DLL注入-静态修改PE表

最新推荐文章于 2023-08-25 10:19:10 发布
最新推荐文章于 2023-08-25 10:19:10 发布
阅读量919 收藏 4
点赞数 1
文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52164435/article/details/129540585
版权
本文介绍了如何通过修改PE文件的输入表结构来实现DLL注入,具体操作包括扩展最后一个节以存放新构造的IID,复制原IID,构造OriginalFirstThunk、FirstThunk和Name等数据,并更新PE文件头中的输入表位置。通过这些步骤,成功将MsgDLL.dll注入到WinXP的记事本程序中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文在书籍《加密解密 第四版》指导下编写

一、实验准备
winXP的记事本,一个MsgDLL.dll文件,其中导出一个函数Msg()
代码如下:

BOOL APIENTRY DllMain(HANDLE hModule,DWORD ul_reason_for_call, LPVOID lpReserved)
{
	if(ul_reason_for_call == DLL_PROCESS_ATTACH)
	{
		CreateThread(NULL,0,ThreadShow,NULL,0,NULL);
	}
	return TRUE;
}

DWOED WINAPI ThreadShow(LPVOID lpParameter)
{
	char szPath[MAX_PATH] = {0};
	char szBUF[1024] = {0};
	GetModuleFileName(NULL,szPath,MAX_PATH);
	sprintf(szBuf,"DLL 已注入到进程 %s [Pid = %d]\n",szPath,GetCurrentProcessId())
	MessageBox(NULL,szBuf,"DLL Inject",MB_OK);
	printf("%s",szBuf);
	OutputDeBugString(szBuf);
	retuern 0;
}

首先要知道,我们要完成的操作是通过修改PE结构来完成注入dll,PE中有关于模块导入的是输入表结构,而输入表是一个IID数组,那么想要将我们的dll导入到程序中就需要将一个我们构造的IID结构写入这个数组中,此时需要考虑我们新写入的IID结构大小,假设原IID大小为old,那么显然,由于只导入了一个函数,我们新的IID结构大小newIIDSize = Old+ sizeof(IMAGE_IMPORT_DESCRIPTOR)。

记事本的程序基本信息如下

ImportAddress RVASizenewIIDSizeFileAlignmentSectionAlignment
0x76040xc80xc8 + 0x14 = 0xdc0x2000x1000

其中ImportAddress RVA是输入表的RVA(相对虚拟地址),size是输入表的大小。FileAlignment和SectionAlignment分别是文件对齐粒度和内存对齐粒度。这些值可以在PE工具中快速查看,例如StudyPE:

image.png
二、实践开始
首先我们需要找一块地址可以将新构造的结构写入,这里选择的是直接扩充最后一个节,按照文件对齐粒度为.rsrc节增加0x200字节,注意,增加后还需要修改PE文件头中该节的大小,可通过PE工具快速修改。然后将原IID数组拷贝到这里,原IID数组的文件偏移是0x6a04(RVA - 0x1000 + 0x400),大小为0xc8。修改完后效果如下:

image.png

然后我们开始构造新IID的originalFirstThunk、FirstThunk指向的数据和Name结构,由于前两个大小固定,比较容易对齐,所以我们可以先构造这两个Thunk,为了节省空间,我们将这些数据放在原IID的位置,当然放在新构造的200个字节里也是可以的。
两个Thunk结构大小都是4字节+4字节全0结束标记,所以新填入的数据空间安排如下

+00h    OriginalFirstThunk
+04h    全0结束标记
+08h    FirstThunk
+0ch    全0结束标记
+10h    Name --"MsgDll.dll"
+1ah    全0字符串结束标记
+1ch    IMPORT_BY_NAME-> hint
+1eh    IMPORT_BY_NAME-> Name

在PE文件被加载前指向的都是IMPORT_BY_NAME数组,该结构的RawOffset = 0x6a04 + 0x1c = 0x6a20,RVA = 0x6a20 - 0x400 + 0x1000 = 0x7614 。所以我们填入的各个数据如下:

偏移
+00hOriginalFirstThunk0x7620
+04h全0结束标记0x0000
+08hFirstThunk0x7620
+0ch全0结束标记0x0000
+10hName --“MsgDll.dll”4d 73 67 44 6c 6c 2e 64 6c 6c
+1ah全0字符串结束标记0x0000
+1chIMPORT_BY_NAME-> hint0x00
+1ehIMPORT_BY_NAME-> Name4d 73 67

将以上各值填入原IID位置,填写的时候需要注意字节序是小端序,填写结果如下
image.png

然后我们开始填写我们新构建的IID结构
其中需要填写的有三个字段,分别是OriginalFirstThunk RVA 、Name RVA 以及FirstThunk RVA

OriginalFirstThunk RVA = RawOffset(0x6a04) - 0x400 + 0x1000 = 0x7604
Name RVA = RawOffset(0x6a14) - 0x400 + 0x1000 = 0x7614
FirstThunk RVA = RawOffset(0x6a0c) - 0x400 + 0x1000 = 0x760c

其余TimeDateStamp和FOrwarderChain字段填0即可,将以上数据填入得到:
image.png

接下来就进入了最后一步,修改PE文件头中指向输入表的位置为我们新构造的表的位置,另外因为PE在加载过程中FIrstThunk会被填充为真正的输入函数地址,所以该区段需要是可写的,原节属性为0x60000020,将其加上可写属性的0x80000000得到0xE0000020 。
修改PE头指向输入表的位置可以通过PE工具快速修改,值应改为我们新添加的节的RVA,该值等于0x10400 - 0x400 + 0x1000 * 3 =0x13000。
节属性也可通过PE工具修改
当我们全部修改完成后,查看导入表,结果如下:
image.png
双击运行notepad发现弹窗出现,dll已经成功注入。
image.png

parafish_0
关注
DLL注入_修改导入(1)
余韵
11-09 1505
PE文件分析 (一) 替换DLL函数 通过修改PE文件导入导出来更改函数。单纯分析PE文件是一件比较无聊的事,通过修改可以更加灵活的利用和理解PE文件。这就像生活一样,总要有一些特别的事,才能更加有灵感。学习本身就是生活的一部分,如何让程序更加灵活,是一个比较值得去实践的事,可以更加接近计算机的一些思想。 (二) 环境 VC++ 6.0 为了减少复杂度,用VC++ 6.0编译sum.cpp su...
手动进行dll静态注入
qq_38184895的博客
04-29 3110
大概思路是这样的:要注入一个dll文件,也就是需要修改输入的中的IMPORT Directory Table结构,需要增加一个对应的结构体和该结构对应的IMAGE_IMPORT_DESCRIPTO和对输入的size进行修改。所以我们只需要在原先的结构体数组后面增加对应的就够就行了,但是有时候往往在这些数据之后存在其他的数据,我们进行添加会对其进行覆盖,这是我们不想看到的。因此我们可选择考虑将整...
第四课 通过修改PE加载DLL
xuenixiang.com
08-05 2241
下面通过实例来讲解 下面分析myhack3.dll的源码 首先看一下全部源码 #include "stdio.h" #include "windows.h" #include "shlobj.h" #include "Wininet.h" #include "tchar.h" #pragma comment(lib, "Wininet.lib"
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
修改PE加载dll
擦掉汗、微笑的博客
04-16 3199
创建远程线程(CreateRemoteThread()API),使用注册(AppInit_Dlls),消息勾取(SetWindowsHookEx()API)等Dll注入都是动态注入,也就是程序本身并不加载待注入Dll。通过修改exe的格式,我们可以实现静态注入,也就是对程序的机器字节进行修改,使程序运行时自动加载dll。 下面我们就来详细的介绍一下这种方法。exe,dll等文件统称为可执行文
[DLL注入的方法]静态修改PE输入
diheqiu3577的博客
09-02 896
1.三种DLL加载时机: 进程创建加载输入中的DLL静态输入) 通过调用LoadLibrary主动加载(动态加载) 系统预设加载   通过干预输入处理过程加载目标dll 1.静态修改PE输入法(测试程序 Notepad.exe) 准备工作:自行编写一个MsgDLL,到处一个函数Msg(); #include "stdafx.h" BOOL...
PE输入DLL注入
最新发布
08-25 641
PE输入DLL注入
PE文件本地DLL注入实现
flukeshen的博客
10-25 2334
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
静态修改PE输入注入DLL的检测方法研究.docx
12-15
通过理解和分析这些结构,可以有效地检测静态修改输入DLL注入行为。 总的来说,本文的研究深化了对DLL注入检测的理解,提出的新方法有助于防御和应对日益复杂的恶意软件攻击,提高了系统的安全性和稳定性。通过...
java安卓辅助源码-injection-stuff:PE注入DLL注入、进程注入、线程注入、代码注入、Shellcode注入、ELF注入
06-04
PE注入DLL注入、进程注入、线程注入、代码注入、Shellcode注入、ELF注入、Dylib注入,当前包括400+工具和350+文章,根据功能进行了粗糙的分类 目录 -> -> -> -> -> -> -> -> -> PE注入 工具 [535星][20d] [C] ...
pe读取器 读取各项文件可以修改pe注入
05-06
读取pe文件各部分信息。准确度和loader一样
一个很好用的dll注入工具
05-19
一个很好用的dll注入工具有代码调试通过,非常好用,是从外国网站上下载的。
进程创建期修改PE输入注入
playmaker的博客
03-29 469
进程创建期修改PE输入注入 程序定义 CImage类 内部包含了一些有关PE结构的变量和一些函数函数列如下 findImagebase() AttachToProcess() InitializePEHeaders() AddNewSectionToMemory() LocateSectionByRVA() ALIGN_SIZE_UPALIGN_SIZE_UP(Size,Alignment...
PE文件中注入dll
B01814124的博客
08-20 588
0.前提 1.修改导入的RVA值 84CC —— 8C80 0064 —— 0078 ;增加了新导入的dll, IID结构体大小 2.删除绑定导入 修改其值为0即可 3.创建新的IDT 将76CC-76EF复写到7E80 在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据 00 8D 00 00 00 00 00 00 10 8D 00 00 20 8D 00 00 (8D00–7F00 导入名称 函数名称地址 8D10–7F10 名称 dll名称
修改PE文件引入实现加载DLL
威化饼的一隅
04-08 3461
文章目录内容简介DLL结构DLL的编译链接(VS命令行中)DLL的加载使用的DLL源代码PE文件关键结构MZ头NT映像头可选头部引入IDT、INT、IAT关系代码实现思路关键数据结构节IDT项验证结果 内容简介 编写Func.dll,并编写一个EXE程序,该程序能够加载Func.dll,并调用Func.dll中的导出函数,在加载Func.dll的时候,会弹出计算器calc.exe。 使用PE...
通过修改PE文件的方式导入DLL(包含详细操作流程)
fanxiaoyao1的博客
06-20 1702
我们需要修改IDT,增加一条我们字节DLL文件的IID以达到导入的目的。在NT头下IMAGE_DATA_DIRECTORY_ARRAY结构体,找到导入,导入第一个参数的值便为IDT的RVA RVA是程序的相对虚拟地址,我们要想在文件中精确定位IDT,必须要把RVA转位RAW,在上图中也叫FOA(文件偏移,文件中某个位置距离文件头的偏移),具体的计算公式:84CCh属于.rdata节区,VirtualAddress 和PointerToRawData可从节区头中获取。 VirtualAddress 是指
Dll注入--修改PE文件头
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入 可以找到导入,而导入就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
PE格式: 新建节并插入DLL
CSDN
07-26 5643
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
通过修改PE加载DLL
qq_39249347的博客
08-24 1467
练习文件 直接修改TextView.exe文件,使其在运行时自动加载myhack3.dll文件。 TextView.exe是一个非常简单的文本查看程序,只要用鼠标将要查看的文本文件(myhack3.cpp)拖动到其中,即可通过它查看文本文件的内容。 使用PEView工具查看TextView.exe可执行文件的IDT(import Directory Table,导入目录),TexeView.exe中直接导入的DLL文件为KERNEL32.dll、USER32.dll、GDI32.dll、SHELL32
ASM病毒技术全面解析:SEH、DLL感染与PE教程
可移植可执行文件教程涵盖了PE文件格式的细节,包括文件头结构、节、导入和导出等内容。这为病毒制作者提供了修改正常程序以注入恶意代码的指导。 - EPO hidden: 入口点隐藏技术用于隐藏病毒代码,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值