANDLE SreachDLL(WCHAR*  dllName){
    auto peb = (PEB*)NtCurrentTeb()->ProcessEnvironmentBlock;
    // 获取Ldr并遍历InLoadOrderModuleList来查找模块
    if (peb && peb->Ldr) {
        PLIST_ENTRY moduleList = &peb->Ldr->InLoadOrderModuleList;
        PLIST_ENTRY entry = moduleList->Flink;

        while (entry != moduleList) {
            // 获取当前模块的LDR_DATA_TABLE_ENTRY结构
            PLDR_DATA_TABLE_ENTRY currentModule = CONTAINING_RECORD(entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

            // 打印模块名称和基址
            std::wcout << "Module Name: " << currentModule->BaseDllName.Buffer << std::endl;
            std::wcout << "Base Address: " << currentModule->DllBase << std::endl;

            if(!wcscmp(currentModule->BaseDllName.Buffer,dllName)){
                return currentModule->DllBase;
            }

            // 继续下一个模块
            entry = entry->Flink;
        }
    } else {
        std::cerr << "Failed to retrieve PEB or PEB->Ldr is NULL." << std::endl;
    }
    return nullptr;
}

void * GetProcNameE(HANDLE hModule,const char *funName){
    // 假设DLL基地址已经获取到,例如通过加载DLL的句柄

    if (hModule == NULL) {
        std::cerr << "Failed to load DLL." << std::endl;
        return nullptr;
    }

    // 获取PE头指针
    PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER)hModule;
    PIMAGE_NT_HEADERS pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE*)hModule + pDOSHeader->e_lfanew);

    // 获取导出表的地址
    DWORD exportDirRVA = pNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE*)hModule + exportDirRVA);

    // 获取导出表的信息
    DWORD* pAddressOfFunctions = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfFunctions);
    DWORD* pAddressOfNames = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfNames);
    WORD* pAddressOfNameOrdinals = (WORD*)((BYTE*)hModule + pExportDir->AddressOfNameOrdinals);

    // 遍历所有导出函数
    for (DWORD i = 0; i < pExportDir->NumberOfNames; i++) {
        char* functionName = (char*)((BYTE*)hModule + pAddressOfNames[i]);
        DWORD functionRVA = pAddressOfFunctions[pAddressOfNameOrdinals[i]];
        void* functionAddress = (BYTE*)hModule + functionRVA;
        if(!strcmp(functionName, funName)){
            std::cout << "Function Name: " << functionName << std::endl;
            std::cout << "Function Address: " << functionAddress << std::endl;
            return functionAddress;
        }
    }
    return nullptr;
}
#define CALL_API(hModule,func) ((decltype(func)*)GetProcNameE(hModule,#func))
int main(){

    HANDLE hModule = SreachDLL(L"KERNEL32.DLL");
    typedef HMODULE(WINAPI *LoadLibraryFunc)(LPCSTR lpLibFileName);
    typedef int(WINAPI *MessageBoxAFunc)(HWND hWnd,LPCSTR lpText, LPCSTR lpCaption,UINT uType);
     // 函数执行方法一;
    // void * pLoadLibraryA = GetProcNameE(hModule,"LoadLibraryA");
    //  HANDLE hUser32 =  ((LoadLibraryFunc)pLoadLibraryA)("user32.dll");
    //  void * pMessageBoxA = GetProcNameE(hUser32,"MessageBoxA");
    // ((MessageBoxAFunc)pMessageBoxA)(NULL,"hello","hello",0);

    // 函数执行方法二:
    // HANDLE hUser32 = ((decltype(LoadLibraryA)*)GetProcNameE(hModule,"LoadLibraryA"))("user32.dll");
    // ((decltype(MessageBoxA)*)GetProcNameE(hUser32,"MessageBoxA"))(NULL,"hello","hello",0);

    // 函数执行方法三:
    HANDLE hUser32 = CALL_API(hModule,LoadLibraryA)("user32.dll");
    CALL_API(hUser32,MessageBoxA)(NULL,"hello","hello",0);
    return 0;
}

4.5 运行结果

在这里插入图片描述

五、源码地址

PPE解析+函数地址调用函数
https://download.csdn.net/download/arv002/89655989

打印exe运行时加载的所有dll模块地址以及模块名称
https://download.csdn.net/download/arv002/89655994

打印exe运行时模块中所有 的函数名称以及地址
https://download.csdn.net/download/arv002/89655996

文章地址:https://arv000.blog.csdn.net/article/details/141233276

三雷科技
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
【实现100个unity实战之1】从零手戳一个背包系统
向宇
04-05 1270
首先我们下载我们的人物和背景资源,因为主要是背包系统,所以人物的移动和场景的搭建这里我们就不多讲了,我这里直接提供基础项目源码给大家去使用就行基础项目下载地址:链接: https://pan.baidu.com/s/1o7_RW_QQ1rrAbDzT69ApRw 提取码: 8s95顺带说一下,这里用到了unity的几个免费资源包,有兴趣的也可以自己去unity资源商店下载使用人物资源:Tiny RPG-Forest背包ui资源:SIMPLE FANTASY GUI。
【Unity小技巧】手戳一个简单易用的游戏UI框架(附源码)
向宇
08-29 1197
开发一款游戏美术成本是极其高昂的,以我们常见的宣传片CG为例,动辄就要成百上千万的价格,因此这种美术物料一般只会放在核心剧情节点,引爆舆论,做高潮展示!而另外一种表意方武:则是通过玩法设计,层层导玩家深入探讨游戏世界,这里则需要策划的精心设计和程序的秃头爆肝,因此对于绝大多数游戏而言,选择UI来进行剧情展示、玩法交互和核心表达才是最物美价廉的选择。
【unity实战】手戳一个类似星露谷物语的建筑系统(附工程源码)
向宇
10-17 641
欢迎来到【unity实战】系列!本篇文章将带你一起探索一个令人兴奋的主题——建筑系统。如果你曾经沉浸在《星露谷物语》这样的游戏中,梦想着自己能够创建属于自己的农场、村庄或城市,那么你来对地方了!在本文中,我们将使用Unity引擎来实现一个类似于《星露谷物语》的建筑系统。通过简单的点击与拖拽操作,你将能够在虚拟世界中建造各种各样的建筑物,如房屋、农作物、商店等。这个建筑系统不仅会给你带来乐趣和创造力的发挥空间,还将涉及到一些基本的碰撞检测、资源管理和可交互性的实现。
【制作100个unity实战之3】从零手戳一个库存背包系统(附项目源码)
向宇
09-20 724
库存背包系统是大多数游戏的关键部分,几乎在每种类型的游戏都可能会用到,今天我将带你从零实现一个能够进行拖放的库存拆分、堆叠和丢弃的背包系统,你可以将它轻松的移植到你的游戏中。老粉丝应该知道我之前有做过一个背包系统,当时做的比较简单,很多功能都没有实现,所以这次算一个重置版,当然你有兴趣可以看看之前实现的背包系统:https://blog.csdn.net/qq_36303853/article/details/129962414先来看看实现的最终效果 物品列表网格添加Grid Layout Gr
人教新课标九年级下册语文第6课《蒲柳人家》同步练习2精选.doc
09-26
- 文中采用的动作描写如“挽了挽袖口”“手戳着他们的鼻子”“折断了一棵茶碗口粗细的河柳”等,以及比喻“像风吹乍篷”“转了三转,拧了三圈儿”,生动呈现了一丈青大娘的武艺高强。 - 结局的修改问题,原句更能...
ogre源码分析与使用指南
07-12
《OGRE源码分析与使用指南》是一份深入解析OGRE图形渲染引擎的教程,旨在帮助初学者理解和应用OGRE引擎。本指南由Mage小组成员撰写,提供了丰富的原创内容,鼓励读者通过邮件或QQ交流反馈。 作者Norman_chen@163....
湖北省通山县杨芳中学九年级语文下册 6 蒲柳人家(节选)同步练习 新人教版
08-19
(3) "一丈青大娘火了起来,挽了挽袖口,手腕子上露出两只叮叮当当的黄铜镯子,一阵风冲下河坡,阻挡在这几个纤夫的面前,手戳着他们的鼻子说" 包含了动作和语言描写。 6. 阅读理解: 这部分提供了关于一位母亲和...
精品资料(2021-2022年收藏)科技北京百名领军人才培养工程.doc
10-10
【科技北京百名领军人才培养工程】是北京市科学技术委员会推出的一项旨在培养高级科技人才的重要举措,主要针对生物医药、医疗卫生、农业、电子信息、装备制造、新能源、新材料、安全、城建交通、节能环保和其他特定...
C++匿名函数lamba简介
yao_tao11的博客
08-18 588
Lambda 表达式是 C++11 引入的一个功能,允许你在代码中定义匿名函数(即没有名字的函数)。这种表达式可以用于简化函数对象的定义,并使得代码更简洁。Lambda 表达式特别适用于局部的、一次性的函数对象,如用于 STL 算法中。捕获方式含义[ ]空捕获列表,Lambda不能使用所在函数中的变量.[names]names是一个逗号分隔的名字列表,这些名字都是Lambda所在函数的局部变量。默认情况下,这些变量会被拷贝,然后按值传递,名字前面如果使用了&,则按引用传递[&]
c++编程(22)——STL(6)set
2301_77239666的博客
08-16 1085
欢迎来到博主的专栏——c++编程博主ID:代码小豪。
洛谷 CF295D Greg and Caves
xiebohang的博客
08-19 91
解题思路:将整个洞分成两半,一半递增,一半递减。我们分别 DP 求值,最后合并。状态转移方程为:dpi,j​=k=2∑j​(j−k+1)dpi−1,k​+1。枚举极大最长行区间来代替最长行。题目本质:动态规划dp,枚举。
C语言典型例题43
2302_77517102的博客
08-18 358
有一个函数:y={x,x
QT C++上位机软件开发,相比较C#上位机软件开发,有哪些特点和区别
曾经的我也很优秀,现在的我一无所有。
08-20 287
在开发上位机软件时,选择使用Qt C++还是C#取决于多种因素,包括项目需求、团队技能、开发速度等因素。
c++ error: ‘this’ was not captured for this lambda function
xiaozhi
08-20 161
c++ error: ‘this’ was not captured for this lambda function
C++ 126类和对象_面像对像_继承
cjh16606260986的博客
08-16 454
126类和对象_面像对像_继承
c语言用if语句制作点单程序
最新发布
2301_81968528的博客
08-20 106
printf("数字1代表喝咖啡,数字2代表喝雪碧:");这里的点单程序是用户输入相应的数字自动出来相应的饮品。puts("您要喝的是咖啡");puts("您要喝雪碧");比如输入1是咖啡,输入2是雪碧。c语言里面,if语句的语法是。
C语言 ——— 修改默认对齐数以及结构传参
weixin_55341642的博客
08-16 389
在上一篇中,有讲解到结构体内存对齐的规则以及默认对齐数C语言 ——— 结构体内存对齐-CSDN博客。
整型二分,浮点二分法 C++
xcc134679的博客
08-16 321
需要注意的是,由于浮点数的精度问题,如果要查找的目标值非常接近区间的边界,可能无法准确地找到目标值,而是得到一个非常接近但不完全相等的浮点数。另外,在实际应用中,可能还需要设置一个终止条件来避免无限循环,例如在已知的精度范围内无法再继续缩小区间。浮点二分法的基本思想是通过将区间不断地二分,来逐步缩小查找范围,直到找到目标值或确定目标值不存在。- 如果M等于目标值,那么找到了目标值,返回M。- 如果M小于目标值,那么将L设为M,继续二分。- 如果M大于目标值,那么将R设为M,继续二分。
C++】vector的介绍和使用
2303_80828380的博客
08-17 305
vector的认识与使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三雷科技

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值