修改导入表实现DLL注入

最新推荐文章于 2023-08-25 10:19:10 发布
最新推荐文章于 2023-08-25 10:19:10 发布
阅读量4.8k 收藏 1
点赞数
分类专栏: windows系统管理和安全 文章标签: dll import descriptor image null header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/581456
版权
Code:[Copy to clipboard]  
//
// Copy from Matt Pietrek
// Given an RVA, look up the section header that encloses it and return a
// pointer to its IMAGE_SECTION_HEADER
//
PIMAGE_SECTION_HEADER
__AddImportTable_GetEnclosingSectionHeader(
        DWORD rva,
        PIMAGE_NT_HEADERS pNTHeader
)
{
    PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION32(pNTHeader);
    unsigned i;
   
    for ( i=0; i < pNTHeader->FileHeader.NumberOfSections; i++, section++ )
    {
        // Is the RVA within this section?
        if ( (rva >= section->VirtualAddress) &&
             (rva < (section->VirtualAddress + section->Misc.VirtualSize)))
            return section;
    }
   
    return 0;
}


int
AddImportDll(
        IN HANDLE hFile,
        IN LPSTR  lpDllName,
        IN DWORD  dwBase,
        IN PIMAGE_NT_HEADERS pNTHeader
)
{
        //
        // 通过OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress
        // 获得导入表的RVA, 利用此RVA找到ImportTable所在的Section,之后计算Offset,公式:
        //     Offset = (INT)(pSection->VirtualAddress - pSection->PointerToRawData)
        // 之后利用Offset来定位文件中ImportTable的位置.
        //
        PIMAGE_IMPORT_DESCRIPTOR  pImportDesc = 0;
    PIMAGE_SECTION_HEADER     pSection = 0;
    PIMAGE_THUNK_DATA         pThunk, pThunkIAT = 0;
        int Offset = -1;

        pSection = __AddImportTable_GetEnclosingSectionHeader(
                pNTHeader->OptionalHeader.DataDirectory
                        [IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress,
                pNTHeader);
        if(!pSection)
        {
                fprintf(stderr, "No Import Table../n");
                return -1;
        }

        Offset = (int) (pSection->VirtualAddress - pSection->PointerToRawData);

        //
        // 计算ImportTable在文件中的位置
        //
        pImportDesc =
                (PIMAGE_IMPORT_DESCRIPTOR)(pNTHeader->OptionalHeader.DataDirectory
                                        [IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress - Offset + dwBase);
       
        //
        // 取出导入的DLL的个数
        //
        int nImportDllCount = 0;
        while(1)
        {
                if ((pImportDesc->TimeDateStamp==0 ) && (pImportDesc->Name==0))
            break;
                pThunk    = (PIMAGE_THUNK_DATA)(pImportDesc->Characteristics);
                pThunkIAT = (PIMAGE_THUNK_DATA)(pImportDesc->FirstThunk);

                if(pThunk == 0 && pThunkIAT == 0)
                                return -1;
               
                nImportDllCount++;
                pImportDesc++;
        }

        //
        // 恢复pImportDesc的值,方便下面的复制当前导入表的操作.
        //
        pImportDesc -= nImportDllCount;

        //
        // 取得ImportTable所在Section的RawData在文件中的末尾地址,计算公式:
        //     dwOrigEndOfRawDataAddr = pSection->PointerToRawData + pSection->Misc.VirtualSize
        //
        DWORD dwEndOfRawDataAddr = pSection->PointerToRawData + pSection->Misc.VirtualSize;

        PIMAGE_IMPORT_DESCRIPTOR pImportDescVector =
                (PIMAGE_IMPORT_DESCRIPTOR)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 20 * (nImportDllCount+1));
        if(pImportDescVector == NULL)
        {
                fprintf(stderr, "HeapAlloc() failed. --err: %d/n", GetLastError());
                return -1;
        }
        CopyMemory(pImportDescVector+1, pImportDesc, 20*nImportDllCount);
       

        //
        // 构造添加数据的结构,方法笨拙了点.
        //
        struct _Add_Data
        {
                char        szDllName[256];                        // 导入DLL的名字
                int                nDllNameLen;                        // 实际填充的名字的长度
                WORD        Hint;                                        // 导入函数的Hint
                char    szFuncName[256];                // 导入函数的名字
                int     nFuncNameLen;                        // 导入函数名字的实际长度
                int     nTotal;                                        // 填充的总长度
        } Add_Data;

        strcpy(Add_Data.szDllName, lpDllName);
        strcpy(Add_Data.szFuncName, "Startup");

        //
        // +1表示'/0'字符
        //
        Add_Data.nDllNameLen  = strlen(Add_Data.szDllName) + 1;
        Add_Data.nFuncNameLen = strlen(Add_Data.szFuncName) + 1;
        Add_Data.Hint = 0;
        //
        // 计算总的填充字节数
        //
        Add_Data.nTotal = Add_Data.nDllNameLen + sizeof(WORD) + Add_Data.nFuncNameLen;

        //
        // 检查ImportTable所在的Section中的剩余空间是否能够容纳新的ImportTable.
        // 未对齐前RawData所占用的空间存放在pSection->VirtualSize中,用此值加上新的ImportTable长度与
        // 原长度进行比较.
        //
        // nTotalLen 为新添加内容的总长度
        // Add_Data.nTotal 为添加的DLL名称,Hint与导入函数的名字的总长度.
        // 8 为IMAGE_IMPORT_BY_NAME结构的长度.
        // 20*(nImportDllCount+1) 为新的ImportTable的长度.
        //
        int nTotalLen = Add_Data.nTotal + 8 + 20*(nImportDllCount+1);
//        printf("TotalLen: %d byte(s)/n", nTotalLen);
        if(pSection->Misc.VirtualSize + nTotalLen > pSection->SizeOfRawData)
        {
                fprintf(stderr, "[X] Not enough space!/n/n");
                return -1;
        }

        IMAGE_IMPORT_DESCRIPTOR Add_ImportDesc;
        //
        // ThunkData结构的地址
        //
        Add_ImportDesc.Characteristics = dwEndOfRawDataAddr + Add_Data.nTotal + Offset;
        Add_ImportDesc.TimeDateStamp = -1;
        Add_ImportDesc.ForwarderChain = -1;
        //
        // DLL名字的RVA
        //
        Add_ImportDesc.Name = dwEndOfRawDataAddr + Offset;
        Add_ImportDesc.FirstThunk = Add_ImportDesc.Characteristics;

        CopyMemory(pImportDescVector, &Add_ImportDesc, 20);

        //
        // 对文件进行修改
        //
        DWORD dwBytesWritten = 0;
        DWORD dwBuffer = dwEndOfRawDataAddr + Offset + Add_Data.nTotal + 8;
        long  lDistanceToMove = (long)&(pNTHeader->OptionalHeader.DataDirectory
                [IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress) - dwBase;
        int nRet =0;

        //
        // 修改IMAGE_DIRECTOR_ENTRY_IMPORT中VirtualAddress的地址,
        // 使其指向新的导入表的位置
        //
        SetFilePointer(hFile, lDistanceToMove, NULL, FILE_BEGIN);

//        printf("OrigEntryImport: %x/n", pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
        nRet = WriteFile(hFile, (PVOID)&dwBuffer, 4, &dwBytesWritten, NULL);
        if(!nRet)
        {
                fprintf(stderr, "WriteFile(ENTRY_IMPORT) failed. --err: %d/n", GetLastError());
                return -1;
        }
//        printf("NewEntryImport: %x/n", pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
        //
        // 修改导入表长度
        //
        dwBuffer = pNTHeader->OptionalHeader.DataDirectory
                [IMAGE_DIRECTORY_ENTRY_IMPORT].Size + 40;
        nRet = WriteFile(hFile, (PVOID)&dwBuffer, 4, &dwBytesWritten, NULL);
        if(!nRet)
        {
                fprintf(stderr, "WriteFile(Entry_import.size) failed. --err: %d/n", GetLastError());
                return -1;
        }

        //
        // 修改[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]中VirtualAddress和Size成员,设置为0
        //
        lDistanceToMove = (long)&(pNTHeader->OptionalHeader.DataDirectory
                [IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress) - dwBase;
        dwBuffer = 0;
        SetFilePointer(hFile, lDistanceToMove, NULL, FILE_BEGIN);
        WriteFile(hFile, (PVOID)&dwBuffer, 4, &dwBytesWritten, NULL);
        WriteFile(hFile, (PVOID)&dwBuffer, 4, &dwBytesWritten, NULL);

        //
        // 修改ImportTable所在节的长度
        //
        lDistanceToMove = (long)&(pSection->Misc.VirtualSize) - dwBase;
        SetFilePointer(hFile, lDistanceToMove, NULL, FILE_BEGIN);
        dwBuffer = pSection->Misc.VirtualSize + nTotalLen;
        nRet = WriteFile(hFile, (PVOID)&dwBuffer, 4, &dwBytesWritten, NULL);
        if(!nRet)
        {
                fprintf(stderr, "WriteFile(Misc.VirtualSize) failed. --err: %d/n", GetLastError());
                return -1;
        }
        //
        // 修改SECTION的Characteristics属性修改为E0000020
        //
        lDistanceToMove = (long)&(pSection->Characteristics) - dwBase;
        dwBuffer = 0xE0000020;
        SetFilePointer(hFile, lDistanceToMove, NULL, FILE_BEGIN);
        nRet = WriteFile(hFile, (PVOID)&dwBuffer, 4, &dwBytesWritten, NULL);
        if(!nRet)
        {
                fprintf(stderr, "WriteFile(Characteristics) failed. --err: %d/n", GetLastError());
                return -1;
        }

        //
        // 从节的末尾添加新的DLL内容
        //
        lDistanceToMove = dwEndOfRawDataAddr;
        SetFilePointer(hFile, lDistanceToMove, NULL, FILE_BEGIN);
        nRet = WriteFile(hFile, Add_Data.szDllName, Add_Data.nDllNameLen, &dwBytesWritten, NULL);
        nRet = WriteFile(hFile, (LPVOID)&(Add_Data.Hint), sizeof(WORD), &dwBytesWritten, NULL);
        nRet = WriteFile(hFile, Add_Data.szFuncName, Add_Data.nFuncNameLen, &dwBytesWritten, NULL);
        dwBuffer = dwEndOfRawDataAddr + Add_Data.nDllNameLen + Offset;
        nRet = WriteFile(hFile, (LPVOID)&dwBuffer, 4, &dwBytesWritten, NULL);
        dwBuffer = 0;
        nRet = WriteFile(hFile, (LPVOID)&dwBuffer, 4, &dwBytesWritten, NULL);
        nRet = WriteFile(hFile, (LPVOID)pImportDescVector, 20*(nImportDllCount+1), &dwBytesWritten, NULL);

        HeapFree(GetProcessHeap(), 0, pImportDescVector);
        printf("[V] Modify PE file Successfully!/n/n");
        return 0;
}

以前发过的代码,这份是全部的,必须要将SECTION的Characteristics修改为E0000020才能实现services.exe的注入,否则会提示错误。
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL注入_修改导入(1)
余韵
11-09 1446
PE文件分析 (一) 替换DLL函数 通过修改PE文件导入导出来更改函数。单纯分析PE文件是一件比较无聊的事,通过修改可以更加灵活的利用和理解PE文件。这就像生活一样,总要有一些特别的事,才能更加有灵感。学习本身就是生活的一部分,如何让程序更加灵活,是一个比较值得去实践的事,可以更加接近计算机的一些思想。 (二) 环境 VC++ 6.0 为了减少复杂度,用VC++ 6.0编译sum.cpp su...
DLL注入_修改导入(2)
余韵
11-11 318
在内存中查看dll函数 (一) PE内存镜像分析 dll_main.exe NT_HEADERS = E8H IMAGE_BASE(memory) = NT_HEADERS -> IMAGE_OPTIONAL_HEADER32-> ImageBase (NT+34H) E8H + +34H = 11CH ,查看11CH的内容 Offset 0 1 2 3 ...
驱动开发实现修改导入注入dll
chaos的专栏
12-21 3354
导入注入dll其实就是给程序的导入添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。 我在驱动实现修改导入的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调中修改导入修改导入的过程如下: 1,申请一块内存,将原来的导入和自己添加的项拷贝到这块内存。 2,修改pe头的导入偏移,使其指向新导入。 经
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
导入
dre4merp
05-16 695
一个PE文件的导入,简单说的说就是存放了其所调用的函数的地址和相关信息。 数据目录的第1项(从0开始)就存放了导入 导入的结构 struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; } DUMMYUNIONNAME; DWORD TimeDateStamp; DWORD
易语言DLL注入修改输入模块.rar
02-23
易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar 易语言DLL注入修改输入模块.rar
易语言实现DLL注入 与 隐藏源码.zip
01-22
在易语言中,可以利用API调用来实现DLL注入。通常步骤包括: - 编写DLL:首先创建一个包含所需功能的DLL,比如添加或修改目标进程的行为。 - 获取进程句柄:使用`OpenProcess` API函数获取目标进程的句柄。 - ...
输出pe文件(dll、exe等)依赖的dll导入、实验代码
why_are_you_so的博客
03-25 386
DOS头,NT头,节以及具体节DOS头结构体:IMAGE_DOS_HEADER,其中e_lfanew指明了NT头位置,相关结构体都能在 winnt.h 看到。NT头结构体:IMAGE_NT_HEADERS32关注中的ImageBase及成员ImageBase:映象(加载到内存中的PE文件)的基地址,这个基地址是建议,对于DLL来说,如果无法加载到这个地址,系统会自动为其选择地址。一些指令的操作数跟此地址在同一个地址空间。:一个IMAGE_DATA_DIRECTORY数组,指向了导入,导出
PE 通过导入注入 Dll
多一份贡献,多一份环保
08-17 973
导入注入,当程序被加载时,系统会根据程序导入信息来加载需要用到的dll导入注入的原理就是修改程序的导入,将自己的dll添加到程序的导入中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
setdll用于重建导入
08-07
重建导入 静态注入DLL
PE输入DLL注入
08-25 516
PE输入DLL注入
注入技术——修改输入完成DLL注入
不忘初心,护天下安全!
05-09 1890
参考自《加密与解密》(第4版)第12章 注入技术 实验环境:Windows XP SP2 家庭版 实验素材:作者提供的MsgDLL.dll。此处的待注入DLL使用消息弹框来证明自己注入成功,实际中可以进行各种可怕又邪恶的动作。 修改对象:系统自带记事本 修改目标:记事本启动后,自动加载MsgDLL.dll DLL文件代码细节省略,通过使用MessageBox函数来显示消息框,仅此而已。关于...
Dll注入修改PE文件 IAT注入
a815064247的博客
04-03 1266
PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入复制到新节中,并添加自己的导入描述符,最后将数据目录项中指向的导入的入口指向新节。步骤:1.添加一个新节;映射PE文件,判断是否可以加一个新节,找到节的尾部,矫正偏移,对齐RVA填充新节PIMAGE_SECTION_HEADER修改IMAGE_NT_HEADERS,将新节添加到文件尾部 ...
[分析]detours 通过修改输入注入DLL -- UpdateImports 函数的分析
04-18 3754
前段时间有一个需求,就是在进程启动的第一时间实现dll注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
DLL 注入的三种方法详解
weixin_51409218的博客
02-27 4032
DLL注入的三种方式
滴水逆向三期实践17:导入注入
Rivival_S 的博客
11-10 2561
在动态链接库一章提到DllMain,这里再回顾一次 当dll被加载进4GB空间时,会调用一次DllMain(入口方法) 当程序执行完了要把dll从4GB空间被卸载,也会调用一次DllMain 注入的本质就是想方设法把自己的dll扔到别人进程的4GB空间里 而前面导入一章在最后提到,只有在PE文件内隐式调用(静态使用)时才会在调用者PE文件的导入内出现该 dll 的名字和相关函数,若为显示调用(动态使用),则这个被调用的dll名和相关函数不会在调用者导入内出现。 那么反过来也就是说,写
PE文件学习笔记(五):导入、IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
安全课程设计DLL注入设计
毕业作品网站
01-12 498
C:\Users\22057\Documents\Study\Class\GameSecurity\《校企合作课》-客户端-FlappyBird\FlappyBird_Data\Mono\EmbedRuntime\mono_original.dll。C:\Users\22057\Documents\Study\Class\GameSecurity\《校企合作课》-客户端-FlappyBird\FlappyBird_Data\Mono\EmbedRuntime\mono.dll。2、 DLL 劫持注入 2。
dll注入和api拦截
最新发布
02-01
DLL注入可以通过多种方式实现,比如使用LoadLibrary()函数来加载DLL修改目标程序的导入等。通常情况下,DLL注入需要在目标程序启动之后才能进行,并且需要有足够的权限才能进行注入。 API拦截是一种通过修改或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值