2. 程式人生 > >Dll注入--修改PE檔案頭

Dll注入--修改PE檔案頭

阿新 發佈:2019-02-19

DLL注入,除了常見的遠執行緒注入,掛鉤和修改登錄檔以外還可以通過修改PE檔案頭來達到注入目的,廢話少說先上菜。

1. 思路

PE檔案經常會呼叫外部DLL檔案,而需要呼叫的DLL檔案都會在PE檔案說明,通過 NT頭->可選頭->匯入表 可以找到匯入表,而匯入表就是對需要匯入的每個DLL的說明,它實際上是一個20個位元組組成的IID結構體陣列,每個結構體就是一個DLL資訊說明,我們只需要向PE檔案中準確新增這樣的一個IID結構體,並且修改好相應指標就能利用作業系統載入PE檔案的時候自動載入DLL檔案了。

2.步驟

以下通過一個例項說明,例子來源於《逆向工程核心原理》25章,其中包括一個test.exe檔案和一個myhack3.dll檔案,目的是要通過手動修改test.exe檔案的內容來注入myhack3.dll檔案。
(1)首先用PEview檢視test.exe檔案已包含的DLL檔案,並分析IID的插入方法


這裡寫圖片描述
從上圖發現test.exe已經載入了4個dll檔案每個dll檔案都是一個IID結構體,佔20個位元組,而且最後一個結構體為空,即全0結構。

《Windows PE權威指南》113頁上面提到最後一個結構體實際不必要為全空,只要其中的Name[1]是0就能滿足結束條件
IID結構說明:
STRUCT IAMGE_IMPORT_DESCRIPTOR
{
union
{
DWORD Characteristics;
DWORD OriginalFirstThunk; // INT的RVA
}
DWORD TimeDateStamp; //一個32位的時間標誌
DWORD ForwarderChain;//這是一個被轉向API的索引,一般為0
DWORD Name;//DLL名字,是個以00結尾的ASCII字元的RVA地址
DWORD FirstThunk; // 指向輸入表的RVA
} ;

我們要插入一個IID結構在現有結構體陣列的最後面(實際不一定非要插在這裡),就要檢視此處是否有可利用空間(可利用空間的意思就是一定要被載入到記憶體,且不影響到其他資料完整性還要有可寫入許可權,為什麼要有可寫入許可權,是因為系統載入時需要用INT的指標寫入IAT),於是我們需要檢視上圖中的76CC-772F這段內容,看它尾部是否有可利用空間
這裡寫圖片描述
我們發現772F後面有資料F6 87…,因此不能把IID插入到這裡,需要另尋它處,於是我們在來檢視.rdata節區後面的空間,看是否有剩餘空間(由於檔案對齊的原因一般都有剩餘空間,但其實我們還可以加入一個新節來存放IID,不過相對麻煩一點)
這裡寫圖片描述
從上圖發現該節去尾部還有大段空白,於是我們可以吧IID結構體陣列移動到這裡,並新增上自己的IID,然後吧相關標頭檔案指標修改指向這裡,但是這裡還需要注意一個問題:此處是否是上文提到過的可利用區域,即是否會被載入到記憶體以及是否有可寫許可權?
這裡寫圖片描述


我們檢視該節頭部發現載入到記憶體的檔案部分應該是長度是2C56 而實際存在與磁碟的內容為2E00比記憶體中的內容要大,那麼磁碟檔案中多出的2E00-2C56去哪裡了?(實際上這是磁碟檔案對了保證檔案對齊而填充的0,如上上個圖所示),所以我們在這裡新增其它資料不會影響到PE檔案的其它資料,同時還要修改上圖中的記憶體許可權標記新增rdata節區可讀屬性0x80000000

可寫屬性的巨集是(IMAGE_SCN_MEM_WRITE)

自此,我們已經找到了IID結構所在地址76CC-772F和要把它複製到的地方7E60-7FFF,還有需要新增的許可權0x80000000,下面開始修改。

(2)移動IID陣列,並在尾部新增一個IID結構,新增可寫許可權
先複製76CC-772F到7E60-7FFF這片區域
這裡寫圖片描述
移動的具體地址可在這片區域隨意選擇,這裡選擇了7E80,其次是新增自己IID結構,這裡自己新增的IID結構地址為7ED0,它實際上是覆蓋了之前原有IID結構陣列的最後一個全0結構,至於新增的內容
STRUCT IAMGE_IMPORT_DESCRIPTOR
{
union
{
DWORD Characteristics;
DWORD OriginalFirstThunk; // INT的RVA =8D00
}
DWORD TimeDateStamp; //一個32位的時間標誌 =0
DWORD ForwarderChain;//被轉向API的索引 =0
DWORD Name;//DLL名字 =8D10
DWORD FirstThunk; // 指向輸入表的RVA IAT=8D20
} ;
而上述地址都是RVA,要把它們轉變為RAW(檔案偏移),如下表所示

這裡寫圖片描述

上圖來自書中,而填好地址之後還得在相應的地址填上實際的內容
這裡寫圖片描述
圖中的8D00、8D10、8D20、8D30都是之RVA轉化為RAW之後分別是 7F00、7F10、 7F20、 7F30,地址轉換可一手動計算也可以利用PEview等工具計算,移動IID陣列和新增IID都已完成,現在要新增可寫許可權即與之前的40000040 or一下,於是
80000000 OR 40000040=C0000040
這裡寫圖片描述
(3)修改可選頭(IMAGE_OPTIONAL_HEADER)頭部指標,刪除繫結匯入表

繫結匯入表:IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT用於加快修正匯入表,不是必要PE檔案必要內容,當我們自己添加了DLL又不修改它的話就會出錯,為了省去麻煩這裡就直接刪除它

可選頭(IMAGE_OPTIONAL_HEADER)中有個指標指向了IID結構陣列的起始位置,我們移動了IID結構,所以要修改此處
這裡寫圖片描述
RVA 84CC改為我們修改的地址RVA 8C80也就是RAW 7E80,檔案大小0X64改為0X78也就是增加0X78-0X64=0X14=20個位元組,
自此,大功告成,只差驗證!!!我的天,寫了半天、、、
(4)驗收
這裡寫圖片描述
從圖中可以看出myhack3.dll已經載入成功,任務COPY!沒有表情圖片,暈死|||

相關推薦

Dll注入--修改PE案頭

DLL注入,除了常見的遠執行緒注入,掛鉤和修改登錄檔以外還可以通過修改PE檔案頭來達到注入目的,廢話少說先上菜。 1. 思路 PE檔案經常會呼叫外部DLL檔案,而需要呼叫的DLL檔案都會在PE檔案說明,通過 NT頭->可選頭->匯入表 可以找

用bbed修改資料案頭,跳過丟失的歸檔

conn lunar/lunar create table t1 tablespace rogertbs as select * from dba_objects;     create table t2 tablespace rogertbs as select * fr

修改PE檔案注入dll

修改思路 PE檔案中匯入dll資訊以結構體列表形式儲存在IDT中。只要將myhack.dll新增到列表尾部即可。 IDT結構 IDT的描述在IMAGE_OPTION_HEADER裡面的IMPORT Table,通過size可以確定是否有足夠的空間讓我們新增 I

DLL注入:使用登錄進行DLL注入

實驗原理 (1)在登錄檔編輯器中,將要注入的DLL的路徑字串寫入AppInt_DLLs專案,把LoadAppInit_DLL的專案值設為1。重啟後,指定DLL會注入所有執行的程序。 (2)其實是,user32.dll被載入到程序時,會讀取AppInit_DLLs登錄檔項,若有值,則呼叫Loa

第四課 通過修改PE載入DLL

下面通過例項來講解 下面分析myhack3.dll的原始碼 首先看一下全部原始碼 #include "stdio.h" #include "windows.h" #include "shlobj.h" #include "Winine

通過修改PE載入DLL

基本概念除了DLL動態注入技術外,還可以通過手工修改PE檔案的方式來載入DLL,這種方式只要應用過一次之後,每當程序開始執行時便會自動載入指定的DLL。整體思路如下:1、檢視IDT是否有充足的空間,若無則移動IDT至其他位置,若有則直接新增至列表末尾;2、若無,修改OPTIO

PE總結3---PE檔案結構DOS案頭

PE檔案結構DOS檔案頭,會使用到IMAGE_DOS_HEADER結構體,如下 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic;

DOS案頭PE檔案頭、節表和表詳解

PE(Portable Executeable File Format,可移植的執行體檔案格式),使用該格式的目標是使連結生成的EXE檔案能在不同的CPU工作指令下工作。 可執行檔案的格式是作業系統工作方法的真實寫照。Windows作業系統中可執行程式有好多種,比如COM

織夢修改的默認命名規則

ext rule comm spa 調整 rul com name dir 默認文檔路徑比較復雜,我們調整代碼去除掉路徑中的日期 找到文件 include/common.inc.php 約192行 把代碼 $cfg_df_namerule = ‘{typedir}/{Y}

【CTF雜項】常見檔案檔案標頭檔案尾格式總結及各類案頭

檔案標頭檔案尾總結 JPEG (jpg),   檔案頭:FFD8FF                        檔案尾:FF D9PNG (png),    檔案頭:89504E47                      檔案尾:AE 42 60 82GIF (gif),   檔案頭:4749463

用AheadLib進行簡單的DLL注入

參考連結:http://www.voidcn.com/article/p-hwvwbvwu-xz.html 1、首先編寫要注入的DLL檔案:dllTest_dll.dll 只進行兩個數的簡單相加 #include "dllTest_dll.h" int add(int x,int

DLL注入:用CreateRemoteThread實現DLL注入

實驗環境:WINXP VS2010 功能:注入到notepad.exe程式,並從網上下一個檔案 實驗程式: (一)myhack.dll,即要注入的dll程式 #include "windows.h" #include "tchar.h" #pragma comment(lib,"url

py檔案推薦的案頭

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

DLL注入之windows訊息鉤取

DLL注入之windows訊息鉤取 0x00 通過Windows訊息的鉤取   通過Windows訊息鉤取可以使用SetWindowsHookEx。該函式的原型如下: SetWindowsHookEx( __in int idHook, \\鉤子型別 __in HOOKPROC

DLL注入學習總結

dll注入 所謂DLL 注入就是將一個DLL放進某個程序的地址空間裡,讓它成為那個程序的一部分。要實現DLL注入,首先需要開啟目標程序。 中文名 dll注入 外文名 hRemoteProcess 意    義 將一個DLL放進程序的地址空間裡 方    法

關於DLL的載入/入口函式及DLL注入

在顯示呼叫一個DLL時: HINSTANCE hAddDll = NULL; hAddDll = ::LoadLibrary(_T("xxx.dll"));//載入dll   這個時候會觸發呼叫DLL的入口函式: BOOL APIENTRY DllMain( HMODULE

批量修改名稱

#寫個小程式,把tmp的擴充套件檔名修改為tttmmmppp import os import sys import re os.system("where /R e:\ *.tmp > tmp.txt") f_an=file("e:\tmp.txt") while

電腦管家禁止程序修改後如何恢復權限

運行 abstract class 電腦 點擊 -s 應該 dset https 電腦管家禁止程序修改文檔後如何恢復權限 摘要 運行程序的時候,電腦管家彈窗說程序在修改文檔,問我是否禁止,我選了禁止。但我現在想要恢復軟件的權限應該怎麽做。共有2個回復供您參考:回復1:您

【資源分享】Dll Injector(DLL注入器)

*----------------------------------------------下載區----------------------------------------------* 下載地址:https://pan.baidu.com/s/1aBvKbmblivVCPx8Mt40Udg 提取

Python基礎(一)--變數、註釋、案頭

一、變數 1、什麼是變數 變數是變化的量,用來儲存程式執行的狀態以及狀態的變化 2、變數定義規範 #1. 變數名只能是:字母、數字或下劃線的任意組合 #2. 變數名的第一個字元不能是數字 #3. 關鍵字不能宣告為變數名['and', 'as', 'assert', 'break', 'class