PE嵌入模板

编写一段代码,生成一个已经处理过重定位信息,同时所有的内容都在代码段里,并且没有导入表的PE程序,把这个程序嵌入到其他PE的相关位置,能够独立的运行,接下来是整理了2个模板,一个是HelloWorld的,另一个是通用模板LoadLibrary的模板。

开发环境masm32和vs2012,相关环境搭建我之前整理过[ http://blog.csdn.net/u013761036/article/details/52186683 ];

直接C++的话貌似不行,我用vs2015本地创建了一个空的项目,默认优化全开:

还是会有kernel32.dll。

接下来是模板1,功能是所有的东西都在一个独立的模块,弹出对话框,同时处理了全局变量的重定位问题。模板如下[代码是仿照Windows PE 权威指南,但是有些地方已经改过了,书上代码在我本地跑有问题,再获取Kernel32.dll地址的时候并不能成功得到地址。那个函数我已经重写了]:

;----------------------------------------
;补丁代码
;本段代码使用了API函数地址动态获取以及重定位技术
;程序功能:弹出对话框
;作者:Thinker
;开发日期:2017.4.30
;开发测试环境:vs2012+masm32、Win7 X64
;---------------------------------------- .386
.model flat,stdcall
option casemap:none include windows.inc ;注意,此处不静态包含引入任何其他动态链接库,包括Kernell32.dll _ProtoGetProcAddress typedef proto :dword,:dword
_ProtoLoadLibrary typedef proto :dword
_ApiGetProcAddress typedef ptr _ProtoGetProcAddress
_ApiLoadLibrary typedef ptr _ProtoLoadLibrary ;----------------------------------------
;补丁代码中引入的其他动态链接库函数的声明
;---------------------------------------- _ProtoMessageBox typedef proto :dword,:dword,:dword,:dword
_ApiMessageBox typedef ptr _ProtoMessageBox ;被添加到目标文件的代码从这里开始,到APPEND_CODE_END处结束
.code
jmp _NewEntry ;以下内容为两个重要函数名
;几乎所有补丁都必须使用
szGetProcAddr db 'GetProcAddress',0
szLoadLib db 'LoadLibraryA',0 ;----------------------------------------
;补丁代码中其他全局变量的定义
;---------------------------------------- szUser32Dll db 'user32.dll',0
szMessageBox db 'MessageBoxA',0
szHello db 'HelloWorldPE',0
;----------------------------------------
;获取kernel32.dll 的基地址
;---------------------------------------- _getKernelBase proc ;下面是Windows PE权威指南上的代码,获取Kernel32.dll地址失败,无奈我用自己之前的C++代码改了下,测试几次发现可以
;local @dwRet
;pushad
;assume fs:nothing
;mov eax,fs:[30h] ;PEB
;mov eax,[eax+0ch] ;PEB_LDE_DATA
;mov esi,[eax+1ch] ;InInitializationOrderModuleList
;lodsd
;mov eax,[eax+8] ;Kernel32.dll的基地址
;mov @dwRet ,eax
;popad
;mov eax,@dwRet
;ret ;之前写的C++代码改的[http://blog.csdn.net/u013761036/article/details/71006302] local @dwRet
pushad
assume fs:nothing
mov ebx, fs:[30h] ;得到peb结构体的地址
mov ebx, [ebx + 0ch] ;得到Ldr结构体的地址
mov ebx, [ebx + 0ch] ;得到ldr.InLoadOrderModuleList.Flink 第一个模块,当前进程
mov ebx, [ebx] ;得到第二个模块地址 ntdll.dll
mov ebx, [ebx] ;得到第三个模块地址 kernel32.dll
mov ebx, [ebx + 18h] ;得到第三个模块地址(kernel32模块的dllbase)
mov @dwRet, ebx
popad
mov eax,@dwRet
ret
_getKernelBase endp ;----------------------------------------
;获取制定字符串的API函数的调用地址
;入口参数:_hModule 为动态链接库的基地址
; _lpApi为API函数名称首指
;出口参数:eax 位函数在虚拟地址空间中的真实地址
;----------------------------------------
_getApi proc _hModule,_lpApi
local @ret
local @dwLen
pushad
mov @ret,0
;计算API字符串的长度,含最后的0
mov edi,_lpApi
mov ecx,-1
xor al,al
cld
repnz scasb
mov ecx,edi
sub ecx,_lpApi
mov @dwLen,ecx ;从PE文件头的数据目录获取导出表地址
mov esi,_hModule
add esi,[esi+3ch]
assume esi:ptr IMAGE_NT_HEADERS
mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
add esi,_hModule
assume esi:ptr IMAGE_EXPORT_DIRECTORY ;查找符合名称的导出函数名
mov ebx,[esi].AddressOfNames
add ebx,_hModule
xor edx,edx
.repeat
push esi
mov edi,[ebx]
add edi,_hModule
mov esi,_lpApi
mov ecx,@dwLen
repz cmpsb
.if ZERO?
pop esi
jmp @F
.endif
pop esi
add ebx,4
inc edx
.until edx >= [esi].NumberOfNames
jmp _ret
@@:
;通过API名称索引获取序号索引,再获取地址索引
sub ebx,[esi].AddressOfNames
sub ebx,_hModule
shr ebx,1
add ebx,[esi].AddressOfNameOrdinals
add ebx,_hModule
movzx eax,word ptr [ebx]
shl eax,2
add eax,[esi].AddressOfFunctions
add eax,_hModule ;从地址表得到导出函数地址
mov eax,[eax]
add eax,_hModule
mov @ret,eax _ret:
assume esi:nothing
popad
mov eax,@ret
ret
_getApi endp ;----------------------------------------
;补丁功能部分
;传入3个参数
; _kernel :kernel32.dll的基地址
; _getAddr:函数GetProcAddress地址
; _LoadLib:函数LoadLibraryA地址
;----------------------------------------
_patchFun proc _kernel,_getAddr,_loadLib ;----------------------------------------
;补丁代码局部变量定义
;---------------------------------------- local hUser32Base:dword
local _messageBox:_ApiMessageBox pushad ;----------------------------------------
;补丁功能代码,下面例子弹出对话框
;----------------------------------------
;获取user32.dll的基地址
mov eax,offset szUser32Dll
add eax,ebx mov edx,_loadLib
push eax
call edx
mov hUser32Base,eax ;使用GetProcAddress函数的首地址
;传入两个参数调用GetProcAddress函数
;获得MessageBoxA的首地址
mov eax,offset szMessageBox
add eax,ebx mov edx,_getAddr
mov ecx,hUser32Base
push eax
push ecx
call edx
mov _messageBox,eax ;调用函数MessageBox
mov eax,offset szHello
add eax,ebx
mov edx,_messageBox push MB_OK
push NULL
push eax
push NULL
call edx popad
ret _patchFun endp _start proc
local hKernel32Base:dword ;存放kernel32.dll基地址 local _getProcAddress:_ApiGetProcAddress
local _loadLibrary :_ApiLoadLibrary
pushad
;获取kernel32.dll的基地址
lea edx,_getKernelBase
add eax,ebx
call edx
mov hKernel32Base,eax ;从基地址出发搜索GetProcAddress函数的首地址
mov eax,offset szGetProcAddr
add eax,ebx mov edi,hKernel32Base
mov ecx,edi
lea edx,_getApi
add edx,ebx push eax
push ecx
call edx
mov _getProcAddress,eax ;从基地址出发搜索LoadLibraryA函数的首地址
mov eax,offset szLoadLib
add eax,ebx mov edi,hKernel32Base
mov ecx,edi
lea edx,_getApi
add edx,ebx push eax
push ecx
call edx
mov _loadLibrary,eax ;调用补丁代码
lea edx,_patchFun
add edx,ebx push _loadLibrary
push _getProcAddress
push hKernel32Base
call edx popad
ret
_start endp ;EXE文件新的入口地址 _NewEntry:
call @F ;免去重定位
@@:
pop ebx
sub ebx,offset @B invoke _start
jmpToStart db 0E9h,0F0h,0FFh,0FFh,0FFh
ret
end _NewEntry

最后的黑体是跳转用的。如果单独跑这个地方可以去掉,不然一条转都崩溃了,通常留着是为了嵌入到别的程序里之后,执行完之后跳转到原来程序入口地址等。

模板1的执行结果如下:

并没有导入表,同时相关字符串也没有存在数据段里:

代码段部分就是全部了,可以拷贝来独立的用。

模板2:和1类似,就是做了一个loadlibrary的模板,这样就和其他注入姿势一样了,只是加载一个dll,然后所有的东西在dll里面写就行了。Dllmain函数被调用的时候记得触发下自己就OK了。模板代码如下[一样书上的获取kernel32.dll代码无效,此处已经修正]。


;----------------------------------------
;补丁代码
;本段代码使用了API函数地址动态获取以及重定位技术
;程序功能:loadlibrary实现通用补丁代码
;作者:Thinker
;开发日期:2017.4.30
;开发测试环境:vs2012+masm32、Win7 X64
;---------------------------------------- .386
.model flat,stdcall
option casemap:none include windows.inc _ProtoLoadLibrary typedef proto :dword
_ApiLoadLibrary typedef ptr _ProtoLoadLibrary ;被添加到目标文件的代码从这里开始,到APPEND_CODE_END处结束
.code
jmp _NewEntry szLoadLib db 'LoadLibraryA',0
szDllName db 'I.dll',0 ;----------------------------------------
;获取kernel32.dll 的基地址
;----------------------------------------
_getKernelBase proc local @dwRet
pushad
assume fs:nothing
mov ebx, fs:[30h] ;得到peb结构体的地址
mov ebx, [ebx + 0ch] ;得到Ldr结构体的地址
mov ebx, [ebx + 0ch] ;得到ldr.InLoadOrderModuleList.Flink 第一个模块,当前进程
mov ebx, [ebx] ;得到第二个模块地址 ntdll.dll
mov ebx, [ebx] ;得到第三个模块地址 kernel32.dll
mov ebx, [ebx + 18h] ;得到第三个模块地址(kernel32模块的dllbase)
mov @dwRet, ebx
popad
mov eax,@dwRet
ret
_getKernelBase endp ;----------------------------------------
;获取制定字符串的API函数的调用地址
;入口参数:_hModule 为动态链接库的基地址
; _lpApi为API函数名称首指
;出口参数:eax 位函数在虚拟地址空间中的真实地址
;----------------------------------------
_getApi proc _hModule,_lpApi
local @ret
local @dwLen
pushad
mov @ret,0
;计算API字符串的长度,含最后的0
mov edi,_lpApi
mov ecx,-1
xor al,al
cld
repnz scasb
mov ecx,edi
sub ecx,_lpApi
mov @dwLen,ecx ;从PE文件头的数据目录获取导出表地址
mov esi,_hModule
add esi,[esi+3ch]
assume esi:ptr IMAGE_NT_HEADERS
mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
add esi,_hModule
assume esi:ptr IMAGE_EXPORT_DIRECTORY ;查找符合名称的导出函数名
mov ebx,[esi].AddressOfNames
add ebx,_hModule
xor edx,edx
.repeat
push esi
mov edi,[ebx]
add edi,_hModule
mov esi,_lpApi
mov ecx,@dwLen
repz cmpsb
.if ZERO?
pop esi
jmp @F
.endif
pop esi
add ebx,4
inc edx
.until edx >= [esi].NumberOfNames
jmp _ret
@@:
;通过API名称索引获取序号索引,再获取地址索引
sub ebx,[esi].AddressOfNames
sub ebx,_hModule
shr ebx,1
add ebx,[esi].AddressOfNameOrdinals
add ebx,_hModule
movzx eax,word ptr [ebx]
shl eax,2
add eax,[esi].AddressOfFunctions
add eax,_hModule ;从地址表得到导出函数地址
mov eax,[eax]
add eax,_hModule
mov @ret,eax _ret:
assume esi:nothing
popad
mov eax,@ret
ret
_getApi endp _start proc
local hKernel32Base:dword ;存放kernel32.dll基地址
local _loadLibrary :_ApiLoadLibrary
pushad
;获取kernel32.dll的基地址
lea edx,_getKernelBase
add eax,ebx
call edx
mov hKernel32Base,eax ;从基地址出发搜索LoadLibraryA函数的首地址
mov eax,offset szLoadLib
add eax,ebx mov edi,hKernel32Base
mov ecx,edi
lea edx,_getApi
add edx,ebx push eax
push ecx
call edx
mov _loadLibrary,eax ;调用补丁代码 mov eax,offset szDllName
push eax
call _loadLibrary popad
ret
_start endp ;EXE文件新的入口地址 _NewEntry:
call @F ;免去重定位
@@:
pop ebx
sub ebx,offset @B invoke _start
;jmpToStart db 0E9h,0F0h,0FFh,0FFh,0FFh
ret
end _NewEntry

运行结果:

代码段大小0x109,学习资料上的是优化到0x80,然而我照着写完MD各种运行不了,而且他里面定义了一堆变量最后根本没用上。获取Kernel32.dll部分的代码也是错的。FK浪费我太多时间调那个汇编代码,后来直接自己改了一个。上面的那个没有采取优化的姿势,需要用的,如果感觉大的话可以进行下汇编代码调整,优化下体积。

以后的PE嵌入通常用的也是这个通用的模板,因为只要通常Loadlibrary就OK了。当然如果想做反弹或者别的,对应的用这个姿势改就行了。目标就是不要有导入表,记得处理重定位,函数用到的数据记得是在代码段,不是放在数据段里面。

Windows PE变形练手2-开发一套自己的PE嵌入模板的更多相关文章

  1. Windows PE变形练手1-用PE自己的机器码修改自己的逻辑

    PE变形练手1-用PE自己的机器码修改自己的逻辑 就是找一个PE文件,用自己的部分代码部分覆盖或者而修改自己另一个代码部分的补丁姿势(现实中使用很少,极少数破解可以用到.这次例子目的是了解PE). 第 ...

  2. Windows PE变形练手3-把通用模板机器码直接覆盖目标PE

    把通用模板机器码直覆盖目标PE 这个地方真是尝试了好久,遇到很多坑点,Win PE那本书上的东西有点不够,也就直接写书上的例子会发现很多地方不是说的那样,里面提供的信息太少了,就比如里面并没有提被注入 ...

  3. Windows API初练手 -- 疯狂写文件代码

    警告:恶作剧软件,慎用!仅供初学者研究代码所用!!! 提示:默认文件创建目录在"D:\test",如果需要使用的话请自行更改目录. 1. Windows API 版本 (调用系统函 ...

  4. Xamarin入门,开发一个简单的练手APP

    之前周末用Xamarin练手做了个简单APP,没有啥逻辑基本就是个界面架子,MVVM的简单使用,还有Binding,Command的简单使用,还有一个稍微复杂点两个界面交互处理(子页面新增后关闭,父页 ...

  5. NEXYS 3开发板练手--LED与数码管时钟

    做科研的时候从学校拿到一块基于Xilinx公司Spartan-6主芯片的FPGA开发板,因为之前一直在用Altera公司的FPGA,一开始接触它还真有点不太习惯.但毕竟核心的东西还是不会变的,于是按照 ...

  6. Windows PE 第十二章 PE变形技术

    PE变形技术 这章东西太多,太细了.这里我只记录了一些重点概念.为后面学习做铺垫. PE变形:改变PE结构之后,PE加载器依然可以成功加载运行我们的程序. 一 变形常用技术: 结构重叠技术.空间调整技 ...

  7. web前端学习部落22群分享给需要前端练手项目

    前端学习还是很有趣的,可以较快的上手然后自己开发一些好玩的项目来练手,网上也可以一抓一大把关于前端开发的小项目,可是还是有新手在学习的时候不知道可以做什么,以及怎么做,因此,就整理了一些前端项目教程, ...

  8. Cocos2d-x 3.X手游开发实例详解

    Cocos2d-x 3.X手游开发实例详解(最新最简Cocos2d-x手机游戏开发学习方法,以热门游戏2048.卡牌为例,完整再现手游的开发过程,实例丰富,代码完备,Cocos2d-x作者之一林顺和泰 ...

  9. webpack练手项目之easySlide(三):commonChunks(转)

    Hello,大家好. 在之前两篇文章中: webpack练手项目之easySlide(一):初探webpack webpack练手项目之easySlide(二):代码分割 与大家分享了webpack的 ...

随机推荐

  1. DDD实战课--学习笔记

    目录 学好了DDD,你能做什么? 领域驱动设计:微服务设计为什么要选择DDD? 领域.子域.核心域.通用域和支撑域:傻傻分不清? 限界上下文:定义领域边界的利器 实体和值对象:从领域模型的基础单元看系 ...

  2. JVM实战调优(空格引发的服务异常)

    JVM实战调优 问题描述 某一个项目中有一个文字转语音的服务,使用的是科大讯飞的语音转换服务,需要调用三方服务.因其转换服务是一个耗时操作,官方给的demo使用的是 WebSocket 进行数据转换操 ...

  3. 【H264】视频编码发展简史

    一.常见视频编码格式 编码格式有很多,如下图: 目前比较常用的编码有: H26x系列:由ITU(国际电传视讯联盟)主导,侧重网络传输 MPEG系列:由ISO(国际标准组织机构)下属的MPEG(运动图象 ...

  4. UML类图画法整理

    一 类图画法 1.类图的概念 显示出类.接口以及他们的静态结构和关系,用于描述系统的结构化设计. 2.类 类是对一组具有相同属性.操作.关系和语义对象的抽象,是面向对象的核心,包括名称.属性和方法.如 ...

  5. python3 int() 各数据类型转int

    print(int('0b1010',0))#二进制数print(int('0xa',0))#十六进制数print(int('0xa',16))print(int('a',16))print(int( ...

  6. vue项目中,更改数组元素的值,视图没有实时更新?

    问题背景: export default { data(){ showItems: [false, false, false, false] }, methods: { showItem(index) ...

  7. springboot+druid报错log4j:WARN No appenders could be found for logger (druid.sql.Connection). log4j:WARN Please initialize the log4j system properly.

     解决方案:新建文件log4j.properties log4j.rootLogger=DEBUG, stdout log4j.appender.stdout=org.apache.log4j.Con ...

  8. Async Cow Python 七牛异步SDK

    # Async Cow Python 七牛异步SDK > gitee链接 >github链接本SDK基于官方SDK改造而成,但又对其进行了进一步封装,简化了相关操作例如:- 1.不需要使用 ...

  9. Macbook 安装kali linux 双系统 2020.3 超详细

    博主折腾了一星期这东西,到现在都还有些坑没解决(最后面会讲).不过最起码系统装上了,可以用了,看到这桌面惊艳了,再点下左上角表示人间值得. 其实我是装了windos 10.macos 和kali三系统 ...

  10. TypeError: 'list' object cannot be interpreted as an integer Python常见错误

    想要通过索引来迭代一个list或者string的元素, 这需要调用 range() 函数.要记得返回len 值而不是返回这个列表.