2. 程式人生 > >修改PE檔案注入dll

修改PE檔案注入dll

阿新 發佈:2018-12-14

修改思路 PE檔案中匯入dll資訊以結構體列表形式儲存在IDT中。只要將myhack.dll新增到列表尾部即可。

IDT結構 在這裡插入圖片描述 IDT的描述在IMAGE_OPTION_HEADER裡面的IMPORT Table,通過size可以確定是否有足夠的空間讓我們新增 IDT是由IMAGE_IMPORT_DESCRIPTION(簡稱IID)結構體組成的陣列,陣列末尾以NULL結構體結束。每個IID結構體為0x14位元組所以這裡IID區域為RVA 真正的IDT在Section .rdata的IMPORT Directory Table 在這裡插入圖片描述 這裡可以數一下我這裡有16個結構體(18*0x14=0x168)前面查到的size為0x168 沒有足夠的空間。 移動IDT

需要找一個足夠大的空間,這段空間在磁碟檔案中但是不會被載入到記憶體。 看一下rdata頭的資訊 在這裡插入圖片描述 size of raw data表示該節區在磁碟中的大小,0x50a00 virtual size表示該節區在記憶體中的大小,0x5081c 回頭看一下IDT的size是0x168,需要的是0x168+0x14=0x17c data段沒被載入的空間大小為

>>> hex(0x50a00-0x5081c)
'0x1e4'

所以.rdata區域的空間完全足夠用了。 找到IDT的所有資料準備搬家 在這裡插入圖片描述 把它放到hex(0x152600+0x5081c)='0x1a2e1c’這個地址處 在這裡插入圖片描述

修改IIMPORT Table的值 需要把剛才設定的IDT的地址和size放入到IMPORT Table裡面,注意這裡填入的是RVA(也就是載入記憶體時的地址)。 RVA_IDT=RVA_idata+size_idata_R=0x154000+0x5081c=0x1A481C 這裡是小端儲存所以應該倒著存放,別忘了size要改為0x17c 在這裡插入圖片描述

刪除繫結匯入表

BOUND IMPORT TABLE(繫結匯入表)是一種提高DLL載入速度的技術,不是必須項這裡為了方便刪除掉它。這裡不存在就不需要多餘的操作了。 建立IDT表項 在這裡插入圖片描述 如圖,每一項都有 import Name Table RVA RVA to INT 緊跟著2位0 Name RVA RVA to Dll Name import Address Table RVA RVA to IAT

IDT表結構 在這裡插入圖片描述 這三項也放在不被載入的區域即可,這裡放置在IDT表下面。

修改如下 在這裡插入圖片描述 修改IAT節區屬性 實際執行的時候IAT將會被替換所以寫入的IAT可以是隨意的資料,但是想要執行這個操作還需要修改IAT節區為可寫。 在這裡插入圖片描述

可以看到,預設rdata節區是不可寫的。 在原屬性上新增IMAGE_SCN_MEM_WRITE(80000000) 跟原本的40000040進行或運算c0000040. 在這裡插入圖片描述

找到了一個自動化的指令碼

myhack.dll

#include"stdio.h"
#include"windows.h"
#include"shlobj.h"
#include"Wininet.h"
#include"tchar.h"
#pragma comment(lib,"Wininet.lib")
#define DEF_BUF_SIZE (4096)
#define DEF_URL L"http://www.google.com/index.html"
#define DEF_INDEX_FILE L"index.html"


//DownloadURL
BOOL DownloadURL(LPCTSTR szURL, LPCTSTR szFile)
{
	BOOL bRet = FALSE;
	HINTERNET hInternet = NULL, hURL = NULL;
	BYTE pBuf[DEF_BUF_SIZE] = { 0, };
	DWORD dwBytesRead = 0;
	FILE *pFile = NULL;
	errno_t err = 0;
	hInternet = InternetOpen(L"ReverseCore", INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL, 0);
	if (NULL == hInternet)
	{
		OutputDebugString(L"InternetOpen() failed!\n");
		return FALSE;
	}
	hURL = InternetOpenUrl(hInternet, szURL, NULL, 0, INTERNET_FLAG_RELOAD,0);
	if (NULL == hInternet)
	{
		OutputDebugString(L"InternetOpen() failed!\n");
		goto _DownloadURL_EXIT;
	}
	if (err == _tfopen_s(&pFile, szFile, L"wt"))
	{
		OutputDebugString(L"fopen() failed");
		goto _DownloadURL_EXIT;
	}
	while (InternetReadFile(hURL, pBuf, DEF_BUF_SIZE, &dwBytesRead))
	{
		if (!dwBytesRead)
			break;
		fwrite(pBuf, dwBytesRead, 1, pFile);
	}
	bRet = TRUE;
_DownloadURL_EXIT:
	if (pFile)
		fclose(pFile);
	if (hURL)
		InternetCloseHandle(hURL);
	if (hInternet)
	{
		InternetCloseHandle(hInternet);
	}

	return bRet;
}

//downloadURL會下載szURL中指定的網頁檔案並將其儲存在szFile目錄中

//DropFile
HWND g_hWnd = 0;
BOOL CALLBACK EnumWindowsProc(HWND hWnd, LPARAM lParam)
{
	DWORD dwPID = 0;
	
	GetWindowThreadProcessId(hWnd, &dwPID);
	if (dwPID == (DWORD)lParam)
	{
		g_hWnd = hWnd;
		return FALSE;
	}
	return TRUE;
}

HWND GetWindowHandleFromPID(DWORD dwPID)
{
	EnumWindows(EnumWindowsProc, dwPID);
	return g_hWnd;
}
BOOL DropFile(LPCTSTR wcsFile)
{
	HWND hWnd = NULL;
	DWORD dwBufSize = 0;
	BYTE *pBuf = NULL;
	DROPFILES *pDrop = NULL;
	char szFile[MAX_PATH] = { 0 ,};
	HANDLE hMem = 0;
	WideCharToMultiByte(CP_ACP, 0, wcsFile, -1, szFile, MAX_PATH, NULL, NULL);
	dwBufSize = sizeof(DROPFILES)+strlen(szFile) + 1;
	if (!(hMem = GlobalAlloc(GMEM_ZEROINIT, dwBufSize)))
	{
		OutputDebugString(L"GlobalAlloc() failed!!!");
		return FALSE;
	}
	pBuf = (LPBYTE)GlobalLock(hMem);
	pDrop = (DROPFILES*)pBuf;
	pDrop->pFiles = sizeof(DROPFILES);
	strcpy_s((char *)(pBuf + sizeof(DROPFILES)), strlen(szFile) + 1, szFile);
	GlobalUnlock(hMem);
	if (!(hWnd = GetWindowHandleFromPID(GetCurrentProcessId())))
	{
		OutputDebugString(L"GetWndHandleFromPIF() failed!!\n");
		return FALSE;
	}
	PostMessage(hWnd, WM_DROPFILES, (WPARAM)pBuf, NULL);
	return TRUE;
}

//dummy函式
#ifdef __cplusplus
extern "C"{
#endif
	//出現在IDT中的dump export function......
	__declspec(dllexport)void dummy()
	{
		return;
	}
#ifdef __cplusplus
}
#endif


//dll main函式
DWORD WINAPI ThreadProc(LPVOID lParam)
{
	TCHAR szPath[MAX_PATH] = { 0, };
	TCHAR *p = NULL;
	GetModuleFileName(NULL, szPath, sizeof(szPath));
	if (p = _tcsrchr(szPath, L'\\'))
	{
		_tcscpy_s(p + 1, wcslen(DEF_INDEX_FILE) + 1, DEF_INDEX_FILE);
		if (DownloadURL(DEF_URL, szPath))
		{
			DropFile(szPath);
		}
	}
	return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
	switch (fdwReason)
	{
	case DLL_PROCESS_ATTACH:
		CloseHandle(CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL));
		break;
	}
	return TRUE;
}

相關推薦

修改PE檔案注入dll

修改思路 PE檔案中匯入dll資訊以結構體列表形式儲存在IDT中。只要將myhack.dll新增到列表尾部即可。 IDT結構 IDT的描述在IMAGE_OPTION_HEADER裡面的IMPORT Table,通過size可以確定是否有足夠的空間讓我們新增 I

手動修改PE檔案:新增自定義程式碼

在PE檔案裡有很多位置可以新增自己的程式碼(其實就是感染PE),凡是用不到的地方都能加。想到的位置有(在檔案中不是在記憶體中):Dos頭和Nt頭之間、每個節末尾的Padding(間隙)、新增節分配在檔案末尾的空間;其它覆蓋資料的方法不安全容易引起錯誤還是算了。新增後還要在程

Dll注入--修改PE檔案頭

DLL注入,除了常見的遠執行緒注入,掛鉤和修改登錄檔以外還可以通過修改PE檔案頭來達到注入目的,廢話少說先上菜。 1. 思路 PE檔案經常會呼叫外部DLL檔案,而需要呼叫的DLL檔案都會在PE檔案說明,通過 NT頭->可選頭->匯入表 可以找

[原始碼和文件分享]根據PE檔案格式從匯入表中獲取載入的DLL並遍歷匯入函式名稱和地址

背景 瞭解 PE 檔案格式,對於做一些資料分析都是比較重要的基礎。在 PE 檔案格式中,理解匯入表以及匯出表的工作原理,又是重中之重。理解了 PE 格式的匯入表,就可以修改 PE 格式進行 DLL 注入,也可以修改匯入表實現 API HOOK 等。理解了 PE 格式的匯出表,可以不需要 WIN3

第四課 通過修改PE載入DLL

下面通過例項來講解 下面分析myhack3.dll的原始碼 首先看一下全部原始碼 #include "stdio.h" #include "windows.h" #include "shlobj.h" #include "Winine

修改檔案版本資訊(PE檔案版本資訊、資源Version)

此處的檔案版本資訊,指: 也就是VS開發環境中的資源Version: 對於資訊的讀取,用C#實現起來很簡單: System.Diagnostics.FileVersionInfo fvi = System.Diagnostics.FileVersionInfo.GetV

通過修改PE載入DLL

基本概念除了DLL動態注入技術外,還可以通過手工修改PE檔案的方式來載入DLL,這種方式只要應用過一次之後,每當程序開始執行時便會自動載入指定的DLL。整體思路如下:1、檢視IDT是否有充足的空間,若無則移動IDT至其他位置,若有則直接新增至列表末尾;2、若無,修改OPTIO

修改host檔案

Hosts是一個沒有副檔名的系統檔案,其作用就是將一些常用的網址域名與其對應的IP地址建立一個關聯“資料庫”,當用戶在瀏覽器中輸入一個需要登入的網址時,系統會首先自動從Hosts檔案中尋找對應的IP地址,一旦找到,系統會立即開啟對應網頁,如果沒有找到,則系統再會將網址提交DNS域名解析伺服器進行

批量修改文字檔案的編碼格式

1.使用EditPlus開啟要修改編碼格式的檔案所屬目錄 2.按shift,選中左下角列表中需要轉換編碼格式的文字,右擊選擇“開啟”,開啟的效果如下: 3.依次選擇選單欄中的“文件”->“文字編碼”->“批量更改文字編碼”,按shift選擇要更改編碼格式的文字,然後單擊“

批量修改xml檔案節點資訊

今天來說說xml那些事兒.如何批量修改指定資料夾下的xml檔案的指定屬性.分三步走,首先,我們先看看如何讀寫單個 的xml檔案;第二步,來看看如何遍歷指定資料夾下的所有檔案,獲取到所有檔案的檔名;第三步,我們來看看一二之間 該如何銜接.好,lets d

PE檔案結構解析 C、C++程式 vc2008編譯

//MyPeFile.h------------------------------------------------------------------------------------------------------ typedef unsigned short USHORT;typ

linux ---遠端登陸設定,密碼修改檔案傳輸,打包壓縮

<1>.ssh的安全設定(配置) vim /etc/ssh/sshd_config ---> sshd配置檔案的設定 PasswordAuthentication yes ---> 是否允許使用者通過密碼做sshd認證 PermitRootLogi

已有的專案檔案編譯DLL

編譯的時候,庫名稱一定要和cpp以及H標頭檔案名一致,方便且不容易找不到 檔案→新建→從現有程式碼,選擇c++ 然後選擇程式碼的目錄 選擇dll工程   1、用def定義函式,此方法函式名稱在編譯後不會改變。 工

Spring中註解注入bean和配置檔案注入bean

註解的方式確實比手動寫xml檔案注入要方便快捷很多,省去了很多不必要的時間去寫xml檔案 按以往要注入bean的時候,需要去配置一個xml,當然也可以直接掃描包體,用xml注入bean有以下方法: 1 <?xml version="1.0" encoding="UTF-8"?> 2

Windows x86/ x64 Ring3層注入Dll總結

http://www.jb51.net/article/96040.htm 提升程式的許可權 要對目標程序注入Dll  基本思路是:1.在目標程序記憶體空間申請記憶體;2.在剛申請的記憶體中寫入Dll完整路徑;3.建立新執行緒,去執行LoadLibrary,從而完成注入Dll。

PE檔案格式詳解(六)

0x00 前言   前面兩篇講到了輸出表的內容以及涉及如何在hexWorkShop中找到輸出表及輸入DLL,感覺有幾個地方還是沒有理解好,比如由資料目錄表DataDirectory[16]找到輸出表表後以為找到輸入DLL就完了,其實這一流程的最終功能是通過輸入DLL找到輸入DLL呼叫的函

PE檔案格式學習(二):總體結構

1.概述 PE檔案分為幾個部分,分別是: DOS頭 DOS Stub NT頭(PE頭) 檔案頭 可選頭 區段頭(一個數組,每個元素都是一個結構體,稱之為IMAGE_SECTION_HEADER) .text .rdata .data .rs

PE檔案格式學習(三):匯出表

1.回顧 上篇文章中介紹過,可選頭中的資料目錄表是一個大小為0x10的陣列,匯出表就是這個陣列中的第一個元素。 我們再回顧下資料目錄表的結構體: struct _IMAGE_DATA_DIRECTORY {     DWORD VirtualAddress;    

PE檔案格式學習(一):概述

1.PE檔案簡介 PE檔案格式是Windows系統中應用最廣泛的檔案格式之一,我們常見的可執行檔案.exe、動態連結庫.dll以及驅動檔案.sys等都是PE檔案格式的。 可以通過十六進位制工具如010editor檢視PE檔案,可以看到PE檔案都有一個共同的特點,就是它們的最開頭都是4D5A,也就是ASCI

PE檔案格式學習(十三):載入配置表

1.介紹 載入配置表早期是用於描述當PE檔案頭或PE可選頭無法描述或者因為太大而無法描述的各種功能。 後來以XP及以後的系統主要是為了儲存SEH控制代碼,稱為安全結構化異常處理程式列表,如果SEH異常處理沒有經過註冊,在載入配置表中沒有控制代碼,這個異常處理就不會被執行。 具體的例子就不演示了,看起來只要是