入口点为0的程序

最新推荐文章于 2022-10-30 14:27:00 发布
最新推荐文章于 2022-10-30 14:27:00 发布
阅读量2.5k 收藏 5
点赞数 1
分类专栏: 外挂

前几天群里有人给了个病毒样本

拿来一看很奇怪,是个exe文件,但入口点显示却是0

用OD加载后会提示出错:

 

之后问了一下同事,大概了解了一下原理:

Windows系统加载PE文件后,会通过PE文件的特定结构读取各种信息。

而该PE文件的各种信息都是完整的,可以正常被读取。

      相关的PE结构捡主要的在这里大概说一下:

      文件开始是一个IMAGE_DOS_HEADER的结构,以数据0x4D5A(ASCII字符为"MZ")开头的e_magic元素。从该结构体开头开始计算偏移量0x3c处为一个DWORD值——被称为e_lfanew,该值为IMAGE_NT_HEADER结构体(即俗称的PE头)的偏移量。PE头分三部分:第一部分是一个名为Signature的字段,固定为0x4550(ASCII字符为"PE");第二部分从PE头开始偏移0x4,名为FileHeader的结构;第三部分从PE头开始偏移0x18,名为OptionalHeader。这个OptionalHeader中的AddressOfEntryPoint与ImageBase两元素之和即是PE文件被加载到内存中运行时,正式开始执行功能的代码起始点。

该文件的AddressOfEntryPoint为0,而ImageBase为400000.

那么尝试在OD下用Ctrl+G查找该地址:

 

可见固定的e_magic元素被识别为了汇编指令dec ebp和pop edx

而后面的8个字节则是被人为修改的。

push edx是为了恢复前面"字符Z"被误认为是指令所造成的出栈操作

而后jmp到自己的修改过的一段代码处:

在运行到这个retn指令后,栈中出现的才是原本的程序入口点:

执行retn之后,程序会自动运行到这个入口点(本身还有一层UPX加壳):

 

总结一下:

其实就是将程序原本的入口点(AddressOfEntryPoint)修改为0,这样在加载PE文件的时候就会从文件的DOS头开始作为二进制指令开始执行。只要固定的e_magic不动就不会影响整体的PE结构识别,这样修改之后的几个字节,来实现向程序原本入口点的直接或间接跳转。

 

用以下代码可以轻松实现任意一个PE文件的修改(跳转方法没有用jmp,比较麻烦。采用了push+retn的方法,很直接):

[cpp]  view plain copy
  1. VOID ChangeExeOEP( PVOID pBuffer)  
  2. {  
  3.     /*将文件映射到内存,通过内存中的句柄获取文件DOS头*/  
  4.     PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBuffer;  
  5.     /*通过DOS头获取PE头*/  
  6.     PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew + (DWORD)pBuffer);  
  7.     /*通过PE头中OptionalHeader结构中的AddressOfEntryPoint和ImageBase相加获取程序入口点*/  
  8.     DWORD dwOEP = pNtHeader->OptionalHeader.AddressOfEntryPoint + pNtHeader->OptionalHeader.ImageBase;  
  9.     /*初始化跳转数组,其中0x52和0x45分别为push edx指令和inc ebp,作用前面解释过。 
  10.     0x68为push指令,后面四个0x00为预留的原始入口点地址,0xC3为retn指令*/  
  11.     BYTE JmpArray[] = {0x4D,0x5A,0x52,0x45,0x68,0x00,0x00,0x00,0x00,0xC3};  
  12.     /*数组的第五位起填入之前预留的原始入口点地址*/  
  13.     *(DWORD*)(JmpArray + 5) = dwOEP;  
  14.     memcpy( pBuffer,JmpArray,10 );  
  15.     /*将AddressOfEntryPoint元素置零*/  
  16.     pNtHeader->OptionalHeader.AddressOfEntryPoint = 0;  
  17. }  

用该方法修改notepad.exe,以下是修改前和修改后的notepad.exe的对比。仅此两处修改,其余均未变:

修改之后notepad照常运行,而入口点却是0了:

 

就先写到这了,权当学习记录了。

laogaoAV
关注
专栏目录
程序入口代码
10-19
在 Delphi 中,程序入口通常为 `begin` 和 `end.` 之间的代码块。而在给定的代码片段中,我们看到了一个汇编语言版本的入口: ```assembly PUSHEBP MOVEBP, ESP ADDESP, -14 PUSHEBP PUSHESI PUSHEDI OREAX, ...
PE文件(三)节表
最新发布
2301_78838647的博客
04-26 1069
Name数组的长度最大为8字节,如果定义节的名称为.text,由于.text对应的ASCII码分别为0x2E, 0x74, 0x65, 0x78,0x74,所以Name数组中的数据为2E 74 65 78 74 00 00 00,一共8字节。所有的节表一起记录了该.exe文件中所有的节的信息,每一个节都有对应的节表来存储信息,所有的节对应的节表组合在一起就构成了PE文件的节表结构。内存中的地址:节表在4GB内存中的地址要加上imagebase的值,才是节表真正在内存中的起始地址。
PE DOS头
weixin_52971884的博客
05-03 816
DOS头,PE文件的开始 DOS头是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode.还有一个目的,就是指明NT头在文件中的位置。NT头包含windows PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件头(IMAGE_FILE_HEADER)和PE可选头(IMAGE_OPTIONAL_HEADER32),头部的详细结构以及其具体意义在PE文件头文章中详细描述。 节表
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2149
什么是PE文件? PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
小白白红队初成长(7)win权限提升
划水的小白白
05-07 6783
1、前言 1.1、一些补充 2、Potato家族 2.1、补充 2.2、利用前提(条件) 2.3、简述JuicyPotato原理 2.4、利用过程 3、系统错误配置提权-AlwaysInstallElevated 3.1、漏洞原理 3.2、验证目标机器是否存在漏洞 3.3、搭建漏洞环境(激活AlwaysInstallElevated) 3.3.1、第一种方法 3.3.2、第二种方法 3.4、提权测试 4、令牌窃取 什么是令牌? “令牌窃取”使用场景 知识补充 实际测试 其他补充 5、内核提权 5.1、寻找
ELF文件格式-笔记
人饭子的博客
10-30 448
ELF 在进行逆向工程的开端,我们拿到 ELF 文件,或者是 PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。 ELF文件的格式 目前流行的可执行文件格式(Executable)主要就是 Windows 下的 PE(Portable Executable)和 Linux 的 ELF(Executable Linkble Format),都是 COFF(Common File f...
C语言程序中的中断入口
02-03
程序中断汇编入口ext_usar.s(hanzhaowei).INCLUDE"../../periph/aic/irq.mac"#------------------------------------------------------------------------------#-功能:外部中断0中断服务程序#-调用程序:at91_IRQ0_...
Xshell应用程序无法正常启动0xc000007b
12-07
Xshell应用程序无法正常启动0xc000007b
微信小程序商城项目之淘宝分类入口(2)
08-30
在微信小程序开发中,构建一个类似淘宝的分类入口是提高用户体验和吸引用户的重要步骤。本篇文章将详细解析如何实现这样一个功能。首先,我们要明白分类入口是商城应用中必不可少的组件,它通常展示商品的主要类别,...
5种常用程序入口特征
09-15
在C++语言中,程序入口通常为`main`函数。对于Microsoft Visual C++ 6.0而言,其入口代码特征可以通过汇编代码来识别。例如: ``` 00405777: 55 push ebp 0040577D: 8bec mov ebp, esp 0040577F: 6aff push -1 ...
汇编入口 汇编 入口 函数汇编 入口 函数
07-09
汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数汇编 入口 函数
程序员的自我修养(四)目标文件格式
qq_36308972的博客
05-02 344
//2019.5.2 PC平台流行的可执行文件存储格式: Windows:PE Linux:ELF 可执行文件(Windows的.exe和Linux的ELF可执行文件)、动态链接库(Windows的.dll和Linux的.so)、静态链接库(Windows的.lib和Linux的.a)都是按照可执行文件格式存储 在Windows平台下,按照PE-COFF格式存储 在Linux平台下,按照ELF格式...
木马生成技术详解
08-08 884
 有些木马在解压缩之后只会有一个客户端程序,用户可以通过在客户端的一些设置工作来自动生成针对性比较强的服务端程序,例如特定的端口、击键木马的邮件地址、密码、SMTP服务器等等。在本文中,我将简要地探讨这一技术的实现。    从“生成”的这个事实来看,我们可以猜想客户端程序可能本身绑有一段自定义的二进制数据,这段二进制数据实质上就是一个服务端的模板。在用户进行了设置工作之后,客户端就会将设置
PE头结构说明及C语言解析
qq_35289660的博客
05-11 1829
PE头结构说明及C语言解析 文章目录PE头结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头(PE_FIEL_HEADER)PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE头文件 0.说明 看滴水初期视频PE部分的笔记 1.PE的整个结构 2.PE结构详解 我这里只没有写数据项,因为还不怎么会0.0 有些数据也没写,因为现阶段还没用 DOS头 WORD e_magic *
rgb565和rgb555的文件头区别_Windows可执行文件格式
weixin_39653311的博客
12-11 452
前言下文提及的相关数据结构,代码片段均为64位环境,32位环境会加以标注. PE文件PE(即PortableExecutable)表示可移植的可执行文件,是Windows平台原生的可执行代码载体(此处要区别于NET的IL,JAVA的字节码等),Windows平台所有可以被加载执行的文件都遵从PE文件格式。注:在linux平台下的可执行文件都遵从ELF文件格式,PE与ELF文件格式都...
mysql udf 一次渗透测试
whatday的专栏
10-29 389
最近,我对某金融机构做渗透时发现他们拥有自己的内网,并且后端使用的是MySQL 5.7 64-bit。根据以往的经验,我的合作伙伴大多都使用的是MSSQL,因此在我看来这是一个非常罕见的场景。我在web应用中发现了SQL注入漏洞,使我可以从mysql.user dump用户名和密码,并且我还发现我的当前权限允许我将文件写入到磁盘。这也是促使我写这篇文章的原因,希望向大家分享关于在Windows下U...
遍历PE文件头、扩展头、数据目录表、区段表信息
cyxvc
11-18 2966
遍历PE文件头、扩展头、数据目录表、区段表信息
PE结构-节
小喇叭儿滴滴的吹
02-12 516
首先,节的话有两部分,一部分是节表,另外一部分就是节区了,节表是用于描述节区信息的,而节区呢,简单说就是数据块。 在上一篇博客中有提及过如何定位节表,重就是需要根据选项头的大小来定位,这里的话就直接上一代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos头 if (pDosHeader ==...
JVM指令集及各指令的详细使用说明
cooldatabase
03-29 172
指令码 助记符 说明 0x00 nop 什么都不做 0x01 aconst_null 将null推送至栈顶 0x02 iconst_m1 将int型-1推送至栈顶 0x03 iconst_0 将int型0推送至栈顶 0x04 iconst_1 将int型1推送至栈顶 0x05 iconst_2 将int型2推送至栈顶 0x06 iconst_3 将int型3推送至栈...
程序OEP入口识别特征分析
"本文主要探讨了程序的OEP(Original Entry Point,原始入口)的特征,OEP是PE(Portable Executable)文件在反汇编和逆向工程中的一个重要概念。不同编程语言如Delphi、VC++以及BC++创建的程序,其OEP的特征各有...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值