代码空白区添加代码(手动)

最新推荐文章于 2024-01-17 18:37:13 发布
最新推荐文章于 2024-01-17 18:37:13 发布
阅读量573 收藏
点赞数
分类专栏: 逆向学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63792137/article/details/128171557
版权

代码空白区添加 MessageBox

  1. 测试代码,寻找目标地址

    #include "stdafx.h"
#include <windows.h>

void fun()
{
    printf("Hello Cntf\r\n");
    MessageBox(0,0,0,0);
}

int main(int argc, char* argv[])
{
    fun();
    return 0;
}

    上面代码编译执行,弹框,实现MessageBox的功能;

    我们需要找到MessageBox在程序执行的起始位置;

    在OD工具里面设置断点,命令行输入bp MessageBoxA,然后在菜单栏找到"B" 点击进去就发现了设置的断点;
    然后双击即可查看MessageBox的断点位置,如下:
    77D5050B > 8BFF MOV EDI,EDI
    最终确认MessageBox在程序中执行的地址:0x77D5050B

  2. E8,E9的计算
    E8是call的硬编码,E9是jmp的硬编码,6A是push的硬编码

    公式一:

    真正要跳转的地址 = E8这条指令的下一行地址 + X
    即:X = 真正要跳转的地址 - E8这条指令的下一行地址
    该指令的下一行地址为待执行的地址,因为当执行call指令后,机器的硬编码将不知道将执行哪一部分,所以如此设计了,加入了返回后该执行的地址编码(本人理解)

    • 验证E8 call后面4个字节
      如下为上c代码,进行编译,调试,进入反汇编得到的结果

      15:       fun();
00401098 E8 68 FF FF FF       call        @ILT+0(fun) (00401005)
16:       return 0;
0040109D 33 C0                xor         eax,eax

      解释:
      E8 —> call的硬编码
      E8后面的4个字节是通过计算的出来的,我们上面的公式就是要验证确认他们的计算方式

      根据公式,已知:真正要跳转的地址和E8这条指令的下一行地址;

      开始计算

      X = 真正要跳转的地址 - E8这条指令的下一行地址
      X = 0x00401005 - 0x0040109D = 0xFFFFFF68

      小端存储,通过上面对比得知他们是一样的;

    • 验证E9 jmp后面4个字节

      生成的反汇编代码

      @ILT+0(?fun@@YAXXZ):
00401005 E9 16 00 00 00       jmp         fun (00401020)
@ILT+5(_main):
0040100A E9 71 00 00 00       jmp         main (00401080)

      开始计算
      X = 真正要跳转的地址 - E8这条指令的下一行地址
      X = 0x00401020 - 0x0040100A = 0x00000016

      小端存储,通过上面对比得知他们是一样的;

      公式二:

      要跳转的地方 = (E8当前的地址 + 5)1 + X

      即:X = 要跳转的地址 - (E8的地址 + 5)

      MessageBox的反汇编信息如下

      10:       MessageBox(0,0,0,0);
00401045 8B F4                mov         esi,esp		// 反汇编后,发现MessageBox有4个push的参数
00401047 6A 00                push        0
00401049 6A 00                push        0
0040104B 6A 00                push        0
0040104D 6A 00                push        0
0040104F FF 15 8C 52 42 00    call        dword ptr [__imp__MessageBoxA@16 (0042528c)]
00401055 3B F4                cmp         esi,esp
00401057 E8 F4 00 00 00       call        __chkesp (00401150)
11:   }

      所以总结下来,需要向程序的代码区域插入如下18个字节的代码即可,而E8,E9后面的四个字节是需要算的

      6A 00 6A 00 6A 00 6A 00 E8 00 00 00 00 E9 00 00 00 00 —> 18个字节大小

  3. 在代码区手动添加 shellcode 代码

    VirtualSize:            0x000001f8     000440A2     [V(VS),内存中大小(对齐前的长度).]
VirtualAddress:         0x000001fc     00001000     [V(VO),内存中偏移(该块的RVA).]
SizeOfRawData:          0x00000200     00045000     [R(RS),文件中大小(对齐后的长度).]
PointerToRawData:       0x00000204     00001000     [R(RO),文件中偏移.]

    00045000 - 000440A2 = F5E - - -> 此处计算结果必须大于我们上面要插入的18个字节大小,不然会出问题

    使用16进制编辑器打开exe二进制文件
    在第一个节后面的代码空白区域添加我们的代码;就是在SizeOfRawData -> 0x00045000的后面

    理解:
    第一个节从PointerToRawData 文件偏移开始–> 0x00001000开始向后数,数到0x00045000结束;
    然后根据对齐宽度是1000H,所以向后再加上1000H就是0x00046000是第二个节的开始位置;
    这里需要注意,我使用编辑器打开ipmsg.exe文件之后,找到0x00045000的位置发现还有数据;
    向后扩展1000H到了0x00046000位置是对的,刚好是下一个节的开始位置,而这期间;
    0x00045000 - 0x00046000这里面开头一点还是有数据的,到了一定的位置发现都是00,那么确认此处;
    0x00046000开始的上一个字节位置都是空白区域,都是可以填充数据的;

    我这里找到代码空白区域的位置是0x000450a2开始,从这里开始的,我们从此处的下一行开始填充代码;

    也就是从0x000450b0位置开始,具体如下:

    000450b0h: 6A 00 6A 00 6A 00 6A 00 E8 00 00 00 00 E9 00 00
000450c0h: 00 00

    添加执行函数call汇编指令和jmp汇编指令后面的硬编码数据

    • 添加E8 call 指令

      需要的MessageBox数据 ----> 0x77D5050B,根据公式二:X = 要跳转的地址 - (E8当前的地址 + 5),来计算E8,E9后面部分的硬编码

      填充数据:
      要跳转的地址 = 0x77D5050B
      E8当前的地址 + 5 = 下一个jmp的汇编指令开头 —> E9的位置 —> 0x000450bd

      得到上面的地址,一定要再考虑(ImageBuffer里面的偏移)内存偏移和 因为我们加入的代码;
      最终是要在内存中运行,所以一定是要考虑在内存中偏移和对齐;
      要考虑这两个 —> VirtualAddressPointerToRawData

      VirtualAddress:    0x000001fc       00001000        [V(VO),内存中偏移(该块的RVA).]
      PointerToRawData: 0x00000204      00001000        [R(RO),文件中偏移.]
      ImageBase:       [地址(RAW):0x0000012c] [长度:04h]   [偏移量:e_lfanew+0x34]
      [数据:0x00400000]   [基址,程序默认装入的基地址.]

      本次测试使用的程序很巧,刚好文件和内存中的偏移是一样的,都是1000H
      ImageBase和内存偏移地址1000H得出地址:0x000450bd + 0x00400000 = 0x004450bd

      X = 要跳转的地址 - (E8当前的地址 + 5)

      要跳转的地址 --> 0x77D5050B (这里要跳转的地址就是上面我们找到的MessageBox的地址)
      (E8当前的地址 + 5) --> 0x004450bd(上述所计算的地址)

      X = 0x77D5050B - 0x004450bd = 0x7790B44E

      0x7790B44E --> 77 90 B4 4E --> 小端模式 --> 4E B4 90 77 --> 放入E8的后面
      000450b8h: E8 4E B4 90 77 - - -> 这就是最终的E8后面的数据

    • 添加E9 jmp指令

      加入代码之后,需要再回到程序的入口处,所以E9要跳转的地址就是OEP的地址

      AddressEntryPoint     --> 0x000441EC
ImageBase             --> 0x00400000
OEP地址   --> 0x000441EC + 0x00400000 = 0x004441EC

      要跳转的地址 --> 0x004441EC
      (E9当前的地址 + 5) --> 0x004450C2

      X = 要跳转的地址 - (E9当前的地址 + 5)
      X = 0x004441EC - 0x004450C2 = 0xFFFFF12A
      0xFFFFF12A --> FF FF F1 2A --> 小端模式 --> 2A F1 FF FF --> 放入E9的后面

      000450bdh: E9 2A F1 FF FF - - -> 这就是最终的E9后面的数据

  4. 修改OEP的值,指向我们设置的 shellcode

    修改的 shellcode 地址:0x00450b0
    原来的OEP地址位置:0x000441EC
    对应位置是可选PE文件头 --> 00000120h: EC 41 04 00
    将其更改为这个地址内容 --> 0x00000120 --> B0 50 04 00

  5. 修改图示

    display1

    display2
    参考文献https://www.cnblogs.com/autopwn/tag/逆向/default.html?page=4

  1. 5为 call 或者 jmp 后面的5个字节跳过,则 E8 + 5 恰好为下一行的地址 ↩︎

`流年づ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
VBA 精选示例代码
←か淡定☆ ヾ 的博客
09-13 2403
目录1 厘米&英寸&像素&Point 的转换 1 厘米&英寸&像素&Point 的转换 英寸(inch)转换为 Point Vinchs = 10 ' inch VPoints = Application.InchesToPoints(Vinchs) Debug.Print Vpoints 厘米(cm)转换为 Point VCentimeter= 1 ' cm VPoints = Application.CentimetersToPoi...
Git 代码回滚与找回的艺术
CODING 博客
03-02 770
本文作者: marklai(赖泽浩)- 高级软件工程师,十年软件配置管理经验,现服务于 CSIG 云与智慧产业事业群质量部 导语 Git 是一个灵活和强大的版本管理工具,正确使用能够有效促进团队协作,防止版本丢失。然而实践中,有些开发人员会或有意或无意地误用部分 Git 的功能,给团队带来困扰,甚至造成损失。不恰当的代码回滚操作是其中的主要问题之一。 本文主要分享针对不同场景的代码回滚操作,以及如何抢救误删的内容。 一个典型案例 我们先通过一个项目团队真实出现过的典型案例,来看看不恰当的代码回滚可能带来.
代码空白添加代码
qq_41232519的博客
08-30 759
文章目录一、 找个可以写二进制的域二、寻找本机MessageBoxA(最终要跳到的地址)三、计算四、修改入口地址 一、 找个可以写二进制的域 二、寻找本机MessageBoxA(最终要跳到的地址) 三、计算 1、要运行代码的地址 E8 = MessageBoxA - 内存中当前代码的偏移地址 - 5 77D5050B - 400F98 - 5 = 7794F56E 2、返回入口地址 E9 = 内存入口的偏移地址 - 内存中当前代码的偏移地址 - 5 4183D7 - 400F9D -5 = 174
滴水三期:day31.1-代码空白添加代码
Edimade的博客
05-02 1182
一、代码空白添加代码(1.MessageBox函数说明>2.call与jmp指令的硬编码>3.添加代码效果说明>4.添加思路)>二、作业(1.在代码空白添加代码(手动))
代码空白添加代码手动)(含C练习代码)【基础函数的实现的源代码在这里面】
lygl35的博客
06-24 1153
7559ED60 > 8BFF mov edi,edi ; HelloWor.
初识PE结构:编程在任意节空白添加代码(一)
laobingzai的博客
01-03 1908
我们如果想在任意节空白添加隐藏代码:首先我们先实验对PE文件进行正确的读写,是要将.exe文件从硬盘中完整地拷贝到内存中,这时我们称这个在内存数据块为FileBuffer,然后我们要将FileBuffer按照操作系统能运行的要求进行拉伸对齐生成内存映像文件ImageBuffer,我们才能得到正确的偏移,之后将ImageBuffer按照文件对齐的形式转成新的文件NewBuffer,最后将NewBu
从文件到Filebuffer再到ImageBuffer再到Newbuffer再到文件(低内聚,高耦合)
weixin_42408832的博客
06-24 303
// ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> //函数声明 LPVOID ReadPEFile(LPSTR FilePath); void PrintNTHeaders(LPVOID pfilebuf); void ImageBufferToFil
新增节-添加代码
lygl35的博客
07-01 531
1、要判断空间是否足够 要判断节目录下面是否有足够的空间添加一个节目录项,一个节目录项需要40个字节的空间,而且整个节目录必须以40个存储 0的字节结尾,也就是所加一个节目录项只是需要 80个字节的空间。 2、复制一个相同属性的节,然后在复制过来的基础上进行修改必要的属性 3、修改节属性 1、修改节的数量 _IMAGE_FILE_HEADER->NumberOfSections 2、修改PE文件内存拉伸后的大小,_IMAGE_OPTIONAL_HEADER ->SizeOfImage 3、
CODE128和CODE39条形码生成打印代码
05-08
4. 添加和可选的文本标签:静是条形码两侧的空白域,有助于读码器识别条形码的开始和结束;文本标签可以显示条形码所代表的字符。 打印条形码时,需要注意以下几点: 1. 分辨率:打印设备的分辨率应足够高...
在任意代码空白添加代码(C语言)
最新发布
qq_53613951的博客
01-17 950
在任意代码空白添加代码
空白源代碼
05-07
空白文件/上傳測試/空白文件/上傳測試/空白文件/上傳測試
添加代码
aa41604362的博客
11-23 365
string xinghao = this.txtxinghao.Text.Trim(); string chichun = this.txtchichun.Text.Trim(); string kuanshi = this.txtkuanshi.Text.Trim(); int jiage = Convert.ToI...
向节表空白添加代码
LittleCracker的博客
05-17 1069
菜鸟一只,最近一直在学PE,刚学的往节表空白添加代码,就想水个贴,然后算是总结一下,大牛就别看了,太菜……    用的软件是WinHex,OD,Petools,跟vs2013,感染的软件是本地的记事本notepad.exe    这是很简单的一个感染,在打开程序之前加上弹窗。先执行我们的弹窗,之后再执行软件自身的代码。     步骤如下:   1、获取MessageBox地址,构造ShellCo...
插入代码
小白的博客
07-15 922
HTML 基础 之 表格 table HTML 基础 之 表格 table
PE文件在任意空白添加代码
CleanMe的博客
12-24 719
环境: windowsXP 工具: 吾爱版OD,winhex , vc6++ 当然,知道一些PE文件头的知识更好 在最后有介绍一点PE文件结构的知识,有助于理解此文章 目标:在一个程序中的任意空白添加代码 ( 转换为机器码 ) 如在文件头与节数据之间添加代码: 在此位置添加一个message弹框的机器码,使程序在执行前先弹出一个消息框。 先查看message消息框的汇编代码 在00401032处先把message函数方法需要四个参数压入栈中,然后call直接调用message函数 但是m.
PE——向空白添加代码
z1041259928的博客
03-13 601
初学这个部分,记下一个简单列子,后面再补充其他成分 向一个程序添加一个对话框,让这个程序在执行的时候,先执行我们加入的对话框 思路:在代码节的空白添加我们要加入的代码,因为代码节的属性就是可读可写可执行,添加到其他节需要自己修改属性, E8 和E9 两个硬编码分别是call和jump 都是跟4个字节的指令,设这4字节为X,这个X=程序真正要跳转的地址减去指令下一条指令的地址 6A是push指...
任意代码添加
Iamangle122的博客
12-27 312
硬编码:E8 call E9 jmp 真正要跳转的地址=E8这条指令的下一行地址+X x=真正要跳转的地址-E8这条指令的下一行地址
PE-EXE-FileBuffer-ImageBuffer-NewFile-(解释版-非常详细)
qq_45714114的博客
09-06 257
头文件globle.h // globle.h: interface for the globle class. // ////////////////////////////////////////////////////////////////////// #if !defined(AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_) #define AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15
零基础逆向工程20_PE结构04_任意节空白_新增节_扩大节添加代码
weixin_30437337的博客
09-25 227
代码添加代码实现 作者经过一周不断的失败,再思考以及无数次调试终于实现。 思路:八个步骤 1. 文件拷到文件缓冲(FileBuffer) //图示见(零基础逆向工程18之PE加载过程) 2. 文件缓冲扩展到内存映像缓冲(ImageBuffer) 3. 判断代码空闲是否有足够空间存储ShellCode代码 4. 将代码复制到空闲 5. 修正E8 6. 修正E9 7. 修改OEP 8....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值