2. 程式人生 > >手動修改PE檔案:新增自定義程式碼

手動修改PE檔案:新增自定義程式碼

阿新 發佈:2019-01-26

在PE檔案裡有很多位置可以新增自己的程式碼(其實就是感染PE),凡是用不到的地方都能加。想到的位置有(在檔案中不是在記憶體中):Dos頭和Nt頭之間、每個節末尾的Padding(間隙)、新增節分配在檔案末尾的空間;其它覆蓋資料的方法不安全容易引起錯誤還是算了。新增後還要在程式中設定跳轉以執行自己的程式碼,有用跳轉和改入口點的方法。總之方法很多,下面舉個例子:

1. 準備

在這裡我要加的程式碼功能為:彈出一個對話方塊,關掉對話方塊後就執行一個計算器。這個需要涉及到的問題是,彈出對話方塊和執行程式的函式未匯入,對話方塊顯示的字串和執行計算器的路徑放的位置。對於不設定匯入表和不設定資料段的方法,看了一下我測試用的程式,PE頭是夠寫這些的。不過現在要說到寫Shellcode就有點跑題了,以後再說,在這裡先記一下,雖然在這裡用那個會比較簡單(前面的內容都可以跳過了),不過相對簡單的東西另有自己的一個複雜度,還是換一篇來說比較好。現在用的是設定匯入表並把資料放到資料段的方法,這個方法需要設定重定位,有可能需要新建重定位表。那麼現在先開始寫程式碼。 測試程式的情況是這樣:



2. 設定匯入表和資料

編之前需要確定要呼叫的函式在哪和要使用的字串在哪,不然沒辦法編。所以先新增函式匯入。匯入表是一個IMAGE_IMPORT_DESCRIPTOR陣列,陣列包括兩個Thunk陣列的rva,陣列後直接跟了會用到的一些字串,所以想在匯入表中新增一項新的匯入,只能在相應的陣列後新增,但是這個結構儲存的十分緊湊,所以需要重建。 重建匯入表有三種思路:在原先位置重建、在新節重建、在空的位置重建。在原先位置重建難度很大,不過可以讓程式顯得好像沒有被改過一樣;在新節重建就比較簡單,不過多了一個節,文件大小也可能會增加(如果找程式中空的位置重建的話就不會增加,不過就相當於第三種方法了);在空的位置重建就是找節後的Padding,在那裡新增就行了,這樣就不會出現新的節。 後兩種方法都會修改到資料目錄的匯入表RVA,改動的東西比較明顯;第一種方法不用改RVA,但是如果添加了過多匯入函式的話,原先的節可能放不下,第二種就可以隨便放。折衷來看在現在的情況下還是第三種比較方便一些(= =其實直接用Shellcode的方法哪有那麼麻煩,如果已經準備好了程式碼就直接跳到後面就行了,我前面說的是不用那種的方法)。 新建節的話需要確定節有可寫屬性,載入的時候Thunk會被修改。新建節主要就是重建IMAGE_IMPORT_DESCRIPTOR陣列就行了,複製原先的陣列然後在末尾加上自己的匯入IMAGE_IMPORT_DESCRIPTOR結構,兩個Thunk和名字什麼的在自己的節中找個位置再設定好Rva就行。 需要匯入的兩個函式為User32.MessageBoxA、Kernel32.WinExec,所以我這樣設定:

這是修改後載入看到的樣子:
然後修改匯入表rva為新的位置就行了。 需要記住兩個地址,0x00006c8 - MessageBoxA、0x000006e8 - WinExec。 建立資料:
記下地址0x00000800 - 0x00000820 載入OD可以看到已經修改成功(程式的程式碼也截進來了):

3. 寫程式碼

為了避免重複寫內容,直接寫在PE頭裡吧。寫的程式碼需要儲存原先的現場,不然影響了其它東西程式會出錯。另外PE頭會比其它地方多出一個限制,就是我們從0x02開始寫,所以0x3A要跳過。程式碼需要放在一個可執行的節,一般方法是直接放程式碼段或者找空隙設定屬性或者新建節。我新建個節吧。
然後我偷懶用OD來寫一下程式碼吧,注意跳過0x3A就行。裡面的地址後面要轉一下。

程式碼比較短,沒過3A,白操心。如果是動態取函式的地址的可能會超過。可以看到裡面的重定位位置錯了,我之前寫完了一次,發現引數忘記壓了一個,後面改的,所以重定位還是原來的位置,根據這個原來的位置有人可以看出我原先少壓了哪個引數嗎?= = 需要記下地址0x00405002、0x00405006、0x0040500B、0x00405013、0x0040501A、0x00405020。把二進位制複製出來,修改相應地址的值,我這裡基址沒有被重定位,所以裡面的地址就不用改了,如果被重定位了就改成程式基址對應的值。改完寫回程式,我不用OD寫回,直接改二進位制檔案:

4. 重建/新增重定位表

需要重定位5個地址,因為是在新節,直接加重定位表就行了,如果在舊節,就要重建,因為陣列加元素後面的要往後移。5個地址因為對齊關係新加的重定位結構要佔20位元組,所以這樣:
改一下重定位表大小:
在CFF看到的樣子:

5. 修改跳轉

要麼改入口點,要麼在程式中跳轉。在程式中轉我覺得會跟後面說的東西重複,直接改入口點好了。
改完載入OD看看:
可以看到重定位位置正確,其它也正確,沒什麼可說的了。放到其它任何一個節裡都是可以的,設定好屬性就行了。 執行,關掉那個彈出框就執行計算器,不多截圖了:

相關推薦

手動修改PE檔案新增定義程式碼

在PE檔案裡有很多位置可以新增自己的程式碼(其實就是感染PE),凡是用不到的地方都能加。想到的位置有(在檔案中不是在記憶體中):Dos頭和Nt頭之間、每個節末尾的Padding(間隙)、新增節分配在檔案末尾的空間;其它覆蓋資料的方法不安全容易引起錯誤還是算了。新增後還要在程

Ralink RT5350新增定義GPIO應用程式

Ralink RT5350:新增自定義GPIO應用程式 1.編寫LED應用程式,並修改相關配置檔案 1.1 新建led目錄 1.2新建led.c 1.3 編寫led.c 1.4 新建led目錄下Makefile 1.5 修改led上層目錄下的Makefile 1.6 將IO口

Docker新增定義網橋

       docker服務程序在啟動的時候會生成一個名為docker0的網橋,容器預設都會掛載到該網橋下,但是我們可以通過新增docker啟動引數-b Birdge 或更改docker配置檔案來選擇使用哪個網橋。 作業系統:centos7 刪除docker0網橋 se

PyQt之玩轉signal(訊號)與slot(槽)二新增定義

上文中我們實現了一個非常簡單的功能:點選按鈕關閉應用。不過那種呼叫connect函式的寫法是在QT程式設計中常用的(用C++語言寫QT應用),顯得中規中矩,我們這裡是PyQt,自然要來一種PyQt的寫法,我們先看程式碼: import sys from P

MFC ActiveX 控制元件新增定義事件

自定義事件與常用事件的區別在於,自定義事件不由 COleControl 類自動引發。自定義事件將控制元件開發人員確定的某一操作識別為事件。自定義事件的事件對映項由 EVENT_CUSTOM 巨集表示。下一節實現用“ActiveX 控制元件嚮導”建立的 ActiveX 控制元件專案的自定義事件。 使用“新增事

VS中如何新增定義程式碼片段——偷懶小技巧

前言 打出cw,然後敲擊兩下Tab鍵就會快速敲出Console.WriteLine() ,快捷方便,那怎麼自定義快速敲出Console.readKey();呢?帶著這個問題去尋找方法啊,總結如下,其中的程式碼涉及到了XML(可擴充套件性標記語言),很巧,前一陣子瞭解到了X

Centos7上新增定義服務檔案並開機啟動

Ⅰ-1 寫服務檔案 [Unit]   ##服務的說明Description:描述服務After:描述服務類別 [Service]   ##服務執行引數的設定Type=forking是後臺執行的形式ExecStart為服務的具體執行命令ExecReload為重啟命令E

資料檢驗外掛 Validate外掛 新增定義表單驗證

        jQuery.validator.addMethod("ValiPass", function(value, element,params) {         var exp =

利用composer新增定義檔案

1.配置composer.json檔案 "autoload": { "classmap": [ "database", "app/

spring boot 新增定義配置檔案並讀取屬性

"123" "pcq" spring 屬性檔案預設配置檔案是從application.properties讀取的, 但是我想把配置檔案分開,比如 業務的我想放在biz.properties, 客戶端配置的放在client.properties , 但是注入呢,經過測試可以這

手動用登錄檔新建定義字尾名的檔案

電腦中有很多功能,都是由登錄檔控制,比如在右鍵選單中,控制哪些選單項顯示,哪些不顯示,或者工作列中那些項可以修改,哪些項不能修改,這些等等,都可以由登錄檔控制。在電腦使用中,有些項經常需要修改,要是經常到登錄檔去修改,或者用軟體來修改,也挺麻煩的,能不能搞個一鍵修改的檔案

Android TabLayout新增定義分割線並且可以修改分割線高度

本文轉自:無心下棋 為TabLayout新增分割線,顯示的效果如下(紅框內部分): 分割線 首先添加個豎線xml名為layout_divider_vertical: LinearLayout linearLayout = (LinearLayout

com4j學習(2)Visio定義模具和形狀,並新增連線點

前言: 既然我們想繪製跟自己業務相關的圖形,並讀取Visio圖形中的結構資訊,那麼我們自然會想到要自定義圖形,本文詳細講解如何自定義圖形。 正文: 首先我們要明白什麼是模具,什麼是形狀,以及兩者之間的關係?模具就相當於一個容器,裡面有很多個形狀,我們可

Linux下修改使用者bashrc新增定義路徑來載入動態庫

有時候,我們在Linux下編寫的程式使用了第三方動態庫,如果當我們把程式移植到別的機器上,需要把動態庫一起移植。但是如果我們沒有系統許可權的話,就無法把動態庫放到系統目錄,從而我們的程式無法正確連結到該檔案,導致無法執行。這時,我們可以通過修改使用者目錄下的.bashrc檔

織夢新增定義欄位“附件” 如何修改超連結附件URL地址

問:我們經常碰到這樣的問題,用織夢做網站的時候,會經常要用到上傳附件,用於一些文件的下載等等,但是我們新增一個自定義欄位的時候,前臺會出現超連結地址是亂碼,其實我們只是想要 一個附件的URL。 解決方案: 當我們在系統內容模型中新增附件型別欄位時,前臺需要用

新增定義操作後,安裝時未能找到.installstate檔案的問題

在新增自定義操作時,一定要在Install中也新增上輸出。可能是因為在Install階段進行.installstate檔案的建立。所以如果不在Install中新增輸出的話,就會提示找不到相應的.installstate檔

Android定義控制元件系列 十利用新增定義佈局來搞定觸控事件的分發,解決組合介面中特定控制元件響應特定方向的事件

        這個例子是比較有用的,基本上可以說,寫完這一次,以後很多情況下,直接拿過來addView一下,然後再addInterceptorView一下,就可以輕輕鬆鬆的達到組合介面中特定控制元件來響應特定方向的觸控事件了。         在寫Android應用

Android 新增定義的.ttf字型檔檔案到系統

由於專案需要,需要將第三方提供的.ttf字型檔檔案編譯至系統原始碼中,在百度上找了好久,都沒有找到想要的,最後還是Google解決了問題,這裡作下記錄。 其實Reference 中介紹的方法,已經非常簡單明瞭,無需贅述,但這裡還是將自己的實踐記錄一下,順便

專案實戰之日誌的使用Jboss環境下新增定義日誌

日誌介紹 日誌已經成為應用軟體中不可缺少的一部分,現在我沒發現哪個上線並且正常運營的專案沒有新增日誌;並且是否寫日誌已經成為了檢測程式設計師是否專業的一個基本品德,就像寫註釋一樣,灰常重要!Apach

分針網——每日分享CSS 定義屬性API 篇

css JQuery是一個非常優秀的js庫。 選擇元素 $( )裏可以填css選擇器 $(’.demo’).