题目1)-构造ShellCode练习: 在代码空白区添加代码
注意事项: 一次成功难度较大, 可以使用WinHex和Ollydbg等软件检查自己计算是否正确, 并做相应的修改
#include<stdio.h>
#include<stdlib.h>
#include<windows.h>
BYTE* bufferApply = nullptr;//将磁盘文件复制到内存中后, 使用bufferApply指向该空间
DWORD fileSize = 0;//将磁盘文件复制到内存时使用需要申请空间, 使用fileSize设置申请空间的大小
WORD section_num = 0;//代表文件中节的个数
LPVOID pFileBuffer = NULL;
PIMAGE_DOS_HEADER pDosHeader = NULL;
PIMAGE_NT_HEADERS pNTHeader = NULL;
PIMAGE_FILE_HEADER pPEHeader = NULL;
PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
PIMAGE_SECTION_HEADER pSectionHeader = NULL;
char str[9] = { 0 };//用于存储节表中的节表名称字符串
void LoadToMemory() {
char* road = "D:\\Ddisk\\goodThing\\fg.exe";//设置文件路径
FILE *note = NULL;
fopen_s(¬e, road, "rb");//打开文件
fseek(note, 0, SEEK_END);//将文件指针移到末端
fileSize = ftell(note);//获取文件指针位置得知文件大小
fseek(note, 0, SEEK_SET);//将文件指针移到开始位置
bufferApply = (BYTE*)malloc(fileSize);//根据文件大小分配内存
fread(bufferApply, 1, fileSize, note);//将文件指针指向的内容读取到内存中
fclose(note);//关闭文件指针
}
void SetHeader() {//设置各个PE文件头的参数
pDosHeader = (PIMAGE_DOS_HEADER)bufferApply;
pNTHeader = (PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew + (DWORD)bufferApply);
pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
WORD optional_size = pPEHeader->SizeOfOptionalHeader;
pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + optional_size);
section_num = pPEHeader->NumberOfSections;
}
void ReleaseMem() {
free(bufferApply);
}
void addCode() {
PIMAGE_SECTION_HEADER SectionHeader = pSectionHeader;
for (int i = 0; i < section_num; i++) {
if (((SectionHeader->Characteristics) & 0xe0000000) == 0x60000000) {//根据节表的characteristic属性来判断是否是代表节
//定位要添加的代码在内存中的所在的位置
DWORD *site = (DWORD*)((bufferApply + SectionHeader->PointerToRawData +
SectionHeader->SizeOfRawData) - 0x14);
/*根据"X=真正要跳转的地址-E8这条指令的下一行地址"来计算e8后面的4个字节的数据, +0x5代表的是E8指令的下一行地址
+0x9代表从添加代码开始的位置跳到E8指令的下一个字节的位置*/
//每次启动0x76EC3670也就是MessageBox的地址会不断的发生变动
DWORD call_data = 0x76EC3670 -(pOptionHeader->ImageBase + SectionHeader->VirtualAddress +
SectionHeader->SizeOfRawData - 0x14+0x9+0x4);
//同理来计算jmp后面的代码地址
DWORD jmp_data = (pOptionHeader->ImageBase + pOptionHeader->AddressOfEntryPoint) -
(pOptionHeader->ImageBase + SectionHeader->VirtualAddress +
SectionHeader->SizeOfRawData - 0x14 + 0xE + 0x4);
BYTE arr[18] = { 0x6a,0x00,0x6a,0x00, 0x6a,0x00, 0x6a,0x00, 0xe8,//使用数组存储要添加的代码
0x00,0x00, 0x00, 0x00, 0xe9,0x00, 0x00, 0x00, 0x00 };
*(DWORD*)&arr[9] = call_data;
*(DWORD*)&arr[14] = jmp_data;//将计算出来的数据添加到数组中
memcpy(site, arr, 18);//将数组中的数据复制到代码段中
pOptionHeader->AddressOfEntryPoint = (DWORD)site-(DWORD)bufferApply;//更改程序入口点
break;
}
SectionHeader++;
}
}
int main() {
LoadToMemory();
SetHeader();
addCode();
char* road = "D:\\Ddisk\\goodThing\\hello.exe";
FILE *bomb = NULL;
fopen_s(&bomb, road, "wb");
size_t written = fwrite(bufferApply, 1, fileSize, bomb);
fclose(bomb);
ReleaseMem();
}