滴水逆向三期实践5:新增节

已于 2022-03-08 15:26:16 修改
阅读量1.1k 收藏 3
点赞数 2
分类专栏: 滴水逆向三期 文章标签: 逆向 节表 PE 新增节 windows
于 2021-09-29 09:59:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39805477/article/details/120541894
版权

如图,是新增节的大致思路,标红的位置为我们新增的部分,如果在已存在的节表后存在可以继续插入节表的空间,那么就多加一个节表。有了节表就要有对应的节,于是需要在文件末尾添加新的节存放代码或数据。

上述思路具体为:

1、判断是否有足够的空间,可以添加一个节表.

判断条件:

SizeOfHeader - (DOS + dos stub + PE标记 + 标准PE头 + 可选PE头 + 已存在节表) 

>= 2个节表的大小

为什么要两个节表的大小,因为除了根据SizeOfHeader判断头大小外,还可能会根据遍历节表直到整个节表全为0为止。还是为了保险起见,尽量在最后一个节表之后的再一整块节表的大小填充全0(这里改成1个节表的大小,插入后不填全0问题应该也不大,下同)


2、需要修改的数据

1) 添加一个新的节表(可以copy一份)

2) 在新增节表后面 填充一个节表大小的全0数据

3) 修改PE头中节的数量

4) 修改sizeOfImage的大小

5) 再在原有数据的最后,新增一个节的数据(内存对齐的整数倍).

6)修正新增节表的属性
 

如果没有新增节表的空间怎么办?

依然有办法添加新节表,思路为把DOS stub的数据全部覆盖掉,DOS_HEADER 的 lfanew 字段直接指向它的下一个字节,把剩下的整个头(整个NT头)包括节表全部抬升上来,那么新节表最后一个节表的位置和第一个节之间极大概率会有足够空间添加新节表的。

(注意区分节表和节的表述,节的位置肯定够的,直接在文件最后加就行了,文件会变得更大,所以要修改sizeOfImage的大小)

新增节表的属性就需要根据新增节内填充的数据而定了,比如这里我们希望像上篇文章一样注入MessageBox代码,那么新增节的属性需要具备可运行的功能,即Characteristics,该字段这里没有详述,可以参考其他文章。这里不会构造Characteristics的可以使用PE工具查看并拷贝值或直接写代码实现以下部分:

查看AddressOfEntryPoint指向的节的节表。那个节是起始代码运行的所在节,所以必然具备可运行代码的节属性。把该节表的Characteristics值拷贝到新节表Characteristics即可。

新节区在内存中的偏移(起始位置) = 内存中整个PE文件映射的大小

新节区在文件中的偏移 = 文件大小     这样最方便

接下来就是添加可运行代码的环节,与上一章节空白区注入代码要做的一模一样。只需要把新构造的代码作为新增节存放就好了。

新增节表的内存中大小直接就是添加代码的实际大小

新增节表的文件大小根据实际添加代码的大小进行文件对齐得出

具体C实现(包括判断空间不足后的头抬升操作)并附详细注释如下:

里面用到的所有自定义函数均可在前面的章节找到

这里插个极端情况,比如 xp 的记事本程序 notepad.exe 虽然按照上述条件判断是足够空间的,但是节表之后无缝紧跟着有一段有用的数据(后面会说到,就是绑定导入表),而且这段数据不能轻易挪走,这种极端情况下应该判定为需要把头进行抬升。而下面的程序没有写出这个判断,即应该还要判断待插入节表的位置是否全0。如果全0了才插入,否则需要头抬升。(程序中没有写这个)

#include "windows.h"
#include "stdio.h"

#define MESSAGEBOXADDR 0x76AF39A0  //这个值需要将任一exe文件拖入OD打开,搜索 MessageBoxA 记录它的地址到这里(每次开机都不同)

unsigned char ShellCode319[] =
{
	0x6A,0x00,0x6A,0x00,0x6A,0x00,0x6A,0x00,  //这行是push 四个0 作为 MessageBox 的参数
	0xE8,0x00,0x00,0x00,0x00,
	0xE9,0x00,0x00,0x00,0x00
};

//**************************************************************************								
//Align:计算对齐后的值					
//参数说明:								
//x  需要进行对齐的值								
//Alignment 对齐大小						
//返回值说明:								
//返回x进行Alignment值对齐后的值								
//**************************************************************************	
int Align(int x, int Alignment)
{
	if (x%Alignment==0)
	{
		return x;
	}
	else
	{
		return (1 + (x / Alignment)) * Alignment;
	}
}


void h319()
{
	char FilePath[] = "CRACKME.EXE";	//CRACKME.EXE        CrackHead.exe
	char CopyFilePath[] = "CRACKMEcopy.EXE";	//CRACKMEcopy.EXE       CrackHeadcopy.exe
	LPVOID pFileBuffer = NULL;				//会被函数改变的 函数输出之一
	LPVOID* ppFileBuffer = &pFileBuffer;	//传进函数的形参
	LPVOID pNewFileBuffer = NULL;
	int SizeOfFileBuffer;
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_SECTION_HEADER pLastSectionHeader = NULL;	//指向最后一个节表
	PIMAGE_SECTION_HEADER pNewSectionHeader = NULL;		//指向最后一个节表的下一个节表,即不存在的节表作为新开辟的节表
	bool isUplift = false;
	DWORD CallX = NULL;	//即E8后跟的4字节
	DWORD JmpX = NULL;	//即E9后跟的4字节

	SizeOfFileBuffer = ReadPEFile(FilePath, ppFileBuffer);	//pFileBuffer即指向已装载到内存中的exe首部
															/*pFileBuffer = *ppFileBuffer;*/
	if (!SizeOfFileBuffer)
	{
		printf("文件读取失败\n");
		return;
	}
	//Dos头
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;	// 强转 DOS_HEADER 结构体指针
	//NT头
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
	//PE头
	pFileHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);	//NT头地址 + 4 为 FileHeader 首址
	//可选PE头	
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);//SIZEOF_FILE_HEADER为固定值且不存在于PE文件字段中
	//首个节表
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

	//这里由于是之前写的代码,后来发现可以用winnt.h 中定义的 IMAGE_FIRST_SECTION( NTheader ) 宏定义函数来实现从nt头中找第一个节表

	for (int i = 1; i < pFileHeader->NumberOfSections; i++, pSectionHeader++)	//注意这里i从1开始 i < NumberOfSections
	{}	//出循环后pSectionHeader指向最后一个节表				
	pLastSectionHeader = pSectionHeader;
	pNewSectionHeader = pLastSectionHeader + 1;

	//节表结束的位置+两个节表的大小 仍然≤ 头大小,才可继续。插一个留两个为了插入一个新节表后仍有一个节表的位置填充0
	if ((DWORD)pNewSectionHeader + IMAGE_SIZEOF_SECTION_HEADER * 2 <= (DWORD)pFileBuffer + pOptionalHeader->SizeOfHeaders)
	{	//要节表后留出两个节表的空位且全为0,保证其中没有可能使用的数据,才允许插入新节表。
		PBYTE pTemp = (PBYTE)pNewSectionHeader;
		for (int i = 0; i < IMAGE_SIZEOF_SECTION_HEADER * 2; i++, pTemp++)
		{
			if (*pTemp)
			{
				printf("节表插入空位存在数据,需进行头抬升\n");
				isUplift = true;
				break;
			}
		}
	}
	else
	{
		printf("无节表插入空位,需进行头抬升\n");
		isUplift = true;
	}

	//isUplift = true; //头抬升测试
	if (isUplift)
	{
		if ((DWORD)pFileBuffer + sizeof(IMAGE_DOS_HEADER) - (DWORD)pNTHeader >= IMAGE_SIZEOF_SECTION_HEADER * 2)
		{
			printf("可抬升NT头\n");
			//开始拷贝,将NT头拷贝到DOS头结束之后,长度为NT头开始到最后一个节表结束时的长度,即pNewSectionHeader
			memcpy((void*)((DWORD)pFileBuffer + sizeof(IMAGE_DOS_HEADER)), pNTHeader, (DWORD)pNewSectionHeader - (DWORD)pNTHeader);
			//拷贝后重置e_lfanew位置
			//printf(" e_lfanew: %x\n", pDosHeader->e_lfanew);
			pDosHeader->e_lfanew = sizeof(IMAGE_DOS_HEADER);
			//printf("e_lfanew: %x\n", pDosHeader->e_lfanew);
			//抬升后更新所有被抬升的头指针
			//NT头
			pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
			//PE头
			pFileHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);	//NT头地址 + 4 为 FileHeader 首址
			//可选PE头	
			pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);//SIZEOF_FILE_HEADER为固定值且不存在于PE文件字段中
			//首个节表
			pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
			for (int i = 1; i < pFileHeader->NumberOfSections; i++, pSectionHeader++)	//注意这里i从1开始 i < NumberOfSections
			{}	//出循环后pSectionHeader指向最后一个节表				
			pLastSectionHeader = pSectionHeader;
			pNewSectionHeader = pLastSectionHeader + 1;
			//验证代码,判断是否是有效的PE标志
			if (*((PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)	//基址pFileBuffer + lfanew 为 NTHeader首址
			{
				printf("抬升后验证失败,不是有效的PE标志\n");
				return ;
			}
			printf("抬升成功!\n");
			//抬升成功后将最后一个节表后两个节表位置的空间置零
			memset(pNewSectionHeader, 0, IMAGE_SIZEOF_SECTION_HEADER * 2);

		}
		else
		{
			printf("不可抬升NT头,不可插入节表\n");
			free(pFileBuffer);
			return;
		}
	}

	//开始构造新节表
	printf("可插入节表\n");
	strcpy((char*)pNewSectionHeader->Name, (char*)".NewSec");
	pNewSectionHeader->Misc.VirtualSize = sizeof(ShellCode319);

	//节区在内存中的偏移 = 内存中整个PE文件映射的大小
	pNewSectionHeader->VirtualAddress = pOptionalHeader->SizeOfImage;

	//节区在文件对齐中的大小  以VirtualSize内存对齐向上取整
	printf("FileAlignment:%x\n", pOptionalHeader->FileAlignment);
	pNewSectionHeader->SizeOfRawData = Align(sizeof(ShellCode319), pOptionalHeader->FileAlignment);
	printf("SizeOfRawData:%x\n", pNewSectionHeader->SizeOfRawData);

	//节区在文件中的偏移 = 文件大小  (也可以是最后一个节区所在文件中位置 + 最后一个节区在文件对齐中的大小)二者一致
	pNewSectionHeader->PointerToRawData = SizeOfFileBuffer;//pLastSectionHeader->PointerToRawData + pLastSectionHeader->SizeOfRawData;
	pNewSectionHeader->PointerToRelocations = 0;
	pNewSectionHeader->PointerToLinenumbers = 0;
	pNewSectionHeader->NumberOfRelocations = 0;
	pNewSectionHeader->NumberOfLinenumbers = 0;
	pNewSectionHeader->Characteristics = 0x60000020;

	//新节表构造完毕, 修改节的数量
	pFileHeader->NumberOfSections++;

	//修改sizeOfImage的大小
	//节区在内存对齐中的大小  以VirtualSize内存对齐向上取整,对齐后加到SizeOfImage中
	printf("SectionAlignment: %x\nSizeOfImage:%x\n", pOptionalHeader->SectionAlignment, pOptionalHeader->SizeOfImage);
	pOptionalHeader->SizeOfImage += Align(sizeof(ShellCode319), pOptionalHeader->SectionAlignment);
	printf("SizeOfImage:%x\n", pOptionalHeader->SizeOfImage);

	//开辟新空间
	int SizeOfNewFileBuffer = SizeOfFileBuffer + pNewSectionHeader->SizeOfRawData;
	pNewFileBuffer = malloc(SizeOfNewFileBuffer);

	//在放入新空间前修改OEP的值并记录修改前的旧值
	DWORD OddAddressOfEntryPoint = pOptionalHeader->AddressOfEntryPoint;
	pOptionalHeader->AddressOfEntryPoint = pNewSectionHeader->VirtualAddress;

	//新节区之前的值全部复制,新节表部分已改变
	memcpy(pNewFileBuffer, pFileBuffer, SizeOfFileBuffer);

	//新节区全部置零
	memset((void *)((DWORD)pNewFileBuffer + pNewSectionHeader->PointerToRawData), 0, pNewSectionHeader->SizeOfRawData);

	//在新节区中放入ShallCode
	//X即E8后的数 = 要跳转的地址 - (E8所在地址 + 5)            (E8 所在地址+5 即 call指令的下一条指令的地址)
	//那么要跳转的地址即messageboxA地址。E8所在地址即 ImageBase内存运行基址 + VirtualAddress节所在偏移 +8 才到E8 (∵ShallCode就在节开头)
	CallX = MESSAGEBOXADDR - (pOptionalHeader->ImageBase + pNewSectionHeader->VirtualAddress + 8 + 5);

	//jump 要跳转的地址即OEP程序入口点, X = 程序入口点 - E9所在地址 + 5
	//这里程序入口点即ImageBase基址 + 修改前的OddAddressOfEntryPoint         E9所在地址计算同上   下式是化简后约去了ImageBase
	JmpX = OddAddressOfEntryPoint - (pNewSectionHeader->VirtualAddress + 13 + 5);

	//将上述计算后的值放入ShellCode319
	*(PDWORD)(ShellCode319 + 9) = CallX;
	*(PDWORD)(ShellCode319 + 14) = JmpX;
	for (int i = 0; i < sizeof(ShellCode319); i++)
	{
		printf("%x ", ShellCode319[i]);
	}
	printf("\n");

	//拷贝ShellCode319到内存中
	memcpy((void*)((DWORD)pNewFileBuffer + pNewSectionHeader->PointerToRawData), ShellCode319, sizeof(ShellCode319));
	MemeryToFile(pNewFileBuffer, SizeOfNewFileBuffer, CopyFilePath);
	free(pNewFileBuffer);
	free(pFileBuffer);
}

运行程序打印内容如下:

可插入节表
FileAlignment:200
SizeOfRawData:200
SectionAlignment: 1000
SizeOfImage:8000
SizeOfImage:9000
6a 0 6a 0 6a 0 6a 0 e8 93 b9 6e 76 e9 ee 8f ff ff
success

修改头抬升标志,测试抬升的头,运行程序打印内容如下:

可抬升NT头
抬升成功!
可插入节表
FileAlignment:200
SizeOfRawData:200
SectionAlignment: 1000
SizeOfImage:8000
SizeOfImage:9000
6a 0 6a 0 6a 0 6a 0 e8 93 b9 6e 76 e9 ee 8f ff ff
success

与上一章一样 运行新生成的另一份exe 会先弹窗,点击确定后才是原程序。

使用 PETool 查看原PE文件(exe)的节表:

 

新增节情况:

可见多了一节,.NewSec是我们在代码中起的名字,内存中偏移为上一节的结束位置的内存对齐后的值,文件中偏移也为上一节的结束位置的文件对齐后的值,标志Characteristics与CODE节一致

原 AddressOfEntryPoint:

新 AddressOfEntryPoint:

 正好落在新节区内,就是新增节的起始位置

头抬升的情况:

原exe的 lfanew:

头抬升后的 lfanew:(没有头抬升则此值不变)

Revival_S
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
滴水逆向——PE新增一个
sunr.
04-09 1123
1.问题描述: 2.注意事项: (1)首先判断头部的空白区够不够加节表, 所有的节表后面必须跟40个字0。所以添加节表时得确保有两个节表大小(即80字)的连续剩余。 分三种情况:a.头部的最后一个节表后直接可以放下两个区 b.节表后放不下,但是dos头后pe前可放下 c.前两种情况都不行,需扩大最后...
滴水逆向三期课件(全)
06-02
滴水逆向课程课件,完整版! 滴水逆向课程课件,完整版!
滴水逆向作业——新增一个
weixin_44584614的博客
03-15 735
新增一个 // testt.cpp : Defines the entry point for the console application. // #define _CRT_SECURE_NO_WARNINGS #include "stdafx.h" #include <malloc.h> #include <windows.h> #include <strin...
滴水---------新增
clayoa的博客
01-12 432
课讲到任意添加ShellCode,这课海哥让我们新增一个,为什么要新增一个呢?直接在后面添加不好吗,因为的空间不够大,我们需要从新增加一个。 需要的知识点: 1.我们需要看是否有足够的空间增加一个节表,一个节表40个字,但是我们要判断剩余的空间是否为80个字,因为规定最后一个节表后面需要跟着40空字,代表结束。 2.需要修改的属性 1) 添加一个新的节表(可以copy .text) 2) 修改标准PE头的NumberOfSection 3) 修改sizeOfImage 3
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向三期课件,滴水逆向三期课件下载源码.zip
10-15
滴水逆向三期课件,滴水逆向三期课件下载源码
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水逆向三期课件(全套)
03-25
滴水全套课件配合视频讲解,高效学习,下载就不亏!!
滴水逆向三期课件(全)
11-20
滴水逆向初级班三期课件,全套包括 EXE 练手文件 配套电子书 推荐下载绝对不亏!!
滴水逆向三期课件.rar
08-21
滴水逆向三期课件
滴水逆向三期课件+中级课件
03-21
初级有代码和课件,中级只有课件,网上所有中级都是这个版本的,不用找了
滴水逆向三期课件(全)
04-03
滴水逆向三期所有课件,需要的速度下载,全部课件,是xls格式的,也就是视频里的excel课件,用的7z最小体积压缩,方便下载!
滴水逆向3期初级和中级课件(海东老师讲)
09-04
滴水逆向3期初级和中级课件(海东老师讲) 全套包括 EXE 练手文件 配套电子书......
滴水逆向三期-fileBuffer_imageBuffer
tscg_的博客
03-20 503
本文详细介绍了一个PE文件从FileBuffer到ImageBuffer的具体过程
滴水逆向三期实践4:空白区
Rivival_S 的博客
09-22 1022
还记得之间无论是文件中还是内存中都会存在一定的空白区(空隙)。那么可不可以往这里面注入代码呢? 节表 VirtualSize(Misc)是指的真实大小,暂且相信这个值的真实性。(后面有更可靠的方法) 那么如果注入代码(硬编码)长度 加上VirtualSize仍然没有超过(覆盖)下一个在文件中的位置 , 即 ( VirtualSize + 即注入代码长度 ) <SizeOfRawData 那么就可以往PE文件中注入代码了。在此之前,还需要知道一点其他的知识 为了效果显著...
滴水三期:day33.1-新增、扩大-添加代码
Edimade的博客
05-02 1214
一、新增思路>二、手动新增添加代码>三、代码实现(1.编程实现:新增一个,并添加代码>2.编程实现:扩大最后一个,并添加代码)
RVA转FOA【滴水逆向三期43作业】
WdIg-2023的博客
03-05 374
RVA转FOA源代码,C语言逆向滴水逆向
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
最新发布
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值