pluginL的博客

上节课老师讲错了属性是最后两位，0xfffffffc，而且从句柄表中取出来的值也要位运算才能用。

通过PsLookupProcessByProcessId查询PID=4的进程获得eprocess，再通过偏移量遍历链表对比断链。

流程很简单，但是需要熟悉下。

先获取_KPCR->_KPRCB->_KTHREAD->ServiceTable。然后需要关闭写保护->修改函数->开启写保护。替换的函数注意堆栈平衡。

调用过程重点为 KernelBase->ntdll，kernelbase中做了数据的处理，函数名字为NtOpenProcess，ntdll中则选择服务号进入0环，我们可以逆向NtOpenProcess分析具体用了什么参数。

无论是PDEPTE还是PTE还是PDE在虚拟地址内都有一张线性的表里面存的PTEPDE都是PTE所以说，我们只需要改1024*1024个PTE的属性就行了，属性要改US位和G位才可以实现用户权限访问。

函数地址是一个跳转点，所以就非常适合我们写hook，hook回去的函数就不写了，那也太无聊了，怎么hook来怎么写回去就行了。这里的实验用到了vs的编译特性。

没什么好研究的，课上讲的问题原因是，IAT是管理虚拟4gb内函数的地址，messagebox就在其中，调用了就会无限循环递归，造成线程卡死。

第一个跳转这个，没写好，如果你的导入表dll依赖其他dll，那么你就需要递归，但我怎么也写不出来，那个递归莫名其妙的有个死循环，一直重复包含。后面贴了IAT修复函数，里面有写一个坑，修复IAT的时候注意对着INT修改成IAT，因为后面那个程序的IAT是已经被修过的了，没有储存数据。

获取PID懒得搞了，无非就是多调用几个API，我是直接看任务栏管理器直接写的哈哈。

还有就是滴水给出的细节没给全，因为我的试验是，两个软件如果文件对齐，内存对齐是一样的就能运行，否则不行。我试了两组例子，一组1000 10000，一组1000 200，一样就能够运行，不一样就不行。该踩的坑有，ASLR基址，大意就是不能修改imagebase不然后系统一检测到就报c0000005，所以大多数软件都不需要修复重定位表，大部分imagebase都是0x400000。我猜测是因为上下文里还有需要修改的东西。总之是一项过时的技术，体验思路就行，没必要抓着这些细枝末节刨根问底。

因为我不想写gui所以用的控制台写的，不过可能写的有问题，因为后面的线程顺序不会改变，永远是线程1->2->3->4，也可能是我的cpu执行太快了，因为之前上课测试的两条线程不用临界体10000次全局变量数据会有误差，而我试了一下我的开了20条线程跑不用临界体也不会有误差。

下载图标则是在上面解析的基础上做一个判断ID?=3，是的话就是全部从fileBuffer转化成文件，转化名字可能要用点字符串处理函数。我选择使用两个for循环遍历出所有的具体项，说复杂也不算。改名字就没去做了，反复造轮子而已。资源类型->编号->具体项。

【代码】汇编学习之 repne scasb。

感觉实现一个判断是否为字符串太复杂了，所以因地制宜不如直接判断这个数字是否在合理的范围内，这个范围不可能为字符串指针，正常情况也不能有比这个更大的序号。与其他人的导入表注入没什么区别，但是多加了一个判断是否为序号寻找，还是名字寻找。

没什么难度，不过我找测试的dll太太费劲了，一般用这个提升启动速度的都是老东西了，我翻了半天才翻出来1998的老宝贝才翻出来带有ref的绑定导出表。不过值得一提的是ref表里有一个保留位，我觉得那是一个跟绑定导入表对齐，方便计算所以故意留的保留位，如果要解析小表只用绑定导入表的指针+1就行了。

打印这个表比较简单，看图说话水准。

要写这几个函数会频繁用到FOA转VA。

【代码】打印重定位表。

【代码】打印导出表，还有两个莫名其妙的函数。