【读书笔记】-《windows PE 权威指南》-重定位

最新推荐文章于 2022-07-30 08:17:26 发布
最新推荐文章于 2022-07-30 08:17:26 发布
阅读量195 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/moriarty/archive/2012/04/16/2451806.html
版权 
  1 ;--------------------------------
  2 ;动态加载功能实现
  3 ;moriarty
  4 ;2012/04/13
  5 ;--------------------------------
  6 .386
  7 .model flat,stdcall
  8 option casemap:none
  9 
 10 include windows.inc
 11 
 12 ;声明函数
 13 _QLGetProcAddress    typedef proto     :dword, :dword
 14 
 15 ;声明函数引用
 16 _ApiGetProcAddress     typedef     ptr     _QLGetProcAddress
 17 
 18 _QLLoadLib     typedef        proto    :dword
 19 _ApiLoadLib     typedef        ptr    _QLLoadLib
 20 
 21 _QLMessageBoxA    typedef        proto    :dword, :dword, :dword
 22 _ApiMessageBoxA    typedef        ptr    _QLMessageBoxA
 23 
 24 
 25 ;代码段
 26 .code
 27 szText        db    'HelloWorldPE',0
 28 szGetProcAddr    db    'GetProcAddress',0
 29 szLoadLib    db    'LoadLibraryA',0
 30 szMessageBox    db    'MessageBoxA',0
 31 
 32 user32_DLL    db    'user32.dll',0,0
 33 
 34 ;定义函数
 35 _getProcAddress        _ApiGetProcAddress    ?
 36 _loadLibrary        _ApiLoadLib        ?
 37 _messageBox        _ApiMessageBoxA        ?
 38 
 39 hKernel32Base    dd    ?
 40 hUser32Base    dd    ?
 41 lpGetProcAddr    dd    ?
 42 lpLoadLib    dd    ?
 43 
 44 ;------------------------------------------
 45 ;根据kernel32.dll中的一个地址获取它的基址
 46 ;------------------------------------------
 47 _getKernelBase    proc    _dwKernelRetAddress
 48     
 49     LOCAL    @dwRet
 50     pushad
 51     mov     @dwRet, 0
 52     
 53     mov    edi, _dwKernelRetAddress
 54     and    edi, 0ffff0000h
 55     
 56     .repeat
 57         ;找到kernel32.dll的dos头
 58         .if word ptr [edi] == IMAGE_DOS_SIGNATURE
 59             mov     esi, edi
 60             add    esi, [esi+003ch]
 61             
 62             ;找到kernel32.dll的pe头标示
 63             .if word ptr [esi] == IMAGE_NT_SIGNATURE
 64                 mov    @dwRet, edi
 65                 .break
 66             .endif
 67         .endif
 68         
 69         sub    edi, 010000h
 70         .break    .if edi < 070000000h
 71     .until FALSE
 72     
 73     popad
 74     mov     eax, @dwRet
 75     
 76     ret
 77 
 78 _getKernelBase endp
 79 
 80 
 81 ;--------------------------------------------------------
 82 ;获取指定字符串的api函数的调用地址
 83 ;入口参数:    _hModule 为动态链接库的基址
 84 ;        _lpApi 为api函数名的首地址
 85 ;出口参数:eax为函数在虚拟地址空间中的真实地址
 86 ;--------------------------------------------------------
 87 _getApi    proc    _hModule, _lpApi
 88     
 89     LOCAL    @ret
 90     LOCAL    @dwLen
 91     
 92     pushad
 93     mov    @ret, 0
 94     
 95     ;计算api字符串的长度 (包括最后的0在内)
 96     mov    edi, _lpApi
 97     mov    ecx, -1
 98     xor    al , al
 99     cld
100     
101     repnz    scasb ;比较edi与al  直到内容相同退出(即最后一个 0 时退出)
102     
103     mov    ecx, edi ;在repnz  比对过程中 edi 最终指向 字符串末尾的地址
104     sub    ecx, _lpApi ;尾地址-首地址=字符串长度
105     mov    @dwLen, ecx
106     
107     ;从pe文件头的数据目录表 取出导出表首地址
108     mov    esi, _hModule
109     add    esi, [esi+3ch] ;[esi+3ch]指向dos头的e_lfaNew字段
110     
111     assume    esi :ptr IMAGE_NT_HEADERS ;esi指向IMAGE_NT_HEADERS 的结构
112     
113     mov    esi, [esi].OptionalHeader.DataDirectory.VirtualAddress; 指向数据目标表第一项(即DataDirectory[0]导出表)
114     add    esi, _hModule ;导出表的虚拟地址VA=偏移+基址
115     
116     assume    esi :ptr IMAGE_EXPORT_DIRECTORY ;
117     
118     ;查找指定名称的导出函数
119     mov    ebx, [esi].AddressOfNames; 导出函数名地址 数组
120     add    ebx, _hModule ;得到真实VA
121     
122     xor    edx, edx
123     .repeat
124         push     esi
125         mov    edi, [ebx]
126         add    edi, _hModule ;得到函数名的VA
127         
128         mov    esi, _lpApi
129         mov    ecx, @dwLen
130         repz    cmpsb    ;比较[edi]、[esi]的内容,将比对结果写入标志位,直到不相同或者ecx为0
131         
132         .if    ZERO? ;标志位为0 表示上面的的字符串比对 是匹配的
133             pop    esi
134             jmp    @F
135             
136         .endif
137         
138         pop    esi
139         add    ebx, 4 ;比对 函数名地址数组的 下一项函数名
140         inc    edx
141     .until    edx >=  [esi].NumberOfNames
142     jmp    _ret
143     
144 @@:
145     ;通过上面步骤得到的AddressOfNames的数组索引  获取函数调用的VA
146     sub    ebx, [esi].AddressOfNames
147     sub    ebx, _hModule    ;获得 指定函数名地址 到函数名数组首地址的偏移 
148     
149     shr    ebx, 1    ;偏移值 移位操作 =ebx/2 
150     
151     add    ebx, [esi].AddressOfNameOrdinals ;首地址+索引值   即 为指定 AddressOfNameOrdinals 的RVA
152     ;指定的AddressOfNameOrdinals 的VA  
153     ;注:AddressOfNameOrdinals里面存储的是AddressOfFunctions的索引
154     ;AddressOfFunctions里面存储的是函数调用的地址
155     add    ebx, _hModule    
156     
157     movzx    eax, word ptr [ebx]
158     shl    eax, 2    ;根据AddressOfNameOrdinals里面的索引值*2 = AddressOfFunctions首地址的偏移量
159     
160     add    eax, [esi].AddressOfFunctions ;函数调用数组首地址+偏移量= 所需求的那个 函数调用地址
161     add    eax, _hModule ;得到 指定函数调用的 VA
162     
163     mov    eax, [eax]
164     add    eax, _hModule
165     mov    @ret, eax
166     
167 _ret:
168     assume    esi :nothing
169     popad
170     mov    eax, @ret
171     
172     ret
173 _getApi endp
174 
175 ;------------------------------------------
176 ;函数真正开始执行的地方
177 ;------------------------------------------
178 start:
179     ;取当前函数的栈顶数据
180     ;函数刚开始的时候栈顶地址 一定存在于kernel32.dll地址空间内
181     ;正合适以此寻找kernel32.dll的基址
182     mov    eax, dword ptr [esp]
183     push    eax
184     call    @F
185 @@:
186     pop    ebx
187     sub    ebx, @B ;重定位功能:ebx存储基址
188     
189     pop    eax
190     
191     ;获取kernel32.dll的基址
192     invoke    _getKernelBase,eax
193     mov    [ebx + offset hKernel32Base], eax
194     
195     ;从基地址出发搜索GetProcAddress函数的地址
196     mov    eax, offset szGetProcAddr
197     add    eax, ebx ;eax存储的是 加了基址之后的szGetProcAddr的绝对地址VA
198     
199     mov    edi, offset hKernel32Base
200     mov    ecx, [edi + ebx]
201     
202     ;调用函数  获取GetProcAddress的调用地址
203     invoke    _getApi, ecx, eax
204     
205     mov    [ebx + offset lpGetProcAddr], eax
206     
207     ;将GetProcAddress的真实调用地址 存入_getProcAddress变量中
208     mov    [ebx + offset _getProcAddress], eax
209     
210     ;下面使用GetProcAddress函数的基址 调用该函数的功能
211     ;参数1:获取  LoadLibraryA 函数名字符串的地址
212     mov    eax, offset szLoadLib
213     add    eax, ebx
214     
215     ;参数2:获取 Kernel32.dll的基址
216     mov    edi, offset hKernel32Base
217     mov    ecx, [edi + ebx] 
218     
219     ;获取GetProcAddress的函数调用地址
220     mov    edx, offset _getProcAddress
221     add    edx, ebx
222     
223     ;调用函数GetProcAddress  获取LoadLibraryA的调用地址
224     ;GetProcAddress hKernel32Base,LoadLibraryA
225     push    eax
226     push    ecx
227     call    dword ptr [edx]
228     
229     ;将函数LoadLibraryA的调用地址存入_loadLibrary变量
230     mov    [ebx + offset _loadLibrary], eax
231     
232     ;使用LoadLibrary载入user32.dll
233     ;参数1:获取user32.dll字符串的地址
234     mov    eax, offset user32_DLL
235     add    eax, ebx
236     
237     ;函数LoadLibrary的调用地址
238     mov    edi, offset _loadLibrary
239     mov    edx, [ebx + edi]
240     
241     ;调用函数LoadLibraryA
242     ;LoadLibraryA "user32.dll"
243     push    eax
244     call    edx
245     
246     ;保存user32.dll的基址
247     mov    [ebx + offset hUser32Base], eax
248     
249     ;获取MessageBoxA的函数调用地址
250     ;参数1:MessageBoxA函数名的地址
251     mov    eax, offset szMessageBox
252     add    eax, ebx
253     
254     ;参数2:user32.dll的基址
255     mov     edi, offset hUser32Base
256     mov    ecx, [edi + ebx]
257     
258     ;参数3:GetProcAddress地址
259     mov    edx, offset _getProcAddress
260     add    edx, ebx
261     
262     ;模仿调用:GetProcAddress hUser32Base,MessageBoxA
263     push    eax
264     push    ecx
265     call    dword ptr [edx]
266     
267     ;保存MessageBoxA的函数调用地址
268     mov    [ebx + offset _messageBox], eax
269     
270     ;调用MessageBoxA这个方法
271     ;参数1:字符串szText
272     mov    eax, offset szText
273     add    eax, ebx
274     
275     ;参数2:函数MessageBoxA的地址
276     mov    edx, offset _messageBox
277     add    edx, ebx
278     
279     ;模仿调用MessageBoxA NULL, addr szText,Null,MB_OK
280     push     MB_OK
281     push     NULL
282     push     eax
283     push     NULL
284     call    dword ptr [edx]
285      
286     ret
287     
288     end start
289     
290     
291

 

转载于:https://www.cnblogs.com/moriarty/archive/2012/04/16/2451806.html

weixin_33720452
关注
WINDOWSPE权威指南》学习笔记(一)-U盘监控器的破解
CCCyrus
07-22 2174
WINDOWSPE权威指南》学习笔记(一)-U盘监控器的破解
搜索KERNEL32.DLL得到API地址
01-13
搜索KERNEL32.DLL得到API地址
病毒程序的重定位+动态获取API+获取kernel32.dll基地址+钩子+驻留内存
chopstics的专栏
07-07 3739
1. 病毒程序:1)宿主:被病毒感染的程序。例如:exe dll office文档   2)重定位:在病毒体中使用绝对位置规定的变量或入口地址,病毒体被插入到宿主程序时,这些规定的绝对位置可以已经被宿主程序使用,从而病毒体无法使用。为保证病毒体在宿主中正常执行,需要在病毒代码中使用重定位的技术。 3)重定位的实现: 病毒代码重定位: call @@1 @@1:pop edx ……….
定位kernel32.dll
我多么希望明天有太阳,来灼烧我腐烂的梦想
02-13 1706
此方法是通过TEB获得PEB结构地址,然后再获得PEB_LDR_DATA结构地址,然后遍历模块列表,查找kernel32.dll模块的基地址。windbg启动目标程序0:000> !teb TEB at 7ffdf000 ExceptionList: 0012fb40 StackBase: 00130000 StackLimit:
api重定向源码
03-02
api重定向,反检测,外挂必须使用的技术,希望大家多多下载谢谢输入法注入源码.e
代码重定位技术
tutucoo
11-29 334
int g_nTest; __asm { call Dels Dels: pop ebx lea eax, g_nTest sub eax, Dels lea edx, [ebx + eax] }...
笔记-webpack5学习指南-V1.0
08-29
笔记-webpack5学习指南-V1.0
冰河的渗透实战笔记-冰河.pdf
05-18
冰河整理的全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、...
WINDOWS+PE权威指南读书笔记(1)
沐一 · 林 的博客
09-27 352
基础知识积累 PE相关的基本概念: Portable Executable历史: NT 操作系统的许多设计元素均借鉴了DEC 在 VMS 和RSX-11 上的前期经验,其中就包括目前 Windows 操作系统家族系列一直使用的核心文件格式 PE/COFF 。 PE (Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目标是使链接生成的 EXE 文件能在不同的 CPU 工作指令下工作。 Windows 操作系统中可执行程序有好多种,比如C
WINDOWS+PE权威指南读书笔记(3)
沐一 · 林 的博客
09-28 462
32 位系统下的 PE 结构: DOS MZ 头中有一个字段非常重要,即 IMAGE DOS_HEADER.e lfanew,没有它操作系统就定位不到标准的 PE 头部,可执行程序也就会被操作系统认为是非法的 PE 映像。 1. 定位标准PE头: 由于 DOS Stub 的长度不国定,导致了DOS 头也不是一个固定大小的数据结构。所以定位PE头要用到字段e_lfanew ,该字段的值是一个相对偏移量,绝对定位时需要加上 DOS MZ 头的基地址。 通过以下公式可以得出 PE 头的绝对位置:
3.4 动态定位API函数地址(原理)
qq_55202378的博客
07-30 1243
动态定位 API函数1
内核库函数Kernel32.exe提供的API
~ 飞 扬 的 天 空 ~
05-02 2334
内核库函数Kernel32.exe提供的API 函数名称  说明AddAtom 向本地原子表添加一个字符串AllocConsole 为当前进程分配一个新控制台AreFileApisANSI 确定一个WIN32文件函数集是否在使用ANSI或OEM字符集代码页BackupRead 向一缓冲区读进与给定文件相关联的数据BackupSeek 在访问数据流中向前搜索BackupWrite 将数据传送到指定的
恶意代码的亲密接触之文件搜索和API导址
www.pingfi.com
06-14 1092
 http://dev.yesky.com/126/2540626.shtml在前一篇文章中介绍了病毒的相关基础知识后,从本文开始我们就要深入病毒内部,开始看一些具体的病毒编码片断,在本文中我们会看到API函数搜索以及文件搜索的技术,为后面更加深入的探讨打下良好的基础,如果你已经准备好了,就让作者带你进入这无所不用其极的病毒技术世界吧。  获取Kernel32.DLL 基址   获取Kernel3
KERNEL32.DLL中可供调用的API函数列表
热门推荐
forpersonal
08-07 2万+
KERNEL32.DLL中可供调用的API函数列表,如下: ActivateActCtx AddAtomA AddAtomW AddConsoleAliasA AddConsoleAliasW AddLocalAlternateComputerNameA AddLocalAlte
Hadoop权威指南----读书笔记.pdf
01-09
Hadoop权威指南----读书笔记
WINDOWS+PE权威指南读书笔记(9)
沐一 · 林 的博客
10-15 511
目录 PE中的导出表 导出表作用、链接库功能、获得导出函数地址: 构造含导出表的 PE 文件: 安转MASM32软件包: DLL 源代码,编写def,Inc头文件、编译链接: 使用导出函数: 导出表数据结构 导出表定位: 导出目录结构 IMAGE_EXPORT_DIRECTORY: 导出表实例分析: PE中的导出表 这里重点介绍与导入表刚好相反的导出表,它描述了导出表所在 PE 文件向其他程序提供的可供调用的函数的情况。 导出表作用、链接库功能、获得导出函数地址: 导出表的作
C#调用API函数
w123wxh的专栏
07-22 1244
一、调用格式using System.Runtime.InteropServices; //引用此名称空间,简化后面的代码//使用DllImportAttribute特性来引入api函数,注意声明的是空方法,即方法体为空。[DllImport("user32.dll")]public static extern ReturnType FunctionName(type arg1,type arg2
关于重定向的API
leslietuang的专栏
12-03 2049
#include #include #include int main(void) { int fd, outBak; // const char *str1 = "write in dup2TestFile\n"; // const char *str2 = "write in tty\n"; const char *str3 = "pr
windows xp sp3 系统kernel32.dll所有导出的API函数列表大全(整理在此,方便查阅,学习)
关注互联网安全的小虾米一枚
03-13 1万+
kernel32.dll是Windows9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管 理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域, 使别的程序无法占用这个内存区域。 ordinal hint RVA name 1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值