2. 程式人生 > >PE檔案操作-動態載入

PE檔案操作-動態載入

阿新 發佈:2019-02-17

有時會有這樣的需求,要把一個dll載入到程序空間或者對付地址空間隨機化技術,這就需要自己實現一個PELoader。在PE檔案中,許多資料在記憶體中的位置已經以RVA的形式在連結時給出,我們只需要根據節表的描述準確的按位置載入,大部分程式就可以正確運行了,但有幾個型別的資料還是需要loader來調整的:

  1. IAT
    在PE檔案中,呼叫靜態連結的DLL例程一般都是以call ds:[xxxxxxxxh]的形式,其中這個地址是指向了IAT表的對應項,而在檔案中,IAT表的每一項是和INT表一樣指向了一個IMAGE_IMPORT_BY_NAME或者是個Id,所以當載入到記憶體中時需要將表項修正為函式地址。
  2. 重定位表
    一般載入exe檔案沒有重定位的問題,因為exe檔案會載入到預設的基址上,而在程序地址空間初始化後,這個基址幾乎肯定是未分配的,但dll或者使用了地址空間隨機化技術的exe就會使用到重定位表,因此我們需要根據載入的基址和OPTIONAL_HEADER中的基址來算出偏移

注:在這篇中主要寫載入dll,至於exe除錯時還有一些不穩定的情況,以後再說。
文章中的ctx是自己寫的一個pe解析器,等完善後會放到開源網站上。
首先,為了避開CreateSection檢測,我們直接用CreateFile:

    IMAGE_DOS_HEADER dos_header;
    IMAGE_NT_HEADERS32 nt_header;

    SetFilePointer(pe_file, 0
 
, 0, FILE_BEGIN);
    ReadFile(pe_file, &dos_header, sizeof(IMAGE_DOS_HEADER), &ret, NULL);
    if (ret != sizeof(IMAGE_DOS_HEADER))
        return false;

    SetFilePointer(pe_file, dos_header.e_lfanew, NULL, FILE_BEGIN);
    ReadFile(pe_file, &nt_header, sizeof(IMAGE_NT_HEADERS32), &ret, NULL
 
);
    if (ret != sizeof(IMAGE_NT_HEADERS32))
        return false;

    //在OptionalHeader中找到準確的印象大小
    PVOID map_ptr = VirtualAlloc(NULL, 
        nt_header.OptionalHeader.SizeOfImage, 
        MEM_COMMIT, PAGE_READWRITE);
    ZeroMemory(map_ptr, nt_header.OptionalHeader.SizeOfImage);

    SetFilePointer(pe_file, 0, 0, FILE_BEGIN);
    ReadFile(pe_file, map_ptr, nt_header.OptionalHeader.SizeOfHeaders, &ret, NULL);
    if (ret != nt_header.OptionalHeader.SizeOfHeaders)
        return false;

然後我們需要根據記憶體對齊來將各個節表讀取到記憶體中比載入其相應的屬性,這裡不急著去載入只讀屬性,因為後面的IAT和RELOC都需要寫操作:

    for (int i = 0;i < get_section_count(ctx);i++)
    {
        PIMAGE_SECTION_HEADER sec_hdr;
        get_section_entry_by_index(ctx, i, &sec_hdr);
        SetFilePointer(pe_file, sec_hdr->PointerToRawData, NULL, FILE_BEGIN);
        if (!ReadFile(pe_file, (PUCHAR)map_ptr + sec_hdr->VirtualAddress, sec_hdr->SizeOfRawData, &ret, NULL))
            return false;

        if ((sec_hdr->Characteristics&IMAGE_SCN_CNT_UNINITIALIZED_DATA) != 0)
        {
            ZeroMemory((PUCHAR)map_ptr + sec_hdr->VirtualAddress, sec_hdr->Misc.VirtualSize);
        }
        if ((sec_hdr->Characteristics&IMAGE_SCN_MEM_EXECUTE) != 0)
        {
            DWORD oldVp;
            VirtualProtect((PUCHAR)map_ptr + sec_hdr->VirtualAddress,
                sec_hdr->Misc.VirtualSize,
                PAGE_EXECUTE_READWRITE, 
                &oldVp);
        }
    }

之後就需要去填充IAT,只是個遍歷操作,這裡暫時沒有考慮序號匯入和繫結匯入的情況:

    for (int i = 0;i < get_import_count(ctx);i++)
    {

        get_import_descriptor_by_index(ctx, i, &import_desc);
        //獲得當前匯入項並載入之
        PCHAR import_name;
        get_import_descriptor_name(ctx, import_desc, (PUCHAR*)&import_name);
        HMODULE mod = LoadLibraryA(import_name);
        if (mod == NULL)
            return FALSE;

        get_import_trunk32(ctx, import_desc, &trunk_arr);//獲得INT
        for (int j = 0;j < get_import_trunk_count(ctx, import_desc);j++)
        {
            get_import_trunk32_by_index(ctx, import_desc, j, &trunk);
            get_import_item_by_name(ctx, trunk, &import_name);
            //獲得地址並填充
            PVOID f_addr = GetProcAddress(mod, import_name->Name);
            trunk_arr[j] = (ULONG)f_addr;
        }
    }

然後就是修正重定位表,需要重定位的地方原本的地址是基於OptionalHeader中ImageBase的線性絕對地址,所以這裡需要加一個新基址與預設基址差的偏移。這裡有一個問題,就是一般dll都是有重定位表的,但沒有ASLR的exe很可能沒有重定位表,而我們也沒法將PE載入到ImageBase的地址,這樣就算PE載入進來也沒法執行,這樣就要考慮還原重定位表了,這個後面會介紹用遞迴下降分析還原重定位表。

    PIMAGE_BASE_RELOCATION first_reloc;
    //這裡的偏移就是新機制和老基址的偏移
    ULONG offset = ((ULONG_PTR)map_ptr - (((PIMAGE_NT_HEADERS)(ctx->nt_ptr))->OptionalHeader.ImageBase));
    for (int i = 0;i < get_reloc_table_count(ctx, &first_reloc);i++)
    {
        PIMAGE_BASE_RELOCATION base_reloc;
        get_reloc_table_entry(ctx, first_reloc, i, &base_reloc);
        //一個重定位表所描述的RVA基址
        PUCHAR base_va = ((PUCHAR)ctx->map_ptr + base_reloc->VirtualAddress);
        for (int j = 0;j < (base_reloc->SizeOfBlock - 8) / 2;j++)
        {
            //間隔項,不需要考慮了
            if (((*(PUSHORT)((PUCHAR)base_reloc + 8 + j * 2)) & 0xf000) == 0)
                continue;
            //在源地址上加一個偏移項
            *((PULONG_PTR)(base_va + ((*(PUSHORT)((PUCHAR)base_reloc + 8 + j * 2)) & 0xfff))) += offset;
        }

    }

當這一切都完成後,重新修改一下節記憶體的讀寫屬性後,PE檔案就已經可以使用了,只要PE檔案沒有自己使用硬編碼訪問記憶體,基本就沒有問題。我們可以建立一個執行緒然後跳轉到入口函式執行PE檔案,

typedef BOOL(_stdcall *DllInit)(HINSTANCE hinstDLL,  // handle to DLL module
    DWORD fdwReason,     // reason for calling function
    LPVOID lpReserved);

    DllInit locDllinit = (DllInit)((PUCHAR)ctx->map_ptr + ((PIMAGE_NT_HEADERS)(ctx->nt_ptr))->OptionalHeader.AddressOfEntryPoint);

    locDllinit((HINSTANCE)map_ptr, DLL_PROCESS_ATTACH, 0);
    locDllinit((HINSTANCE)map_ptr, DLL_THREAD_ATTACH, 0);

在載入EXE檔案時,還需要處理TLS中的AddressOfIndex,不過通常情況下不會有人用TLS,用了大部分情況下這個索引值也是填0,所以這裡不做處理。在pecoff中描述了loader的職責:

The loader assigns the value of the TLS index to the place that was indicated by the Address of Index field.

(??)
而GetProcAddress也就是去遍歷匯出表:

PVOID get_proc_address(PPE_CONTEXT ctx, LPCSTR func)
{

    PIMAGE_EXPORT_DIRECTORY export_dir;
    get_export_descriptor(ctx, &export_dir);
    if (export_dir == NULL)
        return NULL;

    for (int i = 0;i < export_dir->AddressOfFunctions;i++)
    {
        CHAR* name;
        get_export_name_by_index(ctx, export_dir, i, &name);
        if (!strcmp(name, func))
        {
            PVOID f_addr;
            //這個函式中包含了將RVA轉到VA的工作
            get_export_addr_by_index(ctx, export_dir, i, &f_addr);
            return f_addr;
        }
    }

    return NULL;
}

相關推薦

PE檔案操作-動態載入

有時會有這樣的需求,要把一個dll載入到程序空間或者對付地址空間隨機化技術,這就需要自己實現一個PELoader。在PE檔案中,許多資料在記憶體中的位置已經以RVA的形式在連結時給出,我們只需要根據節表的描述準確的按位置載入,大部分程式就可以正確運行了,但有幾個

windows PE檔案結構及其載入機制

1. 概述 PE檔案的全稱是Portable Executable,意為可移植的可執行的檔案,常見的EXE、DLL、OCX、SYS、COM都是PE檔案,PE檔案是微軟Windows作業系統上的程式檔案(可能是間接被執行,如DLL)。它是1993年Windows

C++ 基礎(六).dll檔案動態載入和靜態載入的區別:畫圖並舉例說明

一、簡介 本部落格主要介紹.dll檔案的動態載入和靜態載入的區別,畫圖並舉例說明。此外,我的上一篇關於靜態載入的部落格如下: C++ 基礎(五)使用vs2015封裝c++生成.dll檔案、.lib檔案、.h檔案後,給另一個工程使用:使用前,需配置標頭檔案(.h)靜態庫(.lib)和 動態庫(

PE檔案結構及其載入機制(一)

一、PE檔案結構 PE即Portable Executable,是win32環境自身所帶的執行體檔案格式,其部分特性繼承自Unix的COFF(Common Object File Format)檔案格式。PE表示該檔案格式是跨win32平臺的,即使Windows執行在非Intel的CPU上,任何Win32平

建立DLL檔案 以及 動態載入和靜態載入 以及兩者之間的區別

一,首先編寫DLL (建win32空DLL工程) 標頭檔案.h extern "C" _declspec(dllexport) int Max(int a, int b);         //extern "C"解決函式名由於不同編譯器造成的名字匹配問題,通常c++編譯

Kotlin通過Id操作View,Adapter和動態載入Xml檔案也可以類似操作

如果使用kotlin,什麼butterknife繫結,Xutil註解都不需要,只需要通過id就可以操作view,非常方便,但是在使用的過程中還是遇到兩個值得記錄的問題如下: 針對adapter中通過id來操作 針對動態載入佈局通過id來操作 其實兩者本質

更改PE檔案載入動態

最近看了《逆向工程核心原理》,其中第25.4節講了更改PE檔案讓目標檔案載入我們的動態庫。現在做一下完整介紹。 PE檔案的匯入DLL資訊儲存在IDT中,於是我們只需將DLL加到目標PE檔案的IDT中,這時我們得先看一下IDT的空間大小。 1.檢視IDT: 首先用PEVie

關於apk加殼之動態載入dex檔案

由於自己之前做了一個關於手機令牌的APK軟體,在實現的過程中儘管使用了native so進行一定的邏輯演算法保護,但是在自己逆向破解的過程中發現我的手機令牌關鍵資料能夠“輕易地”暴露出來,所以我就想進一步的對其進行加固。於是,我使用的網上常用的梆梆加固、愛加密和阿里的聚安全應用來對我的apk進行一個

動態載入的js檔案在Chrome進行除錯時找不到

有時候由於各種原因需要動態載入js檔案,如: $('body').append("<script type='text/javascript' src='./editor.js'><\/script>"); 這時候入如果想對剛加進去的js檔案進行除錯的話,會發現找不到

PE檔案格式學習(十三):載入配置表

1.介紹 載入配置表早期是用於描述當PE檔案頭或PE可選頭無法描述或者因為太大而無法描述的各種功能。 後來以XP及以後的系統主要是為了儲存SEH控制代碼,稱為安全結構化異常處理程式列表,如果SEH異常處理沒有經過註冊,在載入配置表中沒有控制代碼,這個異常處理就不會被執行。 具體的例子就不演示了,看起來只要是

PE檔案格式學習(十六):延遲載入

1.介紹 延遲載入表本質上跟繫結匯入表的目的是一樣的,都是為了加快程式載入檔案的速度,只不過方法不一樣。 延遲載入是指在呼叫某個DLL時才去載入,目的是為了避免在程式啟動之初就載入了不必要的DLL而浪費了時間。微軟建議在兩種情況下使用延遲載入: 程式並非在啟動時就會呼叫D

Untiy動態載入.dll檔案

這裡先說一下反射     System.Reflection名稱空間      (1) AppDomain:應用程式域,可以將其理解為一組程式集的邏輯容器        

unity動態載入FBX模型(Http下載到Rescources檔案,場景Load直接呼叫):

using UnityEngine; using System.Collections; using System.IO; using System.Net; using System; using UnityEditor;    public class WWWLo

靜態連結庫(LIB)和動態連結庫(DLL),DLL的靜態載入動態載入,兩種LIB檔案

靜態連結庫(LIB)和動態連結庫(DLL),DLL的靜態載入和動態載入,兩種LIB檔案。 一、 靜態連結庫(LIB,也簡稱“靜態庫”)與動態連結庫(DLL,也簡稱“動態庫”)的區別 靜態連結庫與動態連結庫都是共享程式碼的方式,如果採用靜態連結庫,則無論你願不願意,lib 中的指令都全部被直接包含在最

javascript操作向表格中動態載入資料

首先在HTML中編寫表格資訊 <table width="500px" border="1"> //表格頭部資訊 <thead> <tr> <th>編號</th

動態 載入和執行js檔案

也可以參考:https://blog.csdn.net/WeilaPls/article/details/84712521   (多種識別移動端的方式)  頁面載入先判斷裝置,是pc還是移動,然後動態載入相應的js檔案。以下有兩個方法: 方法一: f

log4j和log4j2怎麼動態載入配置檔案

應用場景與問題 當專案在執行時,我們如果需要修改log4j 1.X或者log4j2的配置檔案,一般來說我們是不能直接將專案停止執行再來修改檔案重新部署的。於是就有這樣一個問題:如何在不停止當前專案的執行的情況下,讓系統能夠自動地監控配置檔案的修改狀況,從而實現動態載入配置檔案的功能?

jquery動態載入css樣式檔案

需求:頁面展示時,需要js判斷手機寬度(解析度),當寬度大於某個值時,引用big.css,當寬度小於某個值時,引用small.css,本來css中可以判斷,但是由於終端不識別,素以只能手動程式碼判斷了。 實現:在js加入程式碼(最好在開頭位置)      // 獲取手機螢

[原始碼和文件分享]根據PE檔案格式從匯入表中獲取載入的DLL並遍歷匯入函式名稱和地址

背景 瞭解 PE 檔案格式,對於做一些資料分析都是比較重要的基礎。在 PE 檔案格式中,理解匯入表以及匯出表的工作原理,又是重中之重。理解了 PE 格式的匯入表,就可以修改 PE 格式進行 DLL 注入,也可以修改匯入表實現 API HOOK 等。理解了 PE 格式的匯出表,可以不需要 WIN3

Android 動態載入佈局檔案

本文轉自:原文地址 Android的基本UI介面一般都是在xml檔案中定義好,然後通過activity的setContentView來顯示在介面上,這是Android UI的最簡單的構建方式。其實,為了實現更加複雜和更加靈活的UI介面,往往需要動態生成UI介面,甚至根