打造DLL内存加载引擎学习笔记

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量2k 收藏 2
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/programmingring/article/details/16121059
版权
本文介绍了DLL内存加载引擎的工作流程,包括申请内存、移动区段数据、修复引入表、处理重定位和调用DllMain。详细讲解了PE结构中的ImageSize如何用于内存分配,以及如何修复导入表和处理重定位项,以确保正确执行DLL。
摘要由CSDN通过智能技术生成

原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题


首先看下我们内存加载引擎的流程。

  1. 申请一段大小为dll映射内存后的映像大小的内存空间。

  2. 移动各个区段的数据到申请的内存。

  2. 修复引入表结构的地址表。

  4. 通过重定位结构修复需要重定位的地址。

  5. 调用DllMain入口点

流程解析:

  1. pe结构中nt header结构当中的ImageSize存放的是我们整个文件映射到内存后的映像大小,这个大小是经过对齐的, 读取这个成员值,来申请内存空间,内存空间的属性为“可读可写可执行”,VirtualAlloc来申请。
  2. 读取各个节表结构的各区段的物理偏移和物理大小,然后移动各区段数据到节表结构对应的的内存空间中(注意:实际上就是将节表结构的VirtualAddress + 申请的内存空间地址),移动的大小则为我们物理大小.
  3. 修复导入表结构的地址表。其实就是修复导入表结构FirstThunk指向的地址表,因为我们的程序api调用的也是FirstThunk所指向的地址表成员。程序在未加载之前FirstThunk指向的地址表成员都指向的是一个IMAGE_IMPORT_BY_NAME结构,当加载后这个地址表的成员都被替换成相应的函数地址。所以处理导入表过程函数可以直接读取FirstThunk来取得相应的引入函数名称及序号等,没必要读取OriginalFirstThunk来读取.
  4. 通过重定位结构修复需要重定位的地址,连接器在链接可执行程序的时候会将需要重定位的偏移存放到一个结构中,这样pe loader读取重定位结构就可以定位到需要重定位的地址。
  5. 压入参数, 取得入口点rva+申请目标空间地址然后call调用即可
代码: 
	.386
	.model flat, stdcall
	option casemap:none
	
include windows.inc
include user32.inc
include kernel32.inc
includelib user32.lib
includelib kernel32.lib

pushad_eax equ 1ch

	.data
	
szFileName	db 'test.dll', 0
hFile		dd 0
hMap		dd 0
	
	.code
	
Entry:
	invoke CreateFile, addr szFileName, GENERIC_READ, FILE_SHARE_READ, NULL, \
		OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL
	cmp eax, INVALID_HANDLE_VALUE
	je _Ret
	mov hFile, eax
	invoke CreateFileMapping, eax, NULL, PAGE_READONLY, 0, 0, NULL
	.if eax == NULL
		invoke CloseHandle, hFile
		jmp _Ret
	.endif
	mov hMap, eax
	invoke MapViewOfFile, eax, FILE_MAP_READ, 0, 0, 0
	.if eax == NULL
		invoke CloseHandle, hMap
		invoke CloseHandle, hFile
		jmp _Ret
	.endif
	push eax
	call DllMemLoad
	
_Ret:
	ret
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>	
; dll内存加载函数
; Arguments:
; 	[esp]			- return address
; 	[esp + 4 * 1]		- pDllMemory
; Return Value:
; 	eax = 
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
DllMemLoad:
	pushad
	mov ebx, [esp + 4 * 8 + 4]			; ebx = pDllMemory
	cmp word ptr [ebx], 'ZM'
	jnz _RetFalse
	
	push ebx
	
	mov edi, ebx					; edi = Dos Header
	add edi, [edi + 3ch]				; edi = NT Header
	cmp word ptr [edi], 'EP'
	jnz _RetFalse
	
	invoke VirtualAlloc, 0, [edi + 50h], MEM_COMMIT, PAGE_EXECUTE_READWRITE
	test eax, eax
	je _RetFalse
	xchg eax, ebp					; ebp = lpMemroy
	
	lea esi, [edi + 14h]
	xor eax, eax
	lodsw						; eax = IMAGE_OPTIONAL_HEADER size
	lea esi, [esi + 2 + eax]			; esi -> section table
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 移动节到分配的内存
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
	movzx ecx, word ptr [edi + 06h]			; ecx = section num
	
_MoveSection:
	push ecx
	mov edx, [esi + 14h]				; edx = physical offset
	add edx, [esp + 4]				; [esp + 4] = pDllMemory, edx = source section va
	mov eax, [esi + 0ch]				; eax = VirtualAddress
	add eax, ebp					; ebp = lpMemory, eax = dest section va
	invoke RtlMoveMemory, eax, edx, dword ptr [esi + 10h]
	add esi, 28h					; esi -> next section
	pop ecx
	loop _MoveSection
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 处理导入段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
	mov edx, ebp					; edx = lpMemory
	mov eax, edi					; eax = NT Header
	call InitImport
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 处理重定位
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
	mov edx, ebp					; edx = lpMemory
	mov eax, edi					; eax = NT Header
	call InitFixups
	
	mov edx, [edi + 28h]				; edx = EntryPoint RVA
	add edx, ebp					; ebp = lpMemory, edx = EntryPoint VA
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; DllMain
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
	push 0
	push 1
	push ebp
	call edx					; call DllMain
	
_RetTrue:
	pop ecx
	push ebp
	pop dword ptr [esp + pushad_eax]		; eax = lpMemory
	popad
	ret 4
	
_RetFalse:
	popad
	xor eax, eax
	ret 4
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 初始化导入表函数
; Arguments:
; 	[esp]			- return address
; 	eax			- NT Header
;  	edx			- Alloc mem base
; Return Value:
; 	eax = true or eax = false
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
InitImport:
	pushad
	push edx					; [esp] = alloc mem base
	mov edi, [eax + 80h]				; edi = Import RVA
	add edi, edx					; edi = Import VA
	
_NextImport:
	cmp dword ptr [edi + 0ch], 0			; [edi + 0ch] = Name
	jz _II_RetTrue
	mov edx, [edi + 0ch]				; edx = Name
	add edx, [esp]					; edx = import dll name string
	invoke LoadLibrary, edx
	test eax, eax
	jz _II_RetFalse
	xchg eax, ebx					; ebx = load dll base
	
	mov esi, [edi + 10h]
	add esi, [esp]					; esi = FirstThunk
	cld

_NextIat:
	lodsd
	test eax, eax
	je _Next
	
	bt eax, 31					; eax 31-bit copy to CF
	jnc _IatName
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Iat ordinal
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
	movzx edx, ax					; edx = ordinal
	invoke GetProcAddress, ebx, edx			; ebx = load dll base
	mov [esi - 4], eax
	jmp _NextIat
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Iat Name
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_IatName:
	add eax, [esp]					; eax = IMAGE_IMPORT_BY_NAME
	lea edx, [eax + 2]				; edx -> api name
	invoke GetProcAddress, ebx, edx
	mov [esi - 4], eax
	jmp _NextIat
	
_Next:
	add edi, 14h					; edi -> next Iat struct
	jmp _NextImport
	
_II_RetTrue:
	pop edx
	popad
	xor eax, eax
	inc eax
	ret
	
_II_RetFalse:
	pop edx
	popad
	xor eax, eax
	ret
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 初始化并修订重定位地址
; Arguments:
; 	[esp]			- return address
;	eax 			- NT Header
;	edx			- alloc mem base
; Return Value:
; 	eax - true or eax - false;
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
InitFixups:
	pushad
	
	mov esi, [eax + 0a0h]				; esi = reloc rva
	test esi, esi
	je _IF_RetFalse					; No reloc
	cld
	add esi, edx					; esi = 重定位表的地址
	
	push [eax + 0a4h]				; [esp] = 重定位表长度
	add [esp], esi					; [esp] = 重定位表结束地址
	
	mov edi, edx					; edi = alloc mem base
	mov ebp, edx					; ebp = alloc mem base
	sub ebp, [eax + 34h]				; ebp等于分配的地址与建议装载地址的差
	
_NextFixups:
	cmp [esp], esi					; 比较是否到了重定位表结束位置
	je _IF_RetTrue
	lodsd
	xchg eax, ebx					; ebx = 当前页起始地址RVA
	lodsd
	xchg eax, ecx					; ecx = 当前重定位块的大小
	sub ecx, 8
	shr ecx, 1					; ecx = 重定位项的数量
	
_NextOffet:
	xor eax, eax
	lodsw						; eax = 读取重定位项
	bt eax, 13					; 将eax的第13位复制到CF
	jnc _NextLoop
	
	and ax, 0fffh					; 保留低12位
	add eax, ebx
	add dword ptr [edi + eax], ebp			; 修正,加上差值
	
_NextLoop:
	loop _NextOffet
	jmp _NextFixups
	
_IF_RetTrue:
	pop edx
	popad
	xor eax, eax
	inc eax
	ret
	
_IF_RetFalse:
	popad
	xor eax, eax
	ret
	
	end Entry


ProgrammingRing
关注
专栏目录
DLL内存加载
天使也掉毛
11-19 7052
动态加载dll 功能:      把一个处于内存里的dll直接加载并且使用。 用途:      免杀(静态文件查杀),外挂(防止游戏自己hook了loadlibrary等函数),以及其他。 原理:      假设目前处于内存里的dll是A,然后开辟一个新的内存空间B,根据A的文件头等相关信息,把B看做是加载内存。 然后把数据拷贝到B里,并且对齐相关节,然后修正iat等相关。然后在手动
学习计算机编程(IT、偏网站开发)的参考学习网址syk
chouzhan0246的博客
06-01 9842
这两年自己学到了许多东西,发现以前想学,可却不知道在哪里学,没有好的学习资源,这里我把这一年自己学习过程中了解到的好的计算机相关知识的学习网址分享给大家,虽然不是很全面,但希望能帮到那些想找学习资源的博友们。 IT学习资料(初晓) 1. 综合学习网址 (1)教学网站 http://...
一种保护应用程序的方法 模拟Windows PE加载器,从内存资源中加载DLL
马大叔的工作日记
08-13 2954
1、前言 目前很多敏感和重要的DLL(Dynamic-link library) 都没有提供静态版本供编译器进行静态连接(.lib文件),即使提供了静态版本也因为兼容性问题导致无法使用,而只提供DLL版本,并且很多专业软件的授权部分的API,都是单独提供一个DLL来完成,而
内存加载dll
12-28
AppWizard has created this CalcModule DLL for you. This file contains a summary of what you will find in each of the files that make up your CalcModule application. CalcModule.dsp This file (the project file) contains information at the project level and is used to build a single project or subproject. Other users can share the project (.dsp) file, but they should export the makefiles locally. CalcModule.cpp This is the main DLL source file. When created, this DLL does not export any symbols. As a result, it will not produce a .lib file when it is built. If you wish this project to be a project dependency of some other project, you will either need to add code to export some symbols from the DLL so that an export library will be produced, or you can check the "doesn't produce lib" checkbox in the Linker settings page for this project.
内存加载DLL
12-24 2615
程序使用动态库DLL一般分为隐式加载和显式加载两种,分别对应两种链接情况。本文主要讨论显式加载的技术问题。我们知道,要显式加载一个DLL,并取得其中导出的函数地址一般是通过如下步骤:(1) 用LoadLibrary加载dll文件,获得该dll的模块句柄;(2) 定义一个函数指针类型,并声明一个变量;(3) 用GetProcAddress取得该dll中目标函数的地址,赋值给函数指针变量;(4) 调用
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1555
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
剖析虚幻渲染体系(16)- 图形驱动的秘密
xuhss_com的博客
06-26 2057
目录* 16.1 本篇概述 + 16.1.1 本篇内容 + 16.1.2 设备驱动概述 + 16.1.3 图形驱动概述迄今为止,博主在博客中阐述的内容包含图形API、GPU、游戏引擎、Shader、渲染技术、性能优化等等技术范畴内容,但似乎还未涉及图形驱动的内幕。本篇将站在应用层开发者的视角,去阐述图形驱动的相关技术内幕(如果是驱动开发者,则博主不认为是目标读者),主要包含但不限于以下内容:要给“驱动”一词下一个准确的定义是一个挑战。从最基本的意义上讲,驱动程序是一个软件组件,它允许操作系统和设备相互通信。
一些不错的网页
墨鱼菜鸡
12-06 2455
http://www.zhengdazhi.com/archives/1749 书签栏 信息收集 二级域名查询,子域名查询-站长帮手网 ZoomEye - Cyberspace Search Engine 360威胁情报中心 SSL证书在线检测工具-中国数字证书CHINASSL ...
内存加载DLL运行
11-16
内存加载DLL运行内存加载DLL运行内存加载DLL运行内存加载DLL运行内存加载DLL运行
内存加载Dll
KAMI'S BLOG
07-27 1627
曾经有一个博客用hexo+github搭建的,奈何没心思去管理!!! 分享一份自己之前总结以前的代码写的dll内存加载库C++版本: https://github.com/kamichan/image ...
内存加载DLL
wangjieest的专栏
12-24 6946
#include "stdafx.h" typedef BOOL (__stdcall *ProcDllMain)(HINSTANCE, DWORD, LPVOID ); class CMemLoadDll { public: CMemLoadDll(); ~CMemLoadDll(); BOOL MemLoadLibrary( void*
内存加载DLL
热门推荐
wr960204(武稀松)的专栏
02-29 1万+
有个需求是把一个DLL作为数据打包到EXE中,运行的时候动态加载.但要求不是释放出来生成DLL文件加载.花了一天时间做出来.效果还可以.不过由于是直接分配内存加载DLL的.有一些小缺陷.例如遍历进程中加载的模块的时候是找不到这个DLL的.GetModuleXXXX之类的API也就不能用了.当然也可以Hook这些函数做处理.不过便利不到这个模块也未必不是一个优点.例如写木马黑客之类的代码的时
dll内存加载
01-24
把一个 DLL 作为资源文件放到 EXE 文件中,在程序运行时,分配一块内存,然后将此资源复制到该分配的内存中,并根据该内存地址计算得到相关的导出函数地址,然后,当我们需要调用某一函数时,可以用该函数在内存中的地址来调用它
内存加载DLL
yizhenweifeng的专栏
03-26 2682
内存加载DLL e文 http://www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/ 以下通过google翻译  本教程介绍如何从内存加载一个动态链接库(DLL)。 概括 默认的Windows API函数加载到程序的外部库(调用LoadLibrary,LoadLibraryEx)只适用于文件系统
内存加载作为资源的DLL文件
10-09
二次封装动态库时,如果想把多个动态库包含在一起,需要以资源的方式添加封装,在使用的时候有两种方法:1.释放DLL到本地,然后load;2.直接load资源中的DLL;第一种方式有可能造成被封装的DLL泄露,此代码介绍第二种方式加载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值