VC下提前注入进程的一些方法3——修改程序入口点

最新推荐文章于 2022-11-24 09:32:32 发布
最新推荐文章于 2022-11-24 09:32:32 发布
阅读量5.4k 收藏 6
点赞数 1
分类专栏: 反汇编 安全 文章标签: null header image basic dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/breaksoftware/article/details/7474817
版权

        前两节中介绍了通过远线程进行注入的方法。现在换一种方法——修改进程入口点。(转载请指明出处)

        在PE文件中,其中有个字段标识程序入口点位置。我们通过这个字段,到达程序入口点。PE文件的结构我这儿不讨论(我会在之后写关于PE文件的介绍和研究),我只列出一些和程序入口点有关的数据结构

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    ……
}

        其中ImageBase是程序加载的基址,AddressOfEntryPoint是代码执行的入口偏移。于是我们的程序入口点是

PIMAGE_DOS_HEADER lpstDosHeader = (PIMAGE_DOS_HEADER)(LPSTR)lpMapFile;
PIMAGE_NT_HEADERS lpstNtHeaders = (PIMAGE_NT_HEADERS)((LPSTR)lpMapFile + lpstDosHeader->e_lfanew );
dwPEEntry = lpstNtHeaders->OptionalHeader.AddressOfEntryPoint + lpstNtHeaders->OptionalHeader.ImageBase;

        我们将从程序入口点开始搜索Call这个指令。这个地方存在一个经验,就是一般(如果没动手脚)我们代码第一个Call指令跟随的是一个函数偏移地址。我们用ollydbg打开mspaint.exe这个我们要注入的进程文件

01034BD7 > $  6A 70         push    70
01034BD9   .  68 00740001   push    01007400
01034BDE   .  E8 09040000   call    01034FEC

        用IDA打开之,可以看到

public _wWinMainCRTStartup
.text:01034BD7 _wWinMainCRTStartup proc near
……
.text:01034BD7                 push    70h
.text:01034BD9                 push    offset stru_1007400
.text:01034BDE                 call    __SEH_prolog

        这个特性很重要,我们在找到被注入进程的第一个call指令后,将之后的偏移量记下来,并计算出真实函数的起始地址。我们程序结束后再jmp到这个真实地址。当然不否认这个方案存在很大风险,比如第一call的不是偏移地址,而是一个寄存器中保存的地址,那么我们这个方案就挂了!
        我们得到第一个Call指令位置和Call的地址后,我们就可以考虑将我们的代码注入到傀儡中。因为我们这次要在代码中动态地修改注入的代码,于是我们需要使用ShellCode,毕竟汇编和01之间还是隔一层的。ShellCode也很好得到,我们写完汇编后,查看该处的16进制码即可。

/*
            $ ==>    >  60              pushad
            $+1      >  9C              pushfd
            $+2      >  68 11111111     push    11111111  //加载的dll名称
            $+7      >  E8 444288A5     call    LoadLibraryW  //LoadLibraryW地址
            $+C      >  50              push    eax
            $+D      >  E8 444288A5     call    FreeLibrary  //FreeLibrary地址
            $+12     >  9D              popfd
            $+13     >  61              popad
            $+14     >- E9 495399B6     jmp     33333333  //跳转到第一个call函数开始
            */
            BYTE lpShellCode[] = {
            0x60,
            0x9c,
            0x68,0xcc,0xcc,0xcc,0xcc,
            0xe8,0xcc,0xcc,0xcc,0xcc,
            0x50,
            0xe8,0xcc,0xcc,0xcc,0xcc,
            0x9d,
            0x61,
            0xe9,0xcc,0xcc,0xcc,0xcc
            };

        OK,此处我们预留了4个地址,分别是LoadLibrary加载的DLL的路径的地址,LoadLibrary 和FreeLibrary的地址,以及真实Call函数地址的在ShellCode中的偏移量。下步我们填充这些数据。

            DWORD dwCallAddrOffset = 0;
            if( FALSE == ReadProcessMemory( hProcess, lpFirstCallAddr, &dwCallAddrOffset, 4, NULL ) ) {
                break;
            }

            // 计算call的目标函数地址
            LPSTR lpRealFuncAddr = lpFirstCallAddr + 4 + dwCallAddrOffset;

            DWORD dwDllPathSize =  ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);
            LPVOID lpDllPathAddr = VirtualAllocEx( hProcess, NULL, dwDllPathSize, MEM_COMMIT, PAGE_READWRITE );

            if( NULL == lpDllPathAddr ) {
                break;
            }
            if( FALSE == WriteProcessMemory( hProcess, lpDllPathAddr, lpDllPath, dwDllPathSize, NULL) ) {
                break;
            }
            LPLoadLibrary lpFuncLoadLibraryAddr = LoadLibraryW;
            LPFreeLibrary lpFuncFreeLibraryAddr = FreeLibrary;
            if ( NULL == lpFuncLoadLibraryAddr || NULL == FreeLibrary ) {
                break;
            }

            size_t ShellCodeSize = strlen( (char*)lpShellCode ) + 1;
            LPVOID lpShellCodeAddr = VirtualAllocEx( hProcess, NULL, ShellCodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE );

            if ( NULL == lpShellCodeAddr  ) {
                break;
            }

            // 修改shellcode
            // 填充DLL路径
            memcpy( lpShellCode + 0x03, &lpDllPathAddr, 4 );

            // 填充LoadLibrary偏移
            DWORD dwCallLoadLibraryOffset = (*(LPDWORD)&lpFuncLoadLibraryAddr) -( (*(LPDWORD)&lpShellCodeAddr) + 0x0C );
            memcpy( lpShellCode + 0x08, &dwCallLoadLibraryOffset, 4 );

            // 填充FreeLibrary偏移
            DWORD dwCallFreeLibraryOffset = (*(LPDWORD)&lpFuncFreeLibraryAddr) - ( (*(LPDWORD)&lpShellCodeAddr) + 0x12 );
            memcpy( lpShellCode + 0x0E, &dwCallFreeLibraryOffset, 4 );

            // 填充返回地址偏移,即原来的Call地址
            DWORD dwRealFuncOffset = (*(LPDWORD)&lpRealFuncAddr) - ( (*(LPDWORD)&lpShellCodeAddr) + 0x19 );
            memcpy( lpShellCode + 0x15, &dwRealFuncOffset, 4  );

            // 写入shellcode
            if( FALSE == WriteProcessMemory( hProcess, lpShellCodeAddr, lpShellCode, ShellCodeSize, NULL ) ) {
                break;
            }

        在我们写入ShellCode后,我们可以拿到ShellCode的地址,然后我们算出它在第一个Call指令的偏移

            //计算call的新地址
            DWORD dwNewCallAddrOffset = (*(LPDWORD)&lpShellCodeAddr) - ((*(LPDWORD)&lpFirstCallAddr) + 4 );

        之后就要做个非常重要的事情——将新Call地址写入已经载入内存中的傀儡代码中。因为一般PE文件的代码段的内存页是EXECUTE|READ,但是不具备WRITE属性。于是我们要将第一个Call指令所在的内存页的页属性改为PAGE_EXECUTE_READWRITE,我们写入新Call地址后,再将原来的页属性设置回去,善始善终。

            MEMORY_BASIC_INFORMATION stMemBasicInfor = {0};
            if ( FALSE == VirtualQueryEx( hProcess, lpFirstCallAddr, &stMemBasicInfor, sizeof(MEMORY_BASIC_INFORMATION) ) )
            {
                break;
            }
            DWORD dwOldProtect = 0;

            if ( FALSE == VirtualProtectEx( hProcess, stMemBasicInfor.BaseAddress, stMemBasicInfor.RegionSize, PAGE_EXECUTE_READWRITE, &dwOldProtect ) )
            {
                break;
            }

            if ( FALSE == WriteProcessMemory( hProcess, lpFirstCallAddr, &dwNewCallAddrOffset, 4, NULL ) )
            {
                break;
            }

            VirtualProtectEx( hProcess, stMemBasicInfor.BaseAddress, stMemBasicInfor.RegionSize, dwOldProtect, NULL );

        最简单的修改程序入口点进行注入的方法就是如此。

        方案我整理出的工程
       (转载请指明出处)

breaksoftware
关注
专栏目录
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
二、C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1411
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL
修改pe程序入口
qq_44657899的博客
05-26 1612
固定基址-便于调试 修改入口 程序使用x64dbg打开,可以看到程序基址为140000000 程序入口为11023,那么在内存中,程序入口=基址+偏移量=140000000+11023=140011023 ctrl+G定位到140011023,然后找一个空白处,这里选择1400113B3,修改汇编代码为jmp 0x140011023 右键→补丁→修补文件,保存文件为project2.exe,然后将程序入口修改为00113B3 现在运行project2.exe,可以发现入口已经到了140.
入口为0的程序
03-02 2581
前几天群里有人给了个病毒样本 拿来一看很奇怪,是个exe文件,但入口显示却是0 用OD加载后会提示出错:   之后问了一下同事,大概了解了一下原理: Windows系统加载PE文件后,会通过PE文件的特定结构读取各种信息。 而该PE文件的各种信息都是完整的,可以正常被读取。       相关的PE结构捡主要的在这里大概说一下:
如何将其他函数设置为程序入口
Hyacinth_Dy
11-26 761
如何将其他函数设置为函数入口 第一步:工程属性-----链接器-----系统-----子系统下选择控制台(/SUBSYSTEM:CONSOLE). 第二步:编辑代码 #include #include #pragma comment(linker,"/entry:FunTest")//预处理指令 ; FunTest是作为入口函数的函数名 using namespace std; vo
免杀Backdoor-factory
最新发布
分享学习网络的点点滴滴
11-24 462
● 通过替换EXE、DLL、注册表等方法修复系统漏洞或问题的方法 ● BDF:向二进制文件中增加或者删除代码内容 ○ 某些受保护的二进制程序无法patch ○ 存在一定概率文件会被patch坏掉● 适用于windows PE x32/x64和Linux ELF x32/x64(OSX) ● 支持msf payload、自定义payload● 将shellcode代码patch进模板文件,躲避AV检查 ● Python语言编写● 覆盖程序入口 ● 创建新的线程执行shellcode并跳回原程序入口 ● 增加代
InjectDll(VC源码).rar
01-06
DLL注入是一种技术,通过将一个DLL文件加载到目标进程的地址空间,使得目标进程可以在不知情的情况下执行自定义代码,常用于调试、性能优化、恶意软件等场景。本篇文章主要围绕如何使用VC++开发DLL注入工具进行深入...
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1004
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
屏幕取词编程学习总结
bcbobo21cn的专栏
04-22 5481
屏幕取词的研究 现在词典市场金山词霸占了绝对优势,所以再做字典也没什么前途了。我就是这么认为的,所以我虽然 掌握了这项技术,却没去做字典软件。只做了一个和词霸相似的软件自己用,本来想拿出来做共享软件 ,但我的词库是“偷”来的,而且词汇不多,所以也就算了,词库太小,只能取词有什么用呢?而且词 霸有共享版的。但既然很多人想了解这项技术,我也不会保留。我准备分多次
Keil C中如何更改程序的起始地址
phenixyf的专栏
01-29 8953
C51: SETTING PROGRAM START ADDRESS QUESTION How do I start my C51 program at an address other than 0000h? ANSWER There are three steps to relocate your C51 program to start at a different offset.
【exe加壳:修改可执行文件的PE头,增加一节,修改程序入口地址为该节】
Laughing
11-28 3707
一:PE中增加节 使用工具为:LordPE、010Editor、CFF、OD List item 先用 010Editor 查看节表部分是否足够长度加入新的节表目录 从图中看出,节表后面还有空余地方,可存放新增目录项 用 LordPE 查看PE头部信息,增加一节,在 setions 中修改新增节表的属性 原始PE头信息:可得原始节表中有9项 修改节表项数为10节 然后击Setions按钮,在里面修改新增节的相关属性(这里的相关原理有兴趣可自行了解) 进去后可看见最后一节表项名字和其他相关数据
C程序入口的学习
04-05 1066
补充:   在每个c程序中crtl.o启动例程(在目标文件中)的伪代码      0x080480c0                   call  _libc_init_first                   call  _init                   call  atexit                   call  main              //
VC为自己的工程指定入口
boise的专栏
12-20 7131
error LNK2001: unresolved external symbol _mainTuesday, 11. July 2006, 04:50:15note 解决外部符号错误:_main,_WinMain@16,__beginthreadex在创建MFC项目时, 不使用MFC AppWizard向导, 如果没有设置好项目参数, 就会在编译时产生很多连接错误, 如error
VC中判断进程程序存在性的两种方法总结
本文档主要介绍了在Windows环境下使用C语言进行进程程序存在性的判断方法,针对两种常见情况提供了实用的代码示例。首先,针对指定程序名的进程,作者推荐了`EnumWindows`函数。这个函数遍历屏幕上的所有顶级窗口...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值