动态调用VirtualProtect去除IAT特征

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量1.1k 收藏
点赞数
分类专栏: C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/claysystem/article/details/101128264
版权
在Windows 10 x64环境下,使用VS2017,通过获取Kernel32和GetProcAddress的基址,动态调用LoadLibraryA、VirtualProtect等函数,实现内存中shellcode文件的加载,以避免IAT(导入地址表)特征。
摘要由CSDN通过智能技术生成

编译环境:windows 10 专业版 x64 vs2017

获取Kennel32基址:


__declspec(naked) DWORD getKernel32()
{
	__asm
	{
		mov eax, fs:[030h];
		test eax, eax;
		js finished;
		mov eax, [eax + 0ch];
		mov eax, [eax + 14h];
		mov eax, [eax];
		mov eax, [eax];
		mov eax, [eax + 10h]
			finished:
		ret
	}
}

获取getProcAddress基址


FARPROC getProcAddress(HMODULE hModuleBase)
{
	PIMAGE_DOS_HEADER lpDosHeader = (PIMAGE_DOS_HEADER)hModuleBase;
	PIMAGE_NT_HEADERS32 lpNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)hModuleBase + lpDosHeader->e_lfanew);
	if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size)
	{
		return NULL;
	}
	if (!lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
	{
		return NULL;
	}
	PIMAGE_EXPORT_DIRECTORY lpExports = (PIMAGE_EXPORT_DIRECTORY)((DWORD)hModuleBase + (DWORD)lpNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
	PDWORD lpdwFunName = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNames);
	PWORD lpwOrd = (PWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfNameOrdinals);
	PDWORD lpdwFunAddr = (PDWORD)((DWORD)hModuleBase + (DWORD)lpExports->AddressOfFunctions);

	DWORD dwLoop = 0;
	FARPROC pRet = NULL;
	for (; dwLoop <= lpExports->NumberOfNames - 1; dwLoop++)
	{
		char *pFunName = (char*)(lpdwFunName[dwLoop] + (DWORD)hModuleBase);
		if (pFunName[0] == 'G' &&
			pFunName[1] == 'e' &&
			pFunName[2] == 't' &&
			pFunName[3] == 'P' &&
			pFunName[4] == 'r' &&
			pFunName[5] == 'o' &&
			pFunName[6] == 'c' &&
			pFunName[7] == 'A' &&
			pFunName[8] == 'd' &&
			pFunName[9] == 'd' &&
			pFunName[10] == 'r' &&
			pFunName[11] == 'e' &&
			pFunName[12] == 's' &&
			pFunName[13] == 's')
		{
			pRet = (FARPROC)(lpdwFunAddr[lpwOrd[dwLoo
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
利用Ret2Libc挑战DEP之二——利用VirtualProtect
Yx0051的博客
08-14 899
感觉最近作者给出的shellcode,有一种“他就是这样”、“这样的shellcode是最合理”的感觉了。刚开始看有点看不懂,但是跟着最终实现代码一点点跟,就会发现这个代码的巧妙之处。 0x01 环境 系统:Windows 2003 SP2 编译器:VS2008 注意编译选项: release版本 禁用优化(C++——optimization disable) GS禁用(C++——c
任鸟飞逆向C++高级篇
09-08
【课程简介】本课程为任鸟飞逆向C++高级篇,注重在逆向中运用的技巧和思维逻辑,掌握后相关工具与手法可以熟练运用,在反汇编的世界里如鱼得水。 本套课程不只是一套深入学习C++的课程,更是一套深入学习汇编逆向课程、外挂与反外挂、软件安全的课程。 逆向思路技术随笔,请关注我的CSDN博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣咨询等请在博客私聊我。 PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】任鸟飞逆向C++系列课程是一条精心安排为掌握汇编逆向、外挂与反外挂、软件安全以及软件编程的学习路线,包括但不限于 基础篇、进阶篇、高级篇(本篇)、实战篇等,所以为保证您能学有所成请在学习本篇之前务必掌握基础篇与进阶篇!!! 基础篇CSDN学院链接:https://edu.csdn.net/course/detail/30509进阶篇CSDN学院链接:https://edu.csdn.net/course/detail/30680 【学员学成收获】认真学习并练习后将掌握:1、熟练游戏逆向思想与技巧。2、熟练通用辅助程序设计。3、熟练诸多逆向工具使用。4、熟练常见数据结构逆向分析。5、熟悉智能主线脚本编写。 
Windows Shellcode学习笔记——通过VirtualProtect绕过DEP
weixin_34004576的博客
09-20 1875
本文讲的是Windows Shellcode学习笔记——通过VirtualProtect绕过DEP, 0x00 前言 在掌握了栈溢出的基本原理和利用方法后,接下来就要研究如何绕过Windows系统对栈溢出利用的重重防护,所以测试环境也从xp转到了Win7(相比xp,Win7的防护更全面)。本文将要介绍经典的DEP绕过方法——通过VirtualProte...
使数据区“可执行”的几种常规办法
hambaga的博客
01-21 874
一、VirtualProtect 这个函数可以修改缓冲区的页面属性,传入 PAGE_EXECUTE_READWRITE 让缓冲区可执行。 BOOL VirtualProtect( LPVOID lpAddress, SIZE_T dwSize, DWORD flNewProtect, PDWORD lpflOldProtect ); 二、SetProcessDEPPolicy 这个函数可以在运行时修改进程的DEP属性。 BOOL SetProcessDEPPolicy( DWORD
注册机偷懒写法2、之直接调用源程序的函数
u012332009的专栏
04-17 701
注册机偷懒写法1、之直接扣代码 注册机偷懒写法2、之直接调用源程序的函数 注册机偷懒写法3、内联Hook让程序自己弹出注册码 注册机偷懒写法4、调试模式下获取 如果程序的算法太复杂,我们搞不定,或者分析时间太长,我们可以尝试将程序加载到注册机程序的内存空间直接通过地址直接调用管算法call,前提call中没有一些需要提前初始的变量,把需要加载的exe的重定位去掉这样就不需要修...
【反调试】去除各种反调试
热门推荐
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1545
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
Hacking Diablo II之外挂实战教程:去除D2JSP试用版显示的Trial Version信息
Sting的专栏 - Under the hood
11-05 1万+
前几天一个网友给我发消息请我帮他个忙。他的问题是,他正在使用的D2JSP是免费试用版,试用版在运行时会在游戏的所有游戏画面中央显示一行很大的“Trial Version”字样(见下图中的红圈),很烦人,他想去掉这行字。我想正好用此做个教程解释前面介绍过的hack工作原理,于是答应帮他看看。 我已经很久没有开BOT了,最后一次使用D2JSP还是2003年1.09d时期的事。根据我以前的理解
在内存中加载DLL
wr960204(武稀松)的专栏
02-29 1万+
有个需求是把一个DLL作为数据打包到EXE中,运行的时候动态加载.但要求不是释放出来生成DLL文件加载.花了一天时间做出来.效果还可以.不过由于是直接分配内存加载DLL的.有一些小缺陷.例如遍历进程中加载的模块的时候是找不到这个DLL的.GetModuleXXXX之类的API也就不能用了.当然也可以Hook这些函数做处理.不过便利不到这个模块也未必不是一个优点.例如写木马黑客之类的代码的时
VirtualProtect导致程序crash的问题。
ADF1230的专栏
10-23 2883
VirtualProtect函数用于改变内存页面的存取属性 : #define PAGE_NOACCESS 0x01 #define PAGE_READONLY 0x02 #define PAGE_READWRITE 0x04 #define PAGE_WRITECOPY 0x08
virtualProtect
weixin_30505225的博客
03-29 549
// VirtualProtect.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" typedef void (*FUN)(); FUN fun = NULL; int _tmain(int argc, _TCHAR* argv[]) { char* p2 = "Helloworl...
再谈计算机内存访问之2:虚拟内存访问
偶尔e网事
06-15 3302
每个进程都拥有自己的虚拟地址空间,那么怎样才能访问这个空间呢?这就需要用到Windows API函数。这些函数直接与编写程序相关,因而更受软件工程师的关注。有关这方面的函数较多,这里介绍几个重要的函数。 1 .获取系统信息 在一个程序中不能直接应用某个系统的设备参数,否则将不利于程序的移植。因此,如果确实需要用到这样的设备参数,则需要一个系统信息函数来获得。VC++ 编译器所提供这样的函数
学HOOK学的 API 函数、、VirtualQuery、、VirtualProtect、、 WriteProcessMemory
weixin_33785972的博客
07-21 529
先说一下MEMORY_BASIC_INFORMATION这个结构、、typedefstruct_MEMORY_BASIC_INFORMATION {PVOID BaseAddress;//区域基地址。与VirtualQuery函数的第一个参数lpAddr相同PVOID AllocationBase; //分配基地址指明用VirtualAlloc函数分配内存...
红蓝对抗之红队免杀开发实践
悦分享
08-04 1956
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
VirtualProtect
weixin_41454036的博客
09-07 741
VirtualProtect,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位置空间里,变更认可页面区域上的保护。 lpAddress [in] 指针,指向要变更保护属性的内存基址。 dwSize [in] 要变更的记忆体分页区域的大小 (单位是字节)。但是需要注意,页面边界2字节的内存属性更改,有可能导致改变2个页的属性同时被改变 flNewProtect [in] 要套用的记忆体保护类型。 lpflOldProtect [out] 上一个记忆体保护值的指针。 ...
HOOK API 之修改IAT实现进程隐藏
tian028的博客
03-13 1065
1 .技术与实现 每个调用的 API 函数地址都保存在 IAT 表中。 API 函数调用时,每个输入节( IMPORT SECTION )所指向的 IAT 结构如下图所示。 程序中每个调用API 函数的CALL指令所使用的地址都是相应函数登记在IAT表的地址。所以为了截获API 函数,我们将IAT表中的地址换成用户自己的API PROXY函数地址,这样每个API调用都是先调用用户自己的A...
call ds:VirtualProtect
06-10
`call ds:VirtualProtect` 是一条汇编指令,用于调用 Windows API 中的 VirtualProtect 函数。它的作用是修改指定地址的内存页属性,可以用于改变内存页的保护级别,比如将一个可读写的内存页修改为只读或可执行。这个指令通常在动态链接库注入、代码注入等技术中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值