修改PE文件注入dll

最新推荐文章于 2024-04-19 16:38:13 发布
最新推荐文章于 2024-04-19 16:38:13 发布
阅读量4.4k 收藏 10
点赞数 2
分类专栏: 逆向 文章标签: dll注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/82973582
版权

修改思路
PE文件中导入dll信息以结构体列表形式存储在IDT中。只要将myhack.dll添加到列表尾部即可。

IDT结构
在这里插入图片描述
IDT的描述在IMAGE_OPTION_HEADER里面的IMPORT Table,通过size可以确定是否有足够的空间让我们添加
IDT是由IMAGE_IMPORT_DESCRIPTION(简称IID)结构体组成的数组,数组末尾以NULL结构体结束。每个IID结构体为0x14字节所以这里IID区域为RVA
真正的IDT在Section .rdata的IMPORT Directory Table
在这里插入图片描述
这里可以数一下我这里有16个结构体(18*0x14=0x168)前面查到的size为0x168
没有足够的空间。
移动IDT
需要找一个足够大的空间,这段空间在磁盘文件中但是不会被加载到内存。
看一下rdata头的信息
在这里插入图片描述
size of raw data表示该节区在磁盘中的大小,0x50a00
virtual size表示该节区在内存中的大小,0x5081c
回头看一下IDT的size是0x168,需要的是0x168+0x14=0x17c
data段没被加载的空间大小为

>>> hex(0x50a00-0x5081c)
'0x1e4'

所以.rdata区域的空间完全足够用了。
找到IDT的所有数据准备搬家
在这里插入图片描述
把它放到hex(0x152600+0x5081c)='0x1a2e1c’这个地址处
在这里插入图片描述

修改IIMPORT Table的值
需要把刚才设置的IDT的地址和size放入到IMPORT Table里面,注意这里填入的是RVA(也就是载入内存时的地址)。
RVA_IDT=RVA_idata+size_idata_R=0x154000+0x5081c=0x1A481C
这里是小端存储所以应该倒着存放,别忘了size要改为0x17c
在这里插入图片描述
删除绑定导入表

BOUND IMPORT TABLE(绑定导入表)是一种提高DLL加载速度的技术,不是必须项这里为了方便删除掉它。这里不存在就不需要多余的操作了。
创建IDT表项
在这里插入图片描述
如图,每一项都有
import Name Table RVA RVA to INT
紧跟着2位0
Name RVA RVA to Dll Name
import Address Table RVA RVA to IAT

IDT表结构
在这里插入图片描述
这三项也放在不被加载的区域即可,这里放置在IDT表下面。

修改如下
在这里插入图片描述
修改IAT节区属性
实际运行的时候IAT将会被替换所以写入的IAT可以是随意的数据,但是想要执行这个操作还需要修改IAT节区为可写。
在这里插入图片描述
可以看到,默认rdata节区是不可写的。
在原属性上添加IMAGE_SCN_MEM_WRITE(80000000)
跟原本的40000040进行或运算c0000040.
在这里插入图片描述

找到了一个自动化的脚本

https://www.cnblogs.com/HsinTsao/p/7435137.html

myhack.dll

#include"stdio.h"
#include"windows.h"
#include"shlobj.h"
#include"Wininet.h"
#include"tchar.h"
#pragma comment(lib,"Wininet.lib")
#define DEF_BUF_SIZE (4096)
#define DEF_URL L"http://www.google.com/index.html"
#define DEF_INDEX_FILE L"index.html"


//DownloadURL
BOOL DownloadURL(LPCTSTR szURL, LPCTSTR szFile)
{
	BOOL bRet = FALSE;
	HINTERNET hInternet = NULL, hURL = NULL;
	BYTE pBuf[DEF_BUF_SIZE] = { 0, };
	DWORD dwBytesRead = 0;
	FILE *pFile = NULL;
	errno_t err = 0;
	hInternet = InternetOpen(L"ReverseCore", INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL, 0);
	if (NULL == hInternet)
	{
		OutputDebugString(L"InternetOpen() failed!\n");
		return FALSE;
	}
	hURL = InternetOpenUrl(hInternet, szURL, NULL, 0, INTERNET_FLAG_RELOAD,0);
	if (NULL == hInternet)
	{
		OutputDebugString(L"InternetOpen() failed!\n");
		goto _DownloadURL_EXIT;
	}
	if (err == _tfopen_s(&pFile, szFile, L"wt"))
	{
		OutputDebugString(L"fopen() failed");
		goto _DownloadURL_EXIT;
	}
	while (InternetReadFile(hURL, pBuf, DEF_BUF_SIZE, &dwBytesRead))
	{
		if (!dwBytesRead)
			break;
		fwrite(pBuf, dwBytesRead, 1, pFile);
	}
	bRet = TRUE;
_DownloadURL_EXIT:
	if (pFile)
		fclose(pFile);
	if (hURL)
		InternetCloseHandle(hURL);
	if (hInternet)
	{
		InternetCloseHandle(hInternet);
	}

	return bRet;
}

//downloadURL会下载szURL中指定的网页文件并将其保存在szFile目录中

//DropFile
HWND g_hWnd = 0;
BOOL CALLBACK EnumWindowsProc(HWND hWnd, LPARAM lParam)
{
	DWORD dwPID = 0;
	
	GetWindowThreadProcessId(hWnd, &dwPID);
	if (dwPID == (DWORD)lParam)
	{
		g_hWnd = hWnd;
		return FALSE;
	}
	return TRUE;
}

HWND GetWindowHandleFromPID(DWORD dwPID)
{
	EnumWindows(EnumWindowsProc, dwPID);
	return g_hWnd;
}
BOOL DropFile(LPCTSTR wcsFile)
{
	HWND hWnd = NULL;
	DWORD dwBufSize = 0;
	BYTE *pBuf = NULL;
	DROPFILES *pDrop = NULL;
	char szFile[MAX_PATH] = { 0 ,};
	HANDLE hMem = 0;
	WideCharToMultiByte(CP_ACP, 0, wcsFile, -1, szFile, MAX_PATH, NULL, NULL);
	dwBufSize = sizeof(DROPFILES)+strlen(szFile) + 1;
	if (!(hMem = GlobalAlloc(GMEM_ZEROINIT, dwBufSize)))
	{
		OutputDebugString(L"GlobalAlloc() failed!!!");
		return FALSE;
	}
	pBuf = (LPBYTE)GlobalLock(hMem);
	pDrop = (DROPFILES*)pBuf;
	pDrop->pFiles = sizeof(DROPFILES);
	strcpy_s((char *)(pBuf + sizeof(DROPFILES)), strlen(szFile) + 1, szFile);
	GlobalUnlock(hMem);
	if (!(hWnd = GetWindowHandleFromPID(GetCurrentProcessId())))
	{
		OutputDebugString(L"GetWndHandleFromPIF() failed!!\n");
		return FALSE;
	}
	PostMessage(hWnd, WM_DROPFILES, (WPARAM)pBuf, NULL);
	return TRUE;
}

//dummy函数
#ifdef __cplusplus
extern "C"{
#endif
	//出现在IDT中的dump export function......
	__declspec(dllexport)void dummy()
	{
		return;
	}
#ifdef __cplusplus
}
#endif


//dll main函数
DWORD WINAPI ThreadProc(LPVOID lParam)
{
	TCHAR szPath[MAX_PATH] = { 0, };
	TCHAR *p = NULL;
	GetModuleFileName(NULL, szPath, sizeof(szPath));
	if (p = _tcsrchr(szPath, L'\\'))
	{
		_tcscpy_s(p + 1, wcslen(DEF_INDEX_FILE) + 1, DEF_INDEX_FILE);
		if (DownloadURL(DEF_URL, szPath))
		{
			DropFile(szPath);
		}
	}
	return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
	switch (fdwReason)
	{
	case DLL_PROCESS_ATTACH:
		CloseHandle(CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL));
		break;
	}
	return TRUE;
}
九层台
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构->【输入表】Import【下】
u011513939的博客
06-21 344
输入表结构回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。 每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多少个链接
[DLL注入的方法]静态修改PE输入表法
diheqiu3577的博客
09-02 806
1.三种DLL加载时机: 进程创建加载输入表中的DLL(静态输入) 通过调用LoadLibrary主动加载(动态加载) 系统预设加载   通过干预输入表处理过程加载目标dll 1.静态修改PE输入表法(测试程序 Notepad.exe) 准备工作:自行编写一个MsgDLL,到处一个函数Msg(); #include "stdafx.h" BOOL...
PE文件注入恶意代码改变代码执行顺序教程
最新发布
m0_62574258的博客
04-19 773
E9后面的值=目的地址-(jmp指令地址+5)=00 00 10 00-(00 00 10 32+5)=FF FF FF C9(这里减法是一位一位运算,不够就向前面一位借16), FF在前面表示为负数,即往前面跳转,反写为C9 FF FF FF,所以jmp后面应该跟上C9 FF FF FF,即写成E9 C9 FF FF FF。ExitProcess函数的参数,程序退出码。call ptr[?call ptr[?call ptr[?ExitProcess的函数后面添加MessageBoxExa函数的参数,?
[DLL注入的方法]进程创建期修改PE输入表法
diheqiu3577的博客
09-03 389
  进程创建期修改PE输入表法的原理和静态修改PE输入表完全相同,可以在R3/R0的各个阶段进行干预(必须在主线程运行之前)。 1.以读写方式打开目标文件: 2 //以读写方式打开目标文件 3 HANDLE hFile = CreateFile(szImageFilePath, 4 GENERIC_READ|GENERIC_WRITE, ...
PE结构&绑定导入实现
寻梦&之璐
02-04 7727
简介 作用 绑定导入是一种提高PE加载速度的技术。它只能起辅助性作用,它的存在与否只影响加载过程,并不影响PE的最终加载结果和运行结果。 为什么说是辅助性呢? 因为不同的操作系统中,动态链接库的基地址是不一样的。举个例子,kernel32.dll,在Windows 2000中其加载到进程空间的基地址为0x77e60000,而在Windows XP SP3中其加载地址则是0x7c800000。同一动态链接库加载后处于不同的基地址,直接导致了同一个导入函数在不同操作系统中其导入地址VA是不一样的。 因此经过绑定
DLL注入-静态修改PE
m0_52164435的博客
03-14 687
首先要知道,我们要完成的操作是通过修改PE结构来完成注入dllPE中有关于模块导入的是输入表结构,而输入表是一个IID数组,那么想要将我们的dll导入到程序中就需要将一个我们构造的IID结构写入这个数组中,此时需要考虑我们新写入的IID结构大小,假设原IID大小为old,那么显然,由于只导入了一个函数,我们新的IID结构大小newIIDSize = Old+ sizeof(IMAGE_IMPORT_DESCRIPTOR)。将以上各值填入原IID位置,填写的时候需要注意字节序是小端序,填写结果如下。
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一...
关于PE可执行文件修改.rar_PE修改_pe_pe文件修改
09-23
需要注意的是,非法修改PE文件可能导致法律问题,特别是涉及篡改商业软件或恶意软件注入的情况。同时,不恰当的修改可能会使程序无法正常运行或引起安全风险。 在实际操作中,我们需要使用专用工具,如OllyDbg、PE ...
PE_header.rar_PE头_pe文件修改
09-24
4. **代码注入**:在PE文件的某个节区添加新的代码,使得在程序运行时能够执行额外的任务。 5. **隐藏或混淆**:修改PE头信息来避开反病毒软件的检测,常用于恶意软件中。 6. **优化**:通过调整PE头信息,优化...
CFF.zipPE文件修改
11-28
PE文件格式是Windows操作系统中的可执行文件标准,包括.exe、.dll等类型。这个工具可能是一个专门用于分析、调试或修改这些PE文件的软件。 在深入讨论之前,首先理解PE文件的基本结构至关重要。PE文件由几个主要...
改写PE文件导入表加载DLL
03-18
需要注意的是,直接修改PE文件的导入表是一项精细的工作,需要对PE文件结构有深入的理解,否则可能导致文件损坏或无法运行。此外,这种方法也可能违反法律,因此在实际操作时应确保遵循合法和道德的准则。
PeEdit PE文件修改工具
08-18
安全可以用已经验证。
PE文件注入dll
B01814124的博客
08-20 498
0.前提 1.修改导入表的RVA值 84CC —— 8C80 0064 —— 0078 ;增加了新导入的dll, IID结构体大小 2.删除绑定导入表 修改其值为0即可 3.创建新的IDT 将76CC-76EF复写到7E80 在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据 00 8D 00 00 00 00 00 00 10 8D 00 00 20 8D 00 00 (8D00–7F00 导入名称表 函数名称地址 8D10–7F10 名称 dll名称
通过修改PE文件导入DLL
learn112的博客
01-17 919
通过修改PE文件导入DLL 修改思路 实例 1.查看IDT信息 图1 由上图我们可以得到以下信息: IDT的RVA信息在文件偏移160h处,值为84CC IDT的大小信息在文件偏移164h处,值为64h 1.1转到IDT处查看具体信息 转到84CC也就是文件偏移76CC 共有5个IID结构体(每个IID20个字节,对应一个DLL相关信息),最后一个IID为NULL 由上图我们发现并没有足够空间添加我们的DLL, 那么转移IDT 2.转移IDT 由图1可知IDT在.rdata节区, 查看.rdata节区
通过修改PE文件的方式导入DLL(包含详细操作流程)
fanxiaoyao1的博客
06-20 1303
我们需要修改IDT表,增加一条我们字节DLL文件的IID以达到导入的目的。在NT头下IMAGE_DATA_DIRECTORY_ARRAY结构体,找到导入表,导入表第一个参数的值便为IDT的RVA RVA是程序的相对虚拟地址,我们要想在文件中精确定位IDT,必须要把RVA转位RAW,在上图中也叫FOA(文件偏移,文件中某个位置距离文件头的偏移),具体的计算公式:84CCh属于.rdata节区,VirtualAddress 和PointerToRawData可从节区头中获取。 VirtualAddress 是指
修改PE文件实现静态DLL注入
笔记本
05-07 5276
PE文件注入DLL一般来说分为两种,一种是动态的,就是在程序运行中注入。还有一种是静态的,也就是修改PE文件达到DLL注入的效果。直接上实验步骤 实验(经过处理的NotePad,输入表下面有大量0000空余,无需进行移位操作): 1.LoadPE查看输入表 可以看到输入表的RVA是00007604,转化成文件偏移是6A04(用LoadPE中的位置计算器计算),c32找到6A04处 2...
C++学习(四五八)exe dllPE文件结构
hankern的专栏
12-21 1472
EXE文件DLL文件的区别完全是语义上的。它们使用的是相同的PE格式。惟一的不同在于一个位,这个位用来指示文件应该作为EXE还是DLL。甚至DLL文件的扩展名也完全也是人为的。你可以给DLL一个完全不同的扩展名,例如.OCX控件和控制面板小程序(.CPL)都是DLL。 ...
DLL注入修改PE静态注入
weixin_30530339的博客
11-16 520
DLL注入修改PE静态注入 0x00 前言 我们要注入的的力量功能是下载baidu首页数据。代码如下: #include"stdio.h" #include"stdio.h" #include"windows.h" #include"shlobj.h" #include"Wininet.h" #include"tchar.h" #pragmacomment...
PE文件格式分析及修改.doc
02-21
PE文件格式分析及修改文档深入探讨了Windows环境下可执行文件的标准格式, Portable Executable (PE)。PE文件是Win32平台特有的,设计用于跨不同硬件架构(如Intel和非Intel CPU)的兼容性,使得.exe、.dll、.sys和....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值