- 博客(149)
- 收藏
- 关注
RSS订阅原创 《Windows PE》18.3 壳破解
看完了上一节,读者应该会有些感慨,破解是如此的简单。如果你是收费商业软件的一方,肯定会觉得应该需要做点什么。在本章的第一节,我们介绍了很多种不同的验证方式,可以根据具体情况,选择一种合适的验证方法。但是,不论采用什么样的验证方式,验证本身也是需要防护的。我们可以使用加密壳对验证代码进行加密保护。因此,加密壳又被称之为保护的保护。本节我们将介绍register.exe使用UPX壳加密,然后再破解的方法。脱壳后破解带壳破解。
2024-10-31 07:49:29
812
原创 《Windows PE》17.3 FSG壳
回顾第十六章PE病毒的16.2.2病毒分析案例一中,我们分析的病毒样本Lab01-03.exe使用了FSG壳。本节我们就来详细分析FSG壳。静态分析手工脱壳。
2024-10-30 08:23:45
677
原创 《Windows PE》16.4.2 病毒查杀
当单步执行到从入口地址开始的0x61地址处(第一条PUSH指令的下一条指令地址01013061H)时,从context上下文中取出栈顶stCT.Esp的值(000DFF80H),然后调用ReadProcessMemory函数读取该地址处存储的原程序入口地址。接下来我们还是以Win32.Capric.exe的“X病毒”为例,首先使用手工的方法清理病毒,然后再写一个针对该病毒的专杀工具。由上一小节对病毒源代码的分析我们得知,如果需要彻底修复被感染的目标文件,我们需要将被病毒修改的部分逐一进行修复。
2024-10-29 07:49:30
722
原创 《Windows PE》15.1 资源捆绑
在下载应用程序时,我们会发现一些特殊的EXE应用程序。当我们运行EXE程序时会同时下载或生成若干个其他应用程序,并自动运行。这个过程通常会以一种静默的方式悄悄地进行。我们将这一技术称之为EXE捆绑。之所以这样做,好的方面是简化程序下载安装的过程。坏的方面是一些流氓软件可以借此牟利,侵犯用户的选择权。本章介绍两种常用的EXE捆绑的实现方法。本章学习知识概要:资源捆绑补丁捆绑。
2024-10-28 08:44:14
673
原创 《Windows PE》14.1最后一节插入补丁程序
如果我们希望添加不同功能的补丁,只需要替换补丁DLL就可以了。00010430 03 F3 8B 76 78 03 F3 8B 7E 20 03 FB 8B 4E 14 56 .髬vx.髬~ .麐N.V。00010420 00 00 00 8B 40 0C 8B 70 1C AD 8B 58 08 8B 73 3C ...婡.媝.瓔X.媠
2024-10-27 11:29:38
781
原创 《Windows PE》11.2.1 PE变形技术
恶意软件使用PE变形技术来修改PE文件的结构和代码,以产生不同的变种,从而使每个实例看起来不同,难以被传统的基于特征的病毒检测技术所识别。■●代码混淆:恶意软件使用各种技术,如指令替换、指令重排、无用代码插入等,来修改PE文件的代码,使其难以分析和识别。这样可以改变程序的控制流,增加分析的复杂性。【注】我们将在PE加密壳一章详细讲解代码混淆。●API重命名:恶意软件可能会修改PE文件中调用的系统API函数的名称,使其与正常的API名称不同。
2024-10-24 07:44:08
792
原创 《Windows PE》9.2 动态加载技术-获取kernel32.dll基址
上一节中我们介绍了如何动态调用DLL的方法。首先调用LoadLibrary函数动态加载DLL,然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法,实现对DLL动态链接库中函数的调用。简单来说,需要经过以下三步:步骤1获取kernel32.dll的基地址。
2024-10-23 07:32:35
997
原创 《Windows PE》7.3 遍历资源表
文件偏移:00003AB8 (代码页=0804, 长度2字节)文件偏移:00003AC0 (代码页=0804, 长度2字节)2.示例程序对于非资源内容(例如应用程序清单)归类于自定义资源类型。文件偏移:00007DD0 (代码页=0409, 长度381字节)●模块五:RvaToFileOffset.c(略)●模块七:GetResourceInfo.c。●模块六:Getpeinfo.c(略)●模块四:pemain.c(略)●模块1:resource.h。●模块2:peinfo.rc。●模块三:info.h。
2024-10-21 07:56:02
264
原创 《Windows PE》7.2 资源表
在资源表中,IMAGE_RESOURCE_DIRECTORY_ENTRY 的 OffsetToData 字段指向一个 IMAGE_RESOURCE_DATA_ENTRY 结构,该结构描述了资源数据的位置和相关属性。PE 对话框资源的起始位置 01 00 FF FF 00 00 00 00 00 00 00 00 是对话框资源的标识符,用于识别和定位对话框资源在 PE 文件中的位置。资源的每一级目录都会有一个资源目录头,它标识 了该类资源的属性、创建日期和版本等信息,其中也包含了随后的目录项的数量描述信息。
2024-10-20 08:52:26
785
原创 《Windows PE》7.1 资源分类
自定义资源是指在程序中使用的非标准资源,这些资源可以是任何类型的数据或文件,用于存储和使用程序所需的特定信息或内容。在资源脚本文件(.rc 文件)中,可以使用自定义的资源类型来定义和描述这些资源。其在资源 文件中的定义语法如下:资源 ID 类型 ID [DISCARDABLE]BEGIN数据定义……END以下是一个示例:上述代码中,IDR_CUSTOM1 是自定义资源的唯一标识符(ID),CUSTOM 是自定义资源类型指示符,custom.dat 是自定义资源文件的名称。
2024-10-18 07:27:38
719
原创 《Windows PE》6.4.2 远程注入DLL
测试步骤:当PEHeader.exe运行时,运行remoteThread.exe,点击文件菜单”插入到PEHeader.exe”,就可以将DLL远程注入到进程PEHeader.exe中了。对比无DLL注入的方法,使用DLL注入的方法不需要对代码和数据进行重定位(由操作系统自动完成),省去了很多不必要的麻烦,因此也是我们常用的方法。写一个窗口程序,将一个dll通过远程注入的方法,注入到第三章的示例程序PEHeader.exe中,支持32位和64位PE。1.打开本地进程(调用OpenProcess函数)。
2024-10-17 11:14:02
389
原创 《Windows PE》6.4.1 无 DLL远程注入
一旦你的ThreadFunc中有错误,远程线程会立即崩溃。这样,远程进程中的ThreadFunc就会执行不存在的内存数据(至少没有在它自己的内存空间中)。如果我们能够熟练的掌握汇编语言,当然也可以直接使用汇编语言编写一个无DLL注入的程序,毕竟使用汇编语言可以非常方便的直接对代码和数据进行重定位,这是C语言无法做到的。如果这个有争议的CALL是编译器添加的(因为一些不该打开的编译开关比如/GZ打开了),它要么在ThreadFunc的开头要么在ThreadFunc接近结尾的地方。
2024-10-16 07:08:37
788
原创 《Windows PE》6.3 无导入表和重定位表PE文件
本节我们将演示一个无导入表、无重定位表,并且只有一个.text节区的汇编代码程序。汇编代码重定位。
2024-10-15 07:14:12
370
原创 《Windows PE》6.1 重定位表
重定位表(relocation table)是在可执行文件或动态链接库(DLL)中用于指示系统在加载时对代码和数据进行重新定位的数据结构。在可执行文件或 DLL 中,代码和数据通常是使用相对地址进行引用的。当将可执行文件或 DLL 加载到内存中时,如果加载地址与文件中的基地址不匹配,就需要对代码和数据进行重新定位,以确保引用的地址正确。重定位表重定位表的结构与解析重定位表的修改。
2024-10-12 08:34:48
995
原创 《Windows PE》5.3 导出表应用
本节我们将通过三个实验来说明导出表的应用。实验一修改导出表中的函数地址。实验二直接替换导出函数的代码。实验三导出私有函数修改导出函数地址替换导出函数代码导出私有函数。
2024-10-11 08:05:05
977
原创 《Windows PE》5.2 遍历导出表
这段代码使用了 EnumProcessModules 函数遍历进程中的模块,并使用 GetModuleInformation 函数获取模块的基址。32位和64位PE文件导出表描述符是相同的,遍历导出表的区别只有两点,32位基址和64位基址,以及NT32位NT头和64位NT头的区别。实验34:方法一,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。实验35:方法二,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。
2024-10-10 08:12:22
1170
原创 《Windows PE》5.1 导出表
该值也是一个指针,与AddressOfNames是一一对应关系,所不同的是,AddressOfNames指向的是字符串的指针数组,而AddressOfNameOrdinals则指向了该函数在AddressOfFunctions中的索引值。●导出函数序号表(Export Function Ordinal Table)是PE文件中导出表的一部分,用于映射导出函数的序号和地址。DLL中的第一个导出函数并不是从0开始的,某导出函数的编号等于从AddressOfFunctions开始的顺序号加上这个值。
2024-10-09 07:51:58
1040
原创 《Windows PE》4.3 延迟加载导入表
与导入表不同的是,它所记录的这些DLL动态链接库并不会被操作系统的PE加载器加载,只有等到由其登记的相关函数被应用程序调用时,PE中注册的延迟加载函数才会根据延迟加载导入表中对该函数的描述,动态加载相关链接库并修正函数的VA地址,实现对函数的调用。不过,如果用户选择了Print命令,你就可以调用该DLL中的一个函数,然后它就能够自动进行DLL的加载。5.延迟加载的DLL具备的另一个特性是,按照默认设置,调用的函数可以与一些内存地址相链接,在这些内存地址上,系统认为函数将位于一个进程的地址中。
2024-10-08 08:31:17
846
原创 《Windows PE》4.2 绑定导入表
绑定导入表(Bound Import Table)是文件中的一个数据结构,用于存储已经绑定(即完成绑定导入)的外部函数的信息。绑定导入表数据结构实例分析。
2024-10-07 07:44:17
725
原创 《Windows PE》4.1.4 手工重构导入表
【可选项】可以选择修改的字段包括导入表的大小、IAT表的大小、.text节区的实际大小、.rdata节区的实际大小和.data节区的实际大小。●手工实现,将Regedit.exe程序的代码、数据、IAT表和导入表添加到HelloWorld.exe程序中,并可以正确运行。第二步:定位副本文件中的.data节区,将Regedit.exe程序的.data节区数据写入到副本文件.data节区的结尾处。第八步:将Regedit.exe程序的.text节区数据复制到.text节区,并修正参数地址以及FF25跳转地址。
2024-10-05 09:37:33
1218
1
原创 《Windows PE》4.1.3 IAT函数地址表
如果导入表描述符的TimeDateStamp和ForwarderChain字段是一个特殊的标志值,如0xFFFFFFFF,表示导入函数已绑定,则IAT函数地址表中存储的是真实的导入函数地址。在程序加载时,操作系统会根据导入描述符中的INT表和IAT表进行动态链接,将导入函数的实际入口地址填充到IAT表中的函数指针对应的位置。IAT表就是用来存储这些实际的函数入口地址。首先找到数据目录项的第12项,获取IAT函数地址表的RVA地址,加上基址后,得到并输出加载到内存中的IAT函数地址表的VA地址。
2024-10-04 15:40:30
765
原创 《Windows PE》4.1导入表
IMAGE_IMPORT_BY_NAME结构体用于描述PE文件中的导入地址表(Import Address Table,IAT)或原始未绑定导入地址表(Original Unbound Import Address Table)中,通过名称进行导入的函数的信息。然后根据导入表FOA地址,在PE文件中找到导入表描述符的起始地址,循环遍历获取导入表描述符的OriginalFirstThunk字段中保存的RVA地址,将此RVA地址转换为FOA地址,即INT表IMAGE_THUNK_DATA的起始地址。
2024-10-03 14:43:15
1286
原创 《Windows PE》3.2.4节表
节表由多个节表项(IMAGE_SECTION_ HEADER)组成,每个节表项(40个字节)记录了 PE中与某个特定的节有关的信息,如节的属性、节 的大小、在文件和内存中的起始位置等。节表中节的数量由字段IMAGE_FILE_HEADER. NumberOfSections来定义。●节表项的数据结构详细定义如下:typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节区名称,8 字节 u
2024-10-02 09:39:15
1511
原创 《Windows PE》3.2.3 NT头-扩展头
4.32位HelloWorld.exe(Win XP汇编版本)文件偏移地址0000013CH地址处,将默认0010H修改为0000~0010H之间的任一值,我们会发现,当数据目录项的数目大于等于2时,PE文件可以在Windows 10系统正常运行。1.32位HelloWorld.exe(Win XP汇编版本)文件偏移地址0000013CH地址处,将默认0010H修改为0000~0010H之间的任一值,我们会发现,当数据目录项的数目大于等于2时,PE文件可以在Windows 10系统正常运行。
2024-10-01 08:13:07
1184
原创 《Windows PE》3.2.3 NT头-文件头
原因是运行程序时,系统使用LoadString函数加载命令行参数字符串,如果第一个参数为自身的句柄,则会在当前路径或系统路径下寻找资源PE文件(没有代码的资源文件),名称为***.exe.mui。DOS块的后面接着就是NT头了。NT头包含了PE文件的各种信息,包括文件的签名、文件头和扩展头。在32位的PE文件中,Signature的值为0x00004550(或者ASCII字符"PE\0\0"),在64位的PE文件中,Signature的值同样为0x00004550(或者ASCII字符"PE\0\0")。
2024-10-01 07:59:08
1006
原创 《Windows PE》3.2 PE头结构-DOS头和DOS块
在VS中输入#include "winnt.h" ,点击右键,打开文档。然后搜索 IMAGE_DOS_HEADER 或者在程序里面输入IMAGE_DOS_HEADER 按F12转到定义。■。
2024-09-30 07:50:34
1203
原创 《Windows PE》3.1 基本概念
在正式讲解PE文件格式之前,我们有必要先熟悉和PE相关的一些基本概念,以便于更好的理解和掌握PE文件格式。地址指针数据目录项节对齐方式字符串编码格式。
2024-09-06 08:05:10
1403
原创 《Windows PE》2.2.2 加载PE文件二
doc .mp3 .jpg等等都是有文件格式的,我们只需要关心.exe和.dll文件格式,因为.exe和.dll文件是可执行文件格式,其他的文件是不可执行的,不能在CPU上运行的。比如: PE 它是windows下的文件格式,是MZ打头的(4D5A)只有两个字节,后面很大一片就是对这个结构体的管理,比如代码在什么位置,图像在什么位置,文字在什么位置,在前面PE头中都是有记录的。除了默认的PE头之外,每个节区都是有命名的,例如.text节区为代码段,.data节区为数据段,.rsrc节区保存资源。
2024-08-29 07:44:28
1037
原创 《Windows PE》2.2 加载PE文件一
如图2-8所示:我们可以通过GDTR寄存器找到GDT全局段描述符表,在GDT全局段描述符表中保存LDT1、LDT2、LDT3三个局部段描述符表的段描述符,对应的局部段描述符表的段选择子分别为Selector1、Selector2、Selector3。G=0表示界限粒度为字节(实模式下内存地址空间以字节为单位,20位段界限域可访问的地址空间就是220个字节,1MB大小),G = 1表示界限粒度是4KB(保护模式下,内存地址空间以页为单位,20位段界限域可访问的地址空间就是220*212个字节,4GB大小)。
2024-08-26 07:28:54
1083
原创 《Windows PE》2.1 初识PE文件
Windows PE文件(Portable Executable file)是一种可执行文件格式,用于Windows操作系统中的可执行程序、动态链接库(DLL)和驱动程序等。它是一种规范化的文件格式,定义了文件的结构和组织方式,以便操作系统能够正确加载和执行这些文件。PE文件特征和组成初识PE文件。
2024-08-22 08:25:28
741
原创 《Windwos PE》1.3 动态调试工具
在Visual Studio中调试时,大部分的功能是借助菜单或按钮实现,而Windbg调试器是建立在命令之上。用户输入一个命令,调试器用文本描述命令执行的结果给出响应。在GUI模式下,一些结果用专门的窗口进行显示,比如局部变量、栈、线程等。正是因为这种调试模式,所以Windbg调试器学习的门槛就要相对高一些,得记这些命令。■。
2024-08-19 06:47:02
1101
原创 《Windows PE》第一章 PE学习环境搭建
可以看出,当程序调试的时候,如果修改了 test1.asm,也就是说test1.obj的文件时间比test1.asm 要早,就需要重新执行步骤(1)和(4)。隐含规则不能有依赖文件,所以下面没有内容,例子中的第17、18行定义了从 asm文件建立obj文件的隐含规则,第19和20行定义了从rc文件建立res文件的隐含规则,隐含规则中无法指定确定的输入文件名,因为输入文件名是泛指的有相同扩展名的一整类文件,这时候就要用到几个特殊的内定宏来指定文件名,这些宏是$@,$*, $?为了能存放自己编写的汇编代码。
2024-08-13 07:58:53
998
原创 《Windows API每日一练》24.1 WinSock简介
本节将逐一介绍WinSock的主要特性和组件,套接字、WinSock动态库的使用。本节必须掌握的知识点: Windows Socket接口简介 Windows Socket接口的使用 第178练:网络时间校验■以下是WinSock的主要特性和组件:●套接字(Socket): 套接字是网络通信的基本概念,它代表了一个网络连接的端点。WinSock提供了函数来创建、绑定、连接和关闭套接字,以及发送和接收数据。●协议支持: WinSock支持多种网络协议,包括TCP/IP
2024-08-01 07:33:00
421
原创 《Windows API每日一练》23.1 Windows多媒体
你可以使用预定义的命令字符串,也可以自定义命令字符串来实现特定的功能。但对于更复杂的多媒体处理,如音频编码、视频渲染等,可能需要使用更高级别的多媒体框架和API,如Media Foundation或DirectShow,这些内容本书并不涉及,有兴趣的读者可以查阅MSDN等相关资料。在这种情况下 mciSendString函数会立即返回,但是,当MCI命令中指定的操作结束后, mciSendString的最后一个参数所指定的句柄代表的窗口将收到一条MM_MCINOTIFY消 息。这就是所谓的“CD音频“。
2024-07-31 07:23:29
540
原创 《Windows API每日一练》22.3 SHE异常
lpSEH参数指向注册回调函数时使用的EXCEPTION_REGISTRATION结构的地址,在例子程序中,它的值就是我们在堆栈中构造的这个结构的地址,这个参数 看上去似乎没有什么用处,例子程序中也确实没有用到它,但是如果希望异常处理程序能 够被封装在子程序里面的话,这个参数就是不可缺少的,因为使用它可以避免使用全局变量在模块和回调函数之间传递数据,在接下来的内容中读者会了解到如何做到这一点。发生异常时,由异常回调函数接管异常,处理异常后继续执行异常发生后的下一条指令。
2024-07-30 07:36:21
661
原创 《Windows API每日一练》21.2 执行可执行程序
因此,应该谨慎使用,避免对正在运行的进程造成不可预料的结果。TerminateProcess函数不是一个推荐使用的函数,一般仅在很极端的情况下使用(如任务管理器用来结束停止响应的进程),因为它将目标进程无条件结束,被结束的进程根本 没有机会进行扫尾工作,同时,目标进程使用的dll文件也不会收到结束通知,所以极有 可能造成数据丢失。当某个进程创建了一个新的进程的时候,被创建的进程称为“子进程”,创建它的进程称为“父进程”,子进程可以从父进程那里继承环境变量以及其他一些对象,在子进程中可以继续创建“孙进程”。
2024-07-29 06:50:51
773
原创 《Windows API每日一练》20.1 动态链接库
在应用程序中,可以使用动态链接库的函数和资源,通过加载 DLL 文件并调用其中的导出函数来实现。链接器将根据.def文件中的导出列表来生成DLL,并确保这些函数和符号在DLL中是可见和可调用的。但使用.def文件可以提供更精确的控制,例如指定导出函数的名称和序号(C\C++引用动态链接库时,将.def文件包含在了头文件中)。是用以确保函数名称被添加到EDRLIB.LIB中的关键字而已(使得链接器在链接使用这些函数的应用程序时可以正确解析该函数名),并且用于确保这些函数在EDRLIB.DLL中可见。
2024-07-28 09:41:21
1080
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人