PE学习(六)第六章 栈与重定位表 实例栈溢出、模拟加载器加载DLL、遍历重定位表

最新推荐文章于 2022-10-09 10:51:40 发布
最新推荐文章于 2022-10-09 10:51:40 发布
阅读量664 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pomelozero/article/details/44598863
版权

第六章 栈与重定位表
16bit OS 存在长调用 lcall push cs,ip    相应的iret pop ip, cs  而call/ret only focus ip register
32bit OS 因为32寄存器可以访问4G空间,可以长短调用被忽略,只关注eip

实模式:段地址+程序偏移地址  SS::SP= SS<<16+SP
保护模式:段选择子+程序偏移地址 原来的段寄存器称为段选择子,指向是 GDT/LDT(全局描述符表/局部描述符表)

call 0xXXXXXXXX   ;//push 后面的返回地址  再 jump 0xXXXXXXXX

push ebp
mov ebp,esp  ;//这两句是masm32中伪关键字proc,和C中的函数一样,翻译为汇编时自动会加上这两行还有leave
...
leave 等价 mov esp,ebp pop ebp
上面这3行是 编译器为proc做的

ret  ;//pop eip

//当只有一个要访问.text段中的数据时,需要设置段属性
C:\testmasm\example\666>ml /coff HelloWorld1.asm /link -subsystem:windows -section:.text,ERW

window加载器发现IMAGE_OPTIONAL_HEADER32.ImageBase被占用时,会根据重定位表修改所有的重定位信息

//栈溢出导致部分代码未执行
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib

;数据段
    .data
szTextHelloWord     db  'HelloWorld',0
szTextOverData		 db  'Test overwrite ret address to simulate stack overflow!',0
szShellCode				db	'oneArg',0

;代码段
    .code
_overWrite proc _lpSrc
	;_lpSrc,retAddress,ebp
	pushad
	mov [ebp+4],offset someAddress
	popad
	ret
_overWrite endp

start:
    invoke _overWrite,addr szShellCode
    invoke MessageBox,NULL,offset szTextHelloWord,NULL,MB_OK
someAddress:
    invoke MessageBox,NULL,offset szTextOverData,NULL,MB_OK
    invoke ExitProcess,NULL
end start


 

//no_exist_import_realloc_data.asm
;------------------------
; 无导入表、无数据段、无重定位信息的HelloWorld
; 戚利
; 2010.6.27
;------------------------
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc

;声明函数
_QLGetProcAddress typedef proto :dword,:dword   
;声明函数引用   
_ApiGetProcAddress  typedef ptr _QLGetProcAddress  

_QLLoadLib        typedef proto :dword
_ApiLoadLib       typedef ptr _QLLoadLib

_QLMessageBoxA    typedef proto :dword,:dword,:dword,:dword
_ApiMessageBoxA   typedef ptr _QLMessageBoxA


;代码段
    .code


szText         db  'HelloWorldPE',0
szGetProcAddr  db  'GetProcAddress',0
szLoadLib      db  'LoadLibraryA',0
szMessageBox   db  'MessageBoxA',0

user32_DLL     db  'user32.dll',0,0

;定义函数
_getProcAddress _ApiGetProcAddress  ?             
_loadLibrary    _ApiLoadLib         ?
_messageBox     _ApiMessageBoxA     ?


hKernel32Base   dd  ?
hUser32Base     dd  ?
lpGetProcAddr   dd  ?
lpLoadLib       dd  ?


;------------------------------------
; 根据kernel32.dll中的一个地址获取它的基地址
;------------------------------------
_getKernelBase  proc _dwKernelRetAddress
   local @dwRet

   pushad

   mov @dwRet,0
   
   mov edi,_dwKernelRetAddress
   and edi,0ffff0000h  ;查找指令所在页的边界,以1000h对齐

   .repeat
     ;找到kernel32.dll的dos头
     .if word ptr [edi]==IMAGE_DOS_SIGNATURE  
        mov esi,edi
        add esi,[esi+003ch]
        ;找到kernel32.dll的PE头标识
        .if word ptr [esi]==IMAGE_NT_SIGNATURE 
          mov @dwRet,edi
          .break
        .endif
     .endif
     sub edi,010000h
     .break .if edi<070000000h
   .until FALSE
   popad
   mov eax,@dwRet
   ret
_getKernelBase  endp   

;-------------------------------
; 获取指定字符串的API函数的调用地址
; 入口参数:_hModule为动态链接库的基址
;           _lpApi为API函数名的首址
; 出口参数:eax为函数在虚拟地址空间中的真实地址
;-------------------------------
_getApi proc _hModule,_lpApi
   local @ret
   local @dwLen

   pushad
   mov @ret,0
   ;计算API字符串的长度,含最后的零
   mov edi,_lpApi
   mov ecx,-1
   xor al,al
   cld
   repnz scasb
   mov ecx,edi
   sub ecx,_lpApi
   mov @dwLen,ecx

   ;从pe文件头的数据目录获取导出表地址
   mov esi,_hModule
   add esi,[esi+3ch]
   assume esi:ptr IMAGE_NT_HEADERS
   mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
   add esi,_hModule
   assume esi:ptr IMAGE_EXPORT_DIRECTORY

   ;查找符合名称的导出函数名
   mov ebx,[esi].AddressOfNames
   add ebx,_hModule
   xor edx,edx
   .repeat
     push esi
     mov edi,[ebx]
     add edi,_hModule
     mov esi,_lpApi
     mov ecx,@dwLen
     repz cmpsb
     .if ZERO?
       pop esi
       jmp @F
     .endif
     pop esi
     add ebx,4
     inc edx
   .until edx>=[esi].NumberOfNames
   jmp _ret
@@:
   ;通过API名称索引获取序号索引再获取地址索引
   sub ebx,[esi].AddressOfNames
   sub ebx,_hModule
   shr ebx,1
   add ebx,[esi].AddressOfNameOrdinals
   add ebx,_hModule
   movzx eax,word ptr [ebx]
   shl eax,2
   add eax,[esi].AddressOfFunctions
   add eax,_hModule
   
   ;从地址表得到导出函数的地址
   mov eax,[eax]
   add eax,_hModule
   mov @ret,eax

_ret:
   assume esi:nothing
   popad
   mov eax,@ret
   ret
_getApi endp


start:
    
    ;取当前函数的堆栈栈顶值
    mov eax,dword ptr [esp]
    push eax
    call @F   ; 免去重定位
@@:
    pop ebx
    sub ebx,offset @B

    pop eax
    ;获取kernel32.dll的基地址
    invoke _getKernelBase,eax
    mov [ebx+offset hKernel32Base],eax

    ;从基地址出发搜索GetProcAddress函数的首址
    mov eax,offset szGetProcAddr
    add eax,ebx

    mov edi,offset hKernel32Base
    mov ecx,[ebx+edi]


    invoke _getApi,ecx,eax
    mov [ebx+offset lpGetProcAddr],eax

    ;为函数引用赋值 GetProcAddress
    mov [ebx+offset _getProcAddress],eax   

    ;使用GetProcAddress函数的首址
    ;传入两个参数调用GetProcAddress函数,获得LoadLibraryA的首址
    mov eax,offset szLoadLib
    add eax,ebx
   
    mov edi,offset hKernel32Base
    mov ecx,[ebx+edi]
    
    mov edx,offset _getProcAddress
    add edx,ebx
    
    ;模仿调用 invoke GetProcAddress,hKernel32Base,addr szLoadLib
    push eax
    push ecx
    call dword ptr [edx]   

    mov [ebx+offset _loadLibrary],eax

    ;使用LoadLibrary获取user32.dll的基地址

    mov eax,offset user32_DLL
    add eax,ebx

    mov edi,offset _loadLibrary
    mov edx,[ebx+edi]
    
    push eax
    call edx   ; invoke LoadLibraryA,addr _loadLibrary

    mov [ebx+offset hUser32Base],eax

    ;使用GetProcAddress函数的首址,获得函数MessageBoxA的首址
    mov eax,offset szMessageBox
    add eax,ebx
   
    mov edi,offset hUser32Base
    mov ecx,[ebx+edi]
    
    mov edx,offset _getProcAddress
    add edx,ebx


    ;模仿调用 invoke GetProcAddress,hUser32Base,addr szMessageBox
    push eax
    push ecx
    call dword ptr [edx]   
    mov [ebx+offset _messageBox],eax

    ;调用函数MessageBoxA
    mov eax,offset szText
    add eax,ebx

    mov edx,offset _messageBox
    add edx,ebx

    ;模仿调用 invoke MessageBoxA,NULL,addr szText,NULL,MB_OK    
    push MB_OK
    push NULL
    push eax
    push NULL
    call dword ptr [edx]   

    ret
    end start


 

//遍历重定位表
;--------------------
; 获取PE文件的重定位信息
;--------------------
_getRelocInfo proc  _lpFile,_lpPeHead,_dwSize
  local @szBuffer[1024]:byte
  local @szSectionName[16]:byte

  pushad
  mov esi,_lpPeHead
  assume esi:ptr IMAGE_NT_HEADERS
  mov eax,[esi].OptionalHeader.DataDirectory[8*5].VirtualAddress
  .if !eax
    invoke _appendInfo,addr szMsgReloc4
    jmp _ret
  .endif
  push eax
  invoke _RVAToOffset,_lpFile,eax
  add eax,_lpFile
  mov esi,eax
  pop eax
  invoke _getRVASectionName,_lpFile,eax
  invoke wsprintf,addr @szBuffer,addr szMsgReloc1,eax
  invoke _appendInfo,addr @szBuffer
  assume esi:ptr IMAGE_BASE_RELOCATION
  ;循环处理每个重定位块
  .while [esi].VirtualAddress
    cld			;//set DF=0 向高地址步增
    lodsd   ;eax=[esi].VirtualAddress
    mov ebx,eax
    lodsd   ;eax=[esi].SizeofBlock
    sub eax,sizeof IMAGE_BASE_RELOCATION  ;块总长度-两个dd
    shr eax,1                             ;然后除以2,得到重定位项数量
                                          ;除以2是因为重定位项是word
    push eax
    invoke wsprintf,addr @szBuffer,addr szMsgReloc2,ebx,eax
    invoke _appendInfo,addr @szBuffer
    pop ecx                               ;重定位项数量
    xor edi,edi
    .repeat
      push ecx
      lodsw
      mov cx,ax
      and cx,0f000h    ;得到高四位
      .if cx==03000h   ;重定位地址指向的双字的32位都需要休正
        and ax,0fffh
        movzx eax,ax
        add eax,ebx    ;得到修正以前的偏移,该偏移加上装入时的基址就是绝对地址
      .else            ;该重定位项无意义,仅用来作为对齐
        mov eax,-1
      .endif
      invoke wsprintf,addr @szBuffer,addr szMsgReloc3,eax
      inc edi
      .if edi==8       ;每显示8个项目换行
        invoke lstrcat,addr @szBuffer,addr szCrLf
        xor edi,edi
      .endif
      invoke _appendInfo,addr @szBuffer
      pop ecx
    .untilcxz
    .if edi
      invoke _appendInfo,addr szCrLf
    .endif
  .endw
_ret:
  assume esi:nothing
  popad
  ret
_getRelocInfo endp


 

pomelozero
关注
专栏目录
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
操作系统中堆和的区别
热门推荐
04-04 1万+
我们都知道数据结构中也有堆的概念,但他们与操作系统中的不同。 (操作系统):由编译自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结构中的使用的是一级缓存, 他们通常都是被调用时处于存储空间中,调用完毕立即释放堆(操作系统): 一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收,分配方式倒是类似于链。堆则是存放在二级缓存中,生命周期由虚拟
Windows PE第6章 重定位
天使也掉毛
01-05 1650
第六章 重定位     本章主要介绍和代码重定位。站和重定位两者并没有必然的联系,但都和代码有关。描述的是代码运行过程中,操作系统为调度程序之间相互调用关系,或临时存放操作数而设置的一种数据结构。重定位则是在一个PE中的代码被加载到任意一个内存地址时,用来描述相关操作数地址变化规律的数据结构。通过重定位技术,代码运行在内存中的任意位置时,可以避免因操作数的定位错误而导致失败。 6
PE文件解析--重定位
qq_31125257的博客
12-22 547
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
加载PE文件——PE加载模拟
跃然实验室
06-10 2368
1、找到文件加载到内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、加载各个节。得到节数目,定位节,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
PE加载与反射式注入
qq_41861225的博客
02-01 906
一、PE加载PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载,其基本流程可以分为以下几点: 将PE文件从磁盘中读出 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0 将读取数据映射到内存中 修复导出导入入 修复重定位 跳转到PE入口点进行执行 相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注...
PE文件加载过程揭秘(2)
abcd8080的博客
07-08 208
2011年10月09日 星期日 16:23 转载自 cvvd 最终编辑 cvvd 图1 PE加载在完成文件实体数据到内存虚拟数据的映射之后,便开始从位于IMAGE_OPTION_HEADER末端的IMAGE_DATA_DIRECTORY数组的第2项(如图2),取出输入的RVA和大小,准备开始输入函数的初始化。输入的RVA实际上是指向一个以IMAGE_IM...
动态链接库的重定位节和重定位深度解析
重定位节(Relocation Section)是DLL文件的一个特殊节,用于存储在加载和链接过程中需要修改的地址偏移量信息。它记录了DLL中涉及到的符号(如函数、变量)的地址,以便在运行时进行重定位,使得DLL可以正
java虚拟机第三版学习
星月IWJ
10-09 890
java虚拟机第三版学习
pe-loader:Windows PE格式的文件加载
05-15
Windows可执行文件加载 这是Windows PE格式的文件加载应用程序,提供与OS内部可执行文件加载类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给加载的映像。 该项目是为教育目的而开发的。 用法 可以使用Visual Studio 2013/2015或MSBuild构建该项目。 编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1 局限性 大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像 根据官方PE格式文档进行图像验证 支持 影像记忆体对应 Craft.io信息修补 激活上下文 崔 API重定向(EAT修补) 图像重定位 IAT处理 T
WINDOWS+PE权威指南读书笔记(11)
沐一 · 林 的博客
10-29 220
目录 重定位 实现重定位的方法: 重定位编程: PE 文件头中的重定位重定位定位: 重定位项 IMAGE_BASE_RELOCATION: 重定位的结构: 遍历重定位重定位实例分析: 小结: 重定位 实现重定位的方法: 代码重定位的关键问题是代码中使用了大量的绝对地址。如果将这些绝对地址改成相对地址,那么重定位的问题也就很自然地解决了。 看下面的例子:(用相对偏移间接示全局变量) 以上代码对应的字节码为: 上述代码不存
重定位
weixin_43990313的博客
07-12 669
概述 数据目录项的第6个结构,就是重定位。 结构 重定位的结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个重定位由多个大小SizeOfB
PE文件学习笔记(三):导出(Export Table)解析
Apollon_krj的博客
08-17 6411
数据目录(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十个元素分别存储了不同信息,分别是:导入、导出、资源、异常信息、安全证书、重定位、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的有:导出、导入重定位、IA
[32位汇编系列]001- Hello World
Thinker's Blog
07-12 1412
对于windows程序员来说, 不会汇编, 永远只能是菜鸟, 虽然这句话说的很绝对, 但是事实却是如此。也许你不会汇编也能写出很漂亮的程序,但是,你不会对windows的编程有很深入的了解。windows是非开源操作系统,没有源代码可看,要想深入了解它,必须得会汇编,通过反汇编,来了解其中的机制。病毒、反毒、脱壳、破解、外挂、逆向等,这些牛叉的技术, 没有一样不用汇编的,所以,从今天起,我们一块步
C语言栈溢出 重定向返回地址 执行shellcode学习
顺炸天
12-31 617
REF: https://www.youtube.com/watch?v=1S0aBV-Waeo- 结构 https://dl.packetstormsecurity.net/papers/attack/64bit-overflow.pdf- 64位linux 动手实现buffer overflow http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html- gdb debug 实验环境 Linux kali(201...
PE文件导入分析:加载DLL遍历导入函数
资源摘要信息:"本文档是关于如何通过解析PE(Portable Executable)文件格式来获取程序导入中所加载DLL(Dynamic Link Library)文件列,并进一步遍历这些DLL文件中导入的函数名称与地址的方法。PE格式是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值