PE学习(十一)第十一章:动态加载技术

最新推荐文章于 2022-06-05 21:34:09 发布
最新推荐文章于 2022-06-05 21:34:09 发布
阅读量810 收藏
点赞数
分类专栏: PE


kernel32.dll默认很早加载进去,其中有函数用于加载进程,否则进程创建不出。
获取kernel32.dll的基地址:
1.使用vs cmd自带的dumpbin工具:dumpbin /headers kernel32.dll
 还有PEinfo,onlydbg
 XP OS下ntdll.dll,kernel32.dll不会被重定位。
2.从进程地址空间开始搜索
 寻找PE特征字符串,分析导出表,查找GetProcAddress"特征函数“,再对齐即可。
3.从SEH框架开始查找
 OS默认的结构化异常处理程度指向kernel32._except_handler3函数。
4.从PEB开始查找
5.直接从main函数入口时esp指向地址为kernel.dll中的一个值

 

//通过main函数入口里esp指向的返回地址为kernel32.dll里的地址
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib

;数据段
    .data
szText         db  'kernel32.dll在本程序地址空间的基地址为:%08x',0dh,0ah,0
kernel32Base   dd  ?
szBuffer       db 256 dup(0)

;代码段
    .code
_getKernelBase  proc _dwKernelRetAddress
   local @dwRet

   pushad
   mov @dwRet,0
   
   mov edi,_dwKernelRetAddress
   and edi,0ffff0000h  ;查找指令所在页的边界,以1000h对齐

   .repeat
     .if word ptr [edi]==IMAGE_DOS_SIGNATURE  ;找到kernel32.dll的dos头
        mov esi,edi
        add esi,[esi+003ch]
        .if word ptr [esi]==IMAGE_NT_SIGNATURE ;找到kernel32.dll的PE头标识
          mov @dwRet,edi
          .break
        .endif
     .endif
     sub edi,010000h
     .break .if edi<070000000h
   .until FALSE
   popad
   mov eax,@dwRet
   ret
_getKernelBase  endp   


start:
    mov eax,dword ptr [esp]
    invoke _getKernelBase,eax
    invoke wsprintf,addr szBuffer,addr szText,eax
    invoke MessageBox,NULL,addr szBuffer,NULL,MB_OK
    ret
    end start


 

;------------------------
; 获取kernel32.dll的基址
; 从PEB结构中搜索kernel32.dll的基地址
; 戚利
; 2010.6.27
;------------------------
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib

;数据段
    .data

szText  db 'kernel32.dll的基地址为%08x',0
szOut   db '%08x',0dh,0ah,0
szBuffer db 256 dup(0)

;代码段
    .code

start:

   assume fs:nothing
   mov eax,fs:[30h] ;获取PEB所在地址
   mov eax,[eax+0ch] ;获取PEB_LDR_DATA 结构指针
   mov esi,[eax+1ch] ;获取InInitializationOrderModuleList 链表头
                     ;第一个LDR_MODULE节点InInitializationOrderModuleList成员的指针
   lodsd             ;获取双向链表当前节点后继的指针
   mov eax,[eax+8]   ;获取kernel32.dll的基地址

   ;输出模块基地址
   invoke wsprintf,addr szBuffer,addr szText,eax
   invoke MessageBox,NULL,addr szBuffer,NULL,MB_OK
   ret
   end start


 

;------------------------
; 获取kernel32.dll的基址
; 从SEH框架空间中搜索kernel32.dll的基地址
; 戚利
; 2010.6.27
;------------------------
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib

;数据段
    .data

szText  db 'kernel32.dll的基地址为%08x',0
szOut   db '%08x',0dh,0ah,0
szBuffer db 256 dup(0)

;代码段
    .code

start:

   assume fs:nothing
   mov eax,fs:[0]
   inc eax   ; 如果eax=0FFFFFFFFh,则设置为0
loc1:  
   dec eax
   mov esi,eax ;ESI指向EXCEPTION_REGISTRATION
   mov eax,[eax]  ;eax=EXCEPTION_REGISTRATION.prev
   inc eax        ;如果eax=0FFFFFFFFh,则设置为0
   jne loc1
   lodsd          ;跳过0FFFFFFFFh
   lodsd          ;获取kernel32._except_handler地址
   xor ax,ax      ;按照10000h对齐,舍入
   jmp loc3

loc2:
   sub eax,10000h         
loc3:

   cmp dword ptr [eax],905A4Dh
   jne loc2

   ;输出模块基地址
   invoke wsprintf,addr szBuffer,addr szText,eax
   invoke MessageBox,NULL,addr szBuffer,NULL,MB_OK
   ret
   end start


 

;------------------------
; 获取kernel32.dll的基址
; 从进程地址空间搜索kernel32.dll的基地址
; 戚利
; 2010.6.27
;------------------------
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib

;数据段
    .data

szText  db 'kernel32.dll的基地址为%08x',0
szOut   db '%08x',0dh,0ah,0
szBuffer db 256 dup(0)

;代码段
    .code

start:

   call loc0
   db 'GetProcAddress',0  ;特征函数名

loc0:
   pop edx            ;edx中存放了特征函数名所在地址
   push edx
   mov ebx,7ffe0000h  ;从高地址开始

loc1:
   cmp dword ptr [ebx],905A4Dh
   JE loc2   ;判断是否为MS DOS头标志

loc5:
   sub ebx,00010000h

   pushad         ;保护寄存器1
   invoke IsBadReadPtr,ebx,2
   .if eax
     popad        ;恢复寄存器1
     jmp loc5
   .endif
   popad          ;恢复寄存器1

   jmp loc1



loc2:   ;遍历导出表
   mov esi,dword ptr [ebx+3ch] 
   add esi,ebx ;ESI指向PE头
   mov esi,dword ptr [esi+78h]
   nop
 
   .if esi==0
     jmp loc5
   .endif
   add esi,ebx ;ESI指向数据目录中的导出表
   mov edi,dword ptr [esi+20h] ;指向导出表的AddressOfNames
   add edi,ebx ;EDI为AddressOfNames数组起始位置
   mov ecx,dword ptr [esi+18h] ;指向导出表的NumberOfNames
   push esi


   xor eax,eax
loc3:
   push edi
   push ecx
   mov edi,dword ptr [edi]
   add edi,ebx  ;edi指向了第一个函数的字符串名起始
   mov esi,edx  ;esi指向了特征函数名起始
   xor ecx,ecx
   mov cl,0eh  ;特征函数名的长度
   repe cmpsb
   pop ecx
   pop edi
   je loc4    ;找到特征函数,转移
   add edi,4  ;edi移动到下一个函数名所在地址
   inc eax    ;eax为计数
   loop loc3

   jmp loc5
loc4:
   ;特征函数匹配成功,输出模块基地址
    
    invoke wsprintf,addr szBuffer,addr szText,ebx
    invoke MessageBox,NULL,addr szBuffer,NULL,MB_OK
    ret
    end start


 

;------------------------
; 无导入表的HelloWorld
; 戚利
; 2010.6.27
;------------------------
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc


;声明函数
_QLGetProcAddress typedef proto :dword,:dword  
;声明函数引用    
_ApiGetProcAddress  typedef ptr _QLGetProcAddress

_QLLoadLib        typedef proto :dword
_ApiLoadLib       typedef ptr _QLLoadLib

_QLMessageBoxA    typedef proto :dword,:dword,:dword,:dword
_ApiMessageBoxA   typedef ptr _QLMessageBoxA

;数据段
    .data

szText         db  'HelloWorldPE',0
szGetProcAddr  db  'GetProcAddress',0
szLoadLib      db  'LoadLibraryA',0
szMessageBox   db  'MessageBoxA',0

user32_DLL     db  'user32.dll',0,0

;定义函数
_getProcAddress _ApiGetProcAddress  ?             
_loadLibrary    _ApiLoadLib         ?
_messageBox     _ApiMessageBoxA     ?


hKernel32Base   dd  ?
hUser32Base     dd  ?
lpGetProcAddr   dd  ?
lpLoadLib       dd  ?


;代码段
    .code
;------------------------------------
; 根据kernel32.dll中的一个地址获取它的基地址
;------------------------------------
_getKernelBase  proc _dwKernelRetAddress
   local @dwRet

   pushad
   mov @dwRet,0

   ;查找指令所在页的边界,以1000h对齐   
   mov edi,_dwKernelRetAddress
   and edi,0ffff0000h  

   .repeat

     ;找到kernel32.dll的dos头
     .if word ptr [edi]==IMAGE_DOS_SIGNATURE  
        mov esi,edi
        add esi,[esi+003ch]

        ;找到kernel32.dll的PE头标识
        .if word ptr [esi]==IMAGE_NT_SIGNATURE 
          mov @dwRet,edi
          .break
        .endif
     .endif
     sub edi,010000h
     .break .if edi<070000000h
   .until FALSE
   popad
   mov eax,@dwRet
   ret
_getKernelBase  endp   

;-------------------------------
; 获取指定字符串的API函数的调用地址
; 入口参数:_hModule为动态链接库的基址
;           _lpApi为API函数名的首址
; 出口参数:eax为函数在虚拟地址空间中的真实地址
;-------------------------------
_getApi proc _hModule,_lpApi
   local @ret
   local @dwLen

   pushad
   mov @ret,0
   ;计算API字符串的长度,含最后的零
   mov edi,_lpApi
   mov ecx,-1
   xor al,al
   cld
   repnz scasb
   mov ecx,edi
   sub ecx,_lpApi
   mov @dwLen,ecx

   ;从pe文件头的数据目录获取导出表地址
   mov esi,_hModule
   add esi,[esi+3ch]
   assume esi:ptr IMAGE_NT_HEADERS
   mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
   add esi,_hModule
   assume esi:ptr IMAGE_EXPORT_DIRECTORY

   ;查找符合名称的导出函数名
   mov ebx,[esi].AddressOfNames
   add ebx,_hModule
   xor edx,edx
   .repeat
     push esi
     mov edi,[ebx]
     add edi,_hModule
     mov esi,_lpApi
     mov ecx,@dwLen
     repz cmpsb
     .if ZERO?
       pop esi
       jmp @F
     .endif
     pop esi
     add ebx,4
     inc edx
   .until edx>=[esi].NumberOfNames
   jmp _ret
@@:
   ;通过API名称索引获取序号索引再获取地址索引
   sub ebx,[esi].AddressOfNames
   sub ebx,_hModule
   shr ebx,1
   add ebx,[esi].AddressOfNameOrdinals
   add ebx,_hModule
   movzx eax,word ptr [ebx]
   shl eax,2
   add eax,[esi].AddressOfFunctions
   add eax,_hModule
   
   ;从地址表得到导出函数的地址
   mov eax,[eax]
   add eax,_hModule
   mov @ret,eax

_ret:
   assume esi:nothing
   popad
   mov eax,@ret
   ret
_getApi endp

start:
    ;取当前函数的堆栈栈顶值
    mov eax,dword ptr [esp]
    ;获取kernel32.dll的基地址
    invoke _getKernelBase,eax
    mov hKernel32Base,eax

    ;从基地址出发搜索GetProcAddress函数的首址
    invoke _getApi,hKernel32Base,addr szGetProcAddr
    mov lpGetProcAddr,eax
    mov _getProcAddress,eax   ;为函数引用赋值 GetProcAddress

    ;使用GetProcAddress函数的首址
    ;传入两个参数调用GetProcAddress函数
    ;获得LoadLibraryA的首址

    invoke _getProcAddress,hKernel32Base,addr szLoadLib
    mov _loadLibrary,eax

    ;使用LoadLibrary获取user32.dll的基地址
    invoke _loadLibrary,addr user32_DLL
    mov hUser32Base,eax

    ;使用GetProcAddress函数的首址,获得函数MessageBoxA的首址
    invoke _getProcAddress,hUser32Base,addr szMessageBox
    mov _messageBox,eax   ;调用函数MessageBoxA
    invoke _messageBox,NULL,offset szText,NULL,MB_OK

    ret
    end start


 

pomelozero
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE代码注入
windows小菜鸡的博客
08-15 1402
PE文件入口地址EntryPoint指向了PE文件开始执行的位置,关于PE文件的具体格式,大家可以自行百度。 本代码主要实现了在32位可执行程序中注入了一个弹窗 。其主要原理是修改EntryPoint地址处的内容,指向自己代码的地方,然后执行完毕后,再跳转到原入口的地址。 其中值得注意的几点: (1)需要关闭PE的地址随机化功能,可以通过修改OptionHeader头中的DllCharacteristics = 0x8100,来绕过地址随机化。 (2)计算E8和E9的时候,CALL 偏移:跳转地址 = 当前
第46章-Patrick的CrackMe-Part11
08-03
系统动态库(如 Windows PE 中的 WINMM.DLL)通常不进行反调试检测。 接着,我们通过数据窗口使用 PE 结构解析模式查看 Import Table(导入表),它是程序中引用外部函数的地方。导入表的每个 DLL 项由 5 个 DWORD ...
手工解析PE(文件注入)
GNAIXGNAHZ的博客
06-05 1036
手工解析PE(文件注入)
《逆向工程核心原理》第13章——PE文件格式(2):IAT与EAT
diamond_biu的博客
12-08 1335
PE文件格式(2):IAT与EATIATDLLIMAGE_IMPORT_DESCRIPTOR使用notepad.exe练习1 库名称(Name)2 OriginalFirstThunk-INT3 IMAGE_IMPORT_BY_NAME4 FirstThunk-IATEAT IAT IAT:导入地址表(Import Adress Table)。简而言之IAT是一种表格,用来记录程序正在使用哪些库中的哪些函数。 DLL 16位DOS时代调用函数时,会从C库中读取相应函数的二进制代码并将其插入应用程序。而Wi
PE解析器的编写(四)——数据目录表的解析
Masimaro的专栏
05-08 1819
PE结构中最重要的就是区块表和数据目录表,上节已经说明了如何解析区块表,下面就是数据目录表,在数据目录表中一般只关心导入表,导出表和资源这几个部分,但是资源实在是太复杂了,而且在一般的病毒木马中也不会存在资源,所以在这个工具中只是简单的解析了一下导出表和导出表。这节主要说明导入表,下节来说导出表。 RVA到fRva的转化 RVA转化为fRva主要是通过某个数据在内存中的相对偏移地址找到其在文
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件头 DOS模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
第54章-EXECryptor v2.2.50.a脱壳-Part11
08-03
在面对未知的壳程序时,一种常见的方法是寻找相关的UnPackMe样本,这些样本是专门设计用来测试和学习技术的程序。 当没有UnPackMe样本时,可以通过获取壳器并使用简单的程序(如小程序)进行壳实验,观察...
PE64-V1.2,微PE64-V2.1,微PE64-V2.2
最新发布
10-24
PE,全称为"微小PE工具箱",是一款针对Windows操作系统的便携式环境(Preinstallation Environment,简称PE)工具,特别适用于系统安装、维护和修复。它以小巧、高效、纯净为特点,不携带任何广告或第三方软件,...
项目回忆:体系的本质是知识点串联(第五十一课)1
08-03
【项目回忆:体系的本质是知识点串联(第五十一课)1】 这篇文章回顾了一个具体的项目实施过程,涉及了在Windows Server 2008 R2 x64环境下,针对一个被多种安全软件(360主动、360卫士、360杀毒和WAF)保护的目标...
项目回忆:体系的本质是知识点串联(第五十一课).docx
09-15
- 第三方分离免杀通常涉及使用不依赖PE头文件的payload,例如通过shellcode,将payload直接到内存中,以避开基于特征的查杀。 - 在MSF(Metasploit Framework)中,可以通过`msfvenom`生成shellcode格式的...
PE入口点与运行时态库的关系
SmartFEP的博客
04-05 1576
使用VC环境开发的程序入口点处的代码并非是所谓的main函数的代码,而是运行时态库代码,也就是说VC在链接生成PE文件时,PE入口点处的代码是VC自动添上去的,在这段自动添的代码中对运行时态库进行了初始化,并将程序运行时装的基地址传给CRT入口点函数,然后由CRT调用了用户编写的MAIN函数。 CVP中以追方式将FileInfect追到MessageBox后面时需要重定位FileInf
动态技术
include的博客
04-16 4852
动态技术 动态技术可以让程序设计者脱离复杂的导入表结构,在程序空间中构造类似于导入表的调用引入函数机制。 Windows虚拟地址空间分配 在32位的机器上,地址空间从0x00000000~ 0xFFFFFFFF,总大小为4GB。一般而言,低地址空间,从0x00000000~ 0x7FFFFFFF使用户空间,高地址空间被分配给系统。 虚拟内存范围 功能 0x00000000 ......
PE学习(五)导出表,编写DLL及查看DLL的导出信息
零点起步
03-24 4108
第五章 导出表 typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature +04h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader } IMAGE_NT_HEADERS ENDS, *PIMAGE_NT_HEADERS32;
截获连接oracle数据库的工具,如何截获Oracle数据库连接密码
weixin_39914868的博客
04-08 239
Oracle 系统是应用最广泛的服务器/客户端类型的数据库系统,其密码验证等安全措施也做得比较严格,但是通过本文所描述的方法,我们还是有机会从应用程序中截获数据库连接的用户名和密码。原理大部分的服务器/客户端系统的结构可以这样描述:客户端 系统TCP/IP模块 网络 系统的TCP/IP模块 服务端对于这些系统,一般的安全问题出在由(2)所示的地方,比如说当使用 POP3 协议收取邮件,或者...
windows xp sp3 系统kernel32.dll所有导出的API函数列表大全(整理在此,方便查阅,学习
关注互联网安全的小虾米一枚
03-13 1万+
kernel32.dll是Windows9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管 理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域, 使别的程序无法占用这个内存区域。 ordinal hint RVA name 1
PE文件相关代码
无题
11-08 750
;WIN32汇编无输入表调用API .386 .model flat,stdcall option casemap:none ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; Include 文件定义 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
逆向技术分析基础
lgx的专栏
11-25 1143
逆向技术分析基础作者:Shminow原文地址:http://hi.baidu.com/wordsonwing/ ... 4d4488a977a4b3.html逆向分析,是安全界永恒不变的主题,   就算未来世界是开源的. 也还是离不开逆向技术.     不管你是分析病毒,搞漏洞研究等等方面都离不开这.     逆向技术和脚本分析不一样. 脚本分析是开源方面的,    至少你学一门脚本语言就可以
关于那个PE文件病毒
enolaZ的专栏
10-12 1573
今天把10.1期间写的那个PE文件病毒的关键部分贴上来.  首先说说PE文件病毒的工作方式.一个PE文件病毒基本上有这几个功能:1)获取kernel32.dll的基地址2)通过所获得的kernel32的基地址通过dll的PE文件格式中的输出表获得以后要使用到的API的地址,并将他们存放在变量或是栈中,将来所调用的API直接通过CALL这些地址来实现.3)查找要感染的文件并获得他们的基地
Win32 PE文件深度解析:结构与机制
- 虽然磁盘上的PE文件映射到内存时保持基本一致,但由于Windows器的控制以及内存对齐要求,实际到内存中的PE文件可能与磁盘上的部分有所不同。 2. **DOS头**: - 所有的PE文件以一个64字节的DOS头开始,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值