导入表注入

最新推荐文章于 2023-10-24 20:36:51 发布
最新推荐文章于 2023-10-24 20:36:51 发布
阅读量239 收藏
点赞数
分类专栏: 滴水逆向第三期-实践 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tscg_/article/details/130373329
版权

引言

导入表注入就是把一个自己的dll程序加载进另一个exe进程的4GB内存空间。我们通过写进一张新的导入表来实现这个注入功能。

下面贴出海哥在滴水逆向第三期给出的部分dll程序代码:
首先是dll程序的头文件

void Init();
void Destroy();
extern "C" _declspec(dllexport) void ExportFunction();

然后是它的源文件

void Init()
{
	MessageBox(0,"Init","Init",MB_OK);
}
void Destroy()
{
	MessageBox(0,"Destroy","Destroy",MB_OK);
}
void ExportFunction()
{
	MessageBox(0,"ExportFunction","ExportFunction",MB_OK);
}

采用隐式调用的方法注入

#include "stdafx.h"
#include "MyDll.h"
BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		Init();
		break;
	case DLL_PROCESS_DETACH:
		Destroy();
		break;
    }
    return TRUE;
}

在刚打开注入后的程序时,发现弹出了Init()窗口,在关闭该程序时,又弹出了Destroy()窗口。

也就是说,dll的入口在往4GB里面粘贴的时候会调用一次,在把这个dll从4GB空间里面拿出来的时候还会再调用一次。但是如果这个程序不退出的话,系统永远都不会将这个dll从4GB空间里面给拿走。

而显式调用相比隐式调用会更加灵活。它可以在需要加载dll的时候用LoadLibrary()加载进来;在不需要这个dll的时候还可以用FreeLibrary()直接把它释放掉。同样会分别调用两次dll的入口。

我们可以移动哪些表?

数据目录项不能动,因为文件加载时,系统需要根据这个表去找需要的导入表导出表之类的数据
导出表结构可以动,但是由于导出表不止一张,所以需要将这一堆连着的导入表结构全部移动
INT表可移动,但是IAT表不能动,因为IAT表移动的代价太过巨大。在加载完的时候会生成一个call[xxx],这个xxx就是IAT表的首地址,若果我们移动了IAT表,但是我们不知道有哪些地方直接引用(如call[xxx],jmp xxx等)了IAT表,就需要遍历整个PE结构来找出它们,工程量太过巨大,所以我们不动IAT表。

导入表注入

我们通过给exe程序重新写进一个导入表来实现导入表注入。但是当系统一检查,发现导入表结构的OriginalFirstThunk指向的INT表和FirstThunk为空时,会判断这张导入表是没有意义的,操作系统不会加载它。所以,我们需要写入的导入表结构必须完整。也就是说,我们需要写入一张新的导入表,并且至少要有一个函数的INT表和IAT表以及对应的IMPORT_BY_NAME表。否则,操作系统认为这张导入表没有意义,就不会加载它。

实现步骤:
  1. 根据数据目录项找到导入表,获取它的信息
    在这里插入图片描述
    VirtualAddress和Size这两个值都需要
  2. 找到真正的导入表结构
    在这里插入图片描述
    计算新增一个导入表所需要的内存空间
    在这里插入图片描述
    我们将整个导入表结划分为ABCD四个部分。A部分是导入表结构的五个DWORD类型成员,总计20字节大小。B部分是OriginalFirstThunk指向的INT表和FirstThunk指向的IAT表,由于两张表均不能为空,我们需要在这两张表中分别写进一个数据,而这两张表都需要以0结尾,再加上每个数据占4个字节,所以B部分总计4*4=16字节大小。C部分由于储存的是一个dll名称的字符串,需要以’\0’结尾,所以C部分大小为dll名称长度+1。D部分_IMAGE_IMPORT_BY_NAME结构虽然只有3个字节大小,但是由于Name[1]只是储存函数名称的首字符,而这个名称也是以0结尾,所以D部分大小为函数名称长度+1+2。
    然后判断是否有一个节的空白区>Size(数据目录项指向的导入表的成员变量,记录了原导入表的大小)+20+A+B+C+D;如果空间不够,可以将CD两部分存储在其他空白区;如果空间仍然不够,则需要新增一个节或者扩大最后一个节来解决。
  3. 将原导入表全部Copy到空白区
  4. 在Copy的导入表后追加一个导入表
  5. 追加一个8个字节的INT表和一个8个字节的IAT表
  6. 追加一个IMAHE_IMPORT_BY_NAME结构,前两个字节的Hint存0,后面是函数名称字符串
  7. 将_IMAGE_IMPORT_BY_NAME结构的RVA赋值给INT表和IAT表中的第一项
  8. 分配空间存储dll名称的字符串,并将该字符串的RVA赋值给NAME属性
  9. 修正_IMAGE_DATA_DIRECTORY结构的VirtualAddress和Size
a11ure_1ove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE 之导入解析和注入
windows小菜鸡的博客
08-19 638
1、导入 导入是在可选PE头得数据目录项得第二项 其结构如下 其中name是一个RVA,是DLL的名字 OriginalFirstThunk指向INT,为 IMAGE_THUNK_DATA32的结构。这个结构的值中如果最高位为1 ,那么除去最高位的值函数的导出序号,否则为指向IMAGE_IMPORT_BY_NAME的RVA 其结构如下 其中Hint值无关紧要。 ** FirstThunk** 指向的是IAT,其内容结构与OriginalFirstThunk指向的INT一模一样 2、程序启动
滴水逆向三期实践17:导入注入
Rivival_S 的博客
11-10 2426
在动态链接库一章提到DllMain,这里再回顾一次 当dll被加载进4GB空间时,会调用一次DllMain(入口方法) 当程序执行完了要把dll从4GB空间被卸载,也会调用一次DllMain 注入的本质就是想方设法把自己的dll扔到别人进程的4GB空间里 而前面导入一章在最后提到,只有在PE文件内隐式调用(静态使用)时才会在调用者PE文件的导入内出现该 dll 的名字和相关函数,若为显示调用(动态使用),则这个被调用的dll名和相关函数不会在调用者导入内出现。 那么反过来也就是说,写
滴水三期:day41.1-导入注入
Edimade的博客
04-22 371
一、前后知识串联 > 二、注入(1.注入的种类 > 2.导入注入原理)> 三、移动导入(1.为什么要移动导入 > 2.导入注入步骤)四、设计要注入DLL(1.创建DLL > 2.使用DLL)五、作业(1.手动用工具实现注入 > 2.代码实现导入注入 > 3.特洛伊注入说明)
【逆向】导入注入
最新发布
fzucaicai的博客
10-24 615
很淦的是,当学到动态链接库的时候尝试过自己用def导出dll文件,当时啥问题都没有,一路畅通,但是很淦的是,昨天却死活导不出,只有dll没有lib文件,导致把dll放到Depend什么东东都没看见。谈谈我的理解,当exe想要调用dll里的函数的时候,首先去导入找对应的函数名或者导出序号,如果IAT有现成的已经绑定好的地址,那么就直接调用,如果没有,则需要通过INT IAT存着的函数名或者导出序号,然后调用GetProcAddress() 函数去导出找对应的函数真实地址,填在IAT,然后调用函数。
安全课程设计DLL注入设计
毕业作品网站
01-12 454
C:\Users\22057\Documents\Study\Class\GameSecurity\《校企合作课》-客户端-FlappyBird\FlappyBird_Data\Mono\EmbedRuntime\mono_original.dll。C:\Users\22057\Documents\Study\Class\GameSecurity\《校企合作课》-客户端-FlappyBird\FlappyBird_Data\Mono\EmbedRuntime\mono.dll。2、 DLL 劫持注入 2。
驱动开发实现修改导入注入dll
12-21
导入注入dll其实就是给程序的导入添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。 我在驱动实现修改导入的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调中...
vc往导入注入代码
04-13
visual c++注入代码到导入
导入注入代码》文章代码VC源代码
03-15
PE Maker to redirect API by JMP pemaker7.zip (193 KB) PE Maker to redirect ShellAbout() zimport.zip (130 KB) Import Table runtime redirector 《导入注入代码》文章代码,本文介绍注入代码到PE...
导入注入代码.rar
11-04
导入注入代码.rar需要大于20个字符,不支持HTML标签。
导入注入代码》文章代码
02-22
导入注入代码》文章代码,本文介绍注入代码到PE(Portable Executable可移植的执行体)文件格式的Import Table(导入,也有译为“引入”)技术,其也被称为API重定向技术(API redirection technique)。
输入注入
12-28
输入注入是一种常见的网络安全漏洞,主要发生在Web应用程序中,尤其是涉及到用户输入数据导入数据库的场景。这个漏洞允许攻击者通过精心构造的输入数据,干扰或操纵数据库查询,从而获取敏感信息、修改数据甚至...
修改导入载入DLL
白日梦
08-17 6693
关于修改EXE文件的导入,实际上是一个很古老的话题了(如果您是此中高手,请不要在这篇文章浪费时间了,如果您发现了其中的问题,还请多多指教).一些PE相关的软件,也都实现了这样的功能,例如Stud_PE.    Stud_PE通过添加一个新节并将导入连同添加的内容一并复制到新节的方法来实现对DLL导入.    使用这样的方法只要是PE格式的EXE文件,都可以实现导入DLL的功能,但此方法,实现
导出导入
wowbell的专栏
03-02 1182
导出 当一个EXE或DLL导出函数或变量时,其它EXE或DLL就可以使用这些导出的函数或变量。为了简单起见,我把导出的函数和导出的变量统称为“符号”。 当导出一些符号时,最起码导出符号的地址需要能够以一种已定义好的方式被获取。每个导出的符号都有一个与之关联的序数,它可以用来查找这个符号。同时,几 乎总有一个ASCII码格式的字符串名称与这个导出的符号关联。一般来说,导出的符号名与源文件中的符号名是一样的,尽管它们可以被修改的不一样。 通常,当可执行文件导入符号时,它使用的是符号的名称而不是它的序号
PE-导入
megaparsec
12-19 1926
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
注入技术——修改输入完成DLL注入
不忘初心,护天下安全!
05-09 1861
参考自《加密与解密》(第4版)第12章 注入技术 实验环境:Windows XP SP2 家庭版 实验素材:作者提供的MsgDLL.dll。此处的待注入DLL使用消息弹框来证明自己注入成功,实际中可以进行各种可怕又邪恶的动作。 修改对象:系统自带记事本 修改目标:记事本启动后,自动加载MsgDLL.dll DLL文件代码细节省略,通过使用MessageBox函数来显示消息框,仅此而已。关于...
DLL注入_修改导入(1)
余韵
11-09 1429
PE文件分析 (一) 替换DLL函数 通过修改PE文件导入导出来更改函数。单纯分析PE文件是一件比较无聊的事,通过修改可以更加灵活的利用和理解PE文件。这就像生活一样,总要有一些特别的事,才能更加有灵感。学习本身就是生活的一部分,如何让程序更加灵活,是一个比较值得去实践的事,可以更加接近计算机的一些思想。 (二) 环境 VC++ 6.0 为了减少复杂度,用VC++ 6.0编译sum.cpp su...
websql创建导入数据
06-12
接着,你需要使用 INSERT INTO 语句将数据导入中,例如: ``` INSERT INTO users (id, name, email) VALUES (1, 'John Doe', 'john.doe@example.com'); INSERT INTO users (id, name, email) VALUES (2, 'Jane ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值