PE嵌入模板

编写一段代码，生成一个已经处理过重定位信息，同时所有的内容都在代码段里，并且没有导入表的PE程序，把这个程序嵌入到其他PE的相关位置，能够独立的运行，接下来是整理了2个模板，一个是HelloWorld的，另一个是通用模板LoadLibrary的模板。

开发环境masm32和vs2012,相关环境搭建我之前整理过[ http://blog.csdn.net/u013761036/article/details/52186683 ];

直接C++的话貌似不行，我用vs2015本地创建了一个空的项目，默认优化全开：

还是会有kernel32.dll。

接下来是模板1，功能是所有的东西都在一个独立的模块，弹出对话框，同时处理了全局变量的重定位问题。模板如下[代码是仿照Windows PE 权威指南，但是有些地方已经改过了，书上代码在我本地跑有问题，再获取Kernel32.dll地址的时候并不能成功得到地址。那个函数我已经重写了]：

;----------------------------------------
;补丁代码
;本段代码使用了API函数地址动态获取以及重定位技术
;程序功能:弹出对话框
;作者:Thinker
;开发日期:2017.4.30
;开发测试环境:vs2012+masm32、Win7 X64
;----------------------------------------
.386
.model flat,stdcall
option casemap:none
include windows.inc
;注意，此处不静态包含引入任何其他动态链接库，包括Kernell32.dll
_ProtoGetProcAddress typedef proto :dword,:dword
_ProtoLoadLibrary    typedef proto :dword
_ApiGetProcAddress   typedef ptr _ProtoGetProcAddress
_ApiLoadLibrary      typedef ptr _ProtoLoadLibrary
;----------------------------------------
;补丁代码中引入的其他动态链接库函数的声明
;----------------------------------------
_ProtoMessageBox typedef proto :dword,:dword,:dword,:dword
_ApiMessageBox   typedef ptr _ProtoMessageBox
;被添加到目标文件的代码从这里开始，到APPEND_CODE_END处结束
.code
jmp _NewEntry
;以下内容为两个重要函数名
;几乎所有补丁都必须使用
szGetProcAddr db 'GetProcAddress',0
szLoadLib     db 'LoadLibraryA',0
;----------------------------------------
;补丁代码中其他全局变量的定义
;----------------------------------------
szUser32Dll   db 'user32.dll',0
szMessageBox  db 'MessageBoxA',0
szHello       db 'HelloWorldPE',0
;----------------------------------------
;获取kernel32.dll 的基地址
;----------------------------------------
_getKernelBase proc
;下面是Windows PE权威指南上的代码，获取Kernel32.dll地址失败，无奈我用自己之前的C++代码改了下，测试几次发现可以
    ;local @dwRet
;pushad
;assume fs:nothing
;mov eax,fs:[30h]    ;PEB
;mov eax,[eax+0ch]   ;PEB_LDE_DATA
;mov esi,[eax+1ch]   ;InInitializationOrderModuleList
;lodsd
;mov eax,[eax+8]      ;Kernel32.dll的基地址
;mov @dwRet ,eax
;popad
;mov eax,@dwRet
;ret
;之前写的C++代码改的[http://blog.csdn.net/u013761036/article/details/71006302]
local @dwRet
pushad
assume fs:nothing
mov ebx, fs:[30h]          ;得到peb结构体的地址
    mov ebx, [ebx + 0ch]       ;得到Ldr结构体的地址
    mov ebx, [ebx + 0ch]       ;得到ldr.InLoadOrderModuleList.Flink 第一个模块，当前进程
    mov ebx, [ebx]             ;得到第二个模块地址 ntdll.dll
    mov ebx, [ebx]             ;得到第三个模块地址 kernel32.dll
    mov ebx, [ebx + 18h]       ;得到第三个模块地址（kernel32模块的dllbase)
    mov @dwRet, ebx
popad
mov eax,@dwRet
ret
_getKernelBase endp
;----------------------------------------
;获取制定字符串的API函数的调用地址
;入口参数:_hModule 为动态链接库的基地址
;         _lpApi为API函数名称首指
;出口参数:eax 位函数在虚拟地址空间中的真实地址
;----------------------------------------
_getApi proc _hModule,_lpApi
local @ret
local @dwLen
pushad
mov @ret,0
;计算API字符串的长度，含最后的0
mov edi,_lpApi
mov ecx,-1
xor al,al
cld
repnz scasb
mov ecx,edi
sub ecx,_lpApi
mov @dwLen,ecx
;从PE文件头的数据目录获取导出表地址
mov esi,_hModule
add esi,[esi+3ch]
assume esi:ptr IMAGE_NT_HEADERS
mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
add esi,_hModule
assume esi:ptr IMAGE_EXPORT_DIRECTORY
;查找符合名称的导出函数名
mov ebx,[esi].AddressOfNames
add ebx,_hModule
xor edx,edx
.repeat
push esi
mov edi,[ebx]
add edi,_hModule
mov esi,_lpApi
mov ecx,@dwLen
repz cmpsb
.if ZERO?
pop esi
jmp @F
.endif
pop esi
add ebx,4
inc edx
.until edx >= [esi].NumberOfNames
jmp _ret
@@:
    ;通过API名称索引获取序号索引，再获取地址索引
sub ebx,[esi].AddressOfNames
sub ebx,_hModule
shr ebx,1
add ebx,[esi].AddressOfNameOrdinals
add ebx,_hModule
movzx eax,word ptr [ebx]
shl eax,2
add eax,[esi].AddressOfFunctions
add eax,_hModule
;从地址表得到导出函数地址
mov eax,[eax]
add eax,_hModule
mov @ret,eax
_ret:
    assume esi:nothing
popad
mov eax,@ret
ret
_getApi endp
;----------------------------------------
;补丁功能部分
;传入3个参数
;    _kernel :kernel32.dll的基地址
;    _getAddr:函数GetProcAddress地址
;    _LoadLib:函数LoadLibraryA地址
;----------------------------------------
_patchFun proc _kernel,_getAddr,_loadLib
    ;----------------------------------------
;补丁代码局部变量定义
;----------------------------------------
local hUser32Base:dword
local _messageBox:_ApiMessageBox
pushad
;----------------------------------------
;补丁功能代码，下面例子弹出对话框
;----------------------------------------
;获取user32.dll的基地址
mov eax,offset szUser32Dll
add eax,ebx
mov edx,_loadLib
push eax
call edx
mov hUser32Base,eax
;使用GetProcAddress函数的首地址
;传入两个参数调用GetProcAddress函数
;获得MessageBoxA的首地址
mov eax,offset szMessageBox
add eax,ebx
mov edx,_getAddr
mov ecx,hUser32Base
push eax
push ecx
call edx
mov _messageBox,eax
;调用函数MessageBox
mov eax,offset szHello
add eax,ebx
mov edx,_messageBox
push MB_OK
push NULL
push eax
push NULL
call edx
popad
ret
_patchFun endp
_start proc
    local hKernel32Base:dword ;存放kernel32.dll基地址
local _getProcAddress:_ApiGetProcAddress
local _loadLibrary   :_ApiLoadLibrary
pushad
;获取kernel32.dll的基地址
lea edx,_getKernelBase
add eax,ebx
call edx
mov hKernel32Base,eax
;从基地址出发搜索GetProcAddress函数的首地址
mov eax,offset szGetProcAddr
add eax,ebx
mov edi,hKernel32Base
mov ecx,edi
lea edx,_getApi
add edx,ebx
push eax
push ecx
call edx
mov _getProcAddress,eax
;从基地址出发搜索LoadLibraryA函数的首地址
mov eax,offset szLoadLib
add eax,ebx
mov edi,hKernel32Base
mov ecx,edi
lea edx,_getApi
add edx,ebx
push eax
push ecx
call edx
mov _loadLibrary,eax
;调用补丁代码
lea edx,_patchFun
add edx,ebx
push _loadLibrary
push _getProcAddress
push hKernel32Base
call edx
popad
ret
_start endp
;EXE文件新的入口地址
_NewEntry:
call @F ;免去重定位
@@:
    pop ebx
sub ebx,offset @B
invoke _start
    jmpToStart db 0E9h,0F0h,0FFh,0FFh,0FFh
ret
end _NewEntry

最后的黑体是跳转用的。如果单独跑这个地方可以去掉，不然一条转都崩溃了，通常留着是为了嵌入到别的程序里之后，执行完之后跳转到原来程序入口地址等。

模板1的执行结果如下：

并没有导入表，同时相关字符串也没有存在数据段里：

代码段部分就是全部了，可以拷贝来独立的用。

模板2：和1类似，就是做了一个loadlibrary的模板，这样就和其他注入姿势一样了，只是加载一个dll，然后所有的东西在dll里面写就行了。Dllmain函数被调用的时候记得触发下自己就OK了。模板代码如下[一样书上的获取kernel32.dll代码无效，此处已经修正]。


;----------------------------------------
;补丁代码
;本段代码使用了API函数地址动态获取以及重定位技术
;程序功能:loadlibrary实现通用补丁代码
;作者:Thinker
;开发日期:2017.4.30
;开发测试环境:vs2012+masm32、Win7 X64
;----------------------------------------
.386
.model flat,stdcall
option casemap:none
include windows.inc
_ProtoLoadLibrary    typedef proto :dword
_ApiLoadLibrary      typedef ptr _ProtoLoadLibrary
;被添加到目标文件的代码从这里开始，到APPEND_CODE_END处结束
.code
jmp _NewEntry
szLoadLib     db 'LoadLibraryA',0
szDllName     db 'I.dll',0
;----------------------------------------
;获取kernel32.dll 的基地址
;----------------------------------------
_getKernelBase proc
local @dwRet
pushad
assume fs:nothing
mov ebx, fs:[30h]          ;得到peb结构体的地址
    mov ebx, [ebx + 0ch]       ;得到Ldr结构体的地址
    mov ebx, [ebx + 0ch]       ;得到ldr.InLoadOrderModuleList.Flink 第一个模块，当前进程
    mov ebx, [ebx]             ;得到第二个模块地址 ntdll.dll
    mov ebx, [ebx]             ;得到第三个模块地址 kernel32.dll
    mov ebx, [ebx + 18h]       ;得到第三个模块地址（kernel32模块的dllbase)
    mov @dwRet, ebx
popad
mov eax,@dwRet
ret
_getKernelBase endp
;----------------------------------------
;获取制定字符串的API函数的调用地址
;入口参数:_hModule 为动态链接库的基地址
;         _lpApi为API函数名称首指
;出口参数:eax 位函数在虚拟地址空间中的真实地址
;----------------------------------------
_getApi proc _hModule,_lpApi
local @ret
local @dwLen
pushad
mov @ret,0
;计算API字符串的长度，含最后的0
mov edi,_lpApi
mov ecx,-1
xor al,al
cld
repnz scasb
mov ecx,edi
sub ecx,_lpApi
mov @dwLen,ecx
;从PE文件头的数据目录获取导出表地址
mov esi,_hModule
add esi,[esi+3ch]
assume esi:ptr IMAGE_NT_HEADERS
mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
add esi,_hModule
assume esi:ptr IMAGE_EXPORT_DIRECTORY
;查找符合名称的导出函数名
mov ebx,[esi].AddressOfNames
add ebx,_hModule
xor edx,edx
.repeat
push esi
mov edi,[ebx]
add edi,_hModule
mov esi,_lpApi
mov ecx,@dwLen
repz cmpsb
.if ZERO?
pop esi
jmp @F
.endif
pop esi
add ebx,4
inc edx
.until edx >= [esi].NumberOfNames
jmp _ret
@@:
    ;通过API名称索引获取序号索引，再获取地址索引
sub ebx,[esi].AddressOfNames
sub ebx,_hModule
shr ebx,1
add ebx,[esi].AddressOfNameOrdinals
add ebx,_hModule
movzx eax,word ptr [ebx]
shl eax,2
add eax,[esi].AddressOfFunctions
add eax,_hModule
;从地址表得到导出函数地址
mov eax,[eax]
add eax,_hModule
mov @ret,eax
_ret:
    assume esi:nothing
popad
mov eax,@ret
ret
_getApi endp
_start proc
    local hKernel32Base:dword ;存放kernel32.dll基地址
local _loadLibrary   :_ApiLoadLibrary
pushad
;获取kernel32.dll的基地址
lea edx,_getKernelBase
add eax,ebx
call edx
mov hKernel32Base,eax
;从基地址出发搜索LoadLibraryA函数的首地址
mov eax,offset szLoadLib
add eax,ebx
mov edi,hKernel32Base
mov ecx,edi
lea edx,_getApi
add edx,ebx
push eax
push ecx
call edx
mov _loadLibrary,eax
;调用补丁代码
mov eax,offset szDllName
push eax
call _loadLibrary
popad
ret
_start endp
;EXE文件新的入口地址
_NewEntry:
call @F ;免去重定位
@@:
    pop ebx
sub ebx,offset @B
invoke _start
    ;jmpToStart db 0E9h,0F0h,0FFh,0FFh,0FFh
ret
end _NewEntry

运行结果：

代码段大小0x109,学习资料上的是优化到0x80,然而我照着写完MD各种运行不了，而且他里面定义了一堆变量最后根本没用上。获取Kernel32.dll部分的代码也是错的。FK浪费我太多时间调那个汇编代码，后来直接自己改了一个。上面的那个没有采取优化的姿势，需要用的，如果感觉大的话可以进行下汇编代码调整，优化下体积。

以后的PE嵌入通常用的也是这个通用的模板，因为只要通常Loadlibrary就OK了。当然如果想做反弹或者别的，对应的用这个姿势改就行了。目标就是不要有导入表，记得处理重定位，函数用到的数据记得是在代码段，不是放在数据段里面。

Windows PE变形练手2-开发一套自己的PE嵌入模板的更多相关文章

Windows PE变形练手1-用PE自己的机器码修改自己的逻辑
PE变形练手1-用PE自己的机器码修改自己的逻辑就是找一个PE文件,用自己的部分代码部分覆盖或者而修改自己另一个代码部分的补丁姿势(现实中使用很少,极少数破解可以用到.这次例子目的是了解PE). 第 ...
Windows PE变形练手3-把通用模板机器码直接覆盖目标PE
把通用模板机器码直覆盖目标PE 这个地方真是尝试了好久,遇到很多坑点,Win PE那本书上的东西有点不够,也就直接写书上的例子会发现很多地方不是说的那样,里面提供的信息太少了,就比如里面并没有提被注入 ...
Windows API初练手 -- 疯狂写文件代码
警告:恶作剧软件,慎用!仅供初学者研究代码所用!!! 提示:默认文件创建目录在"D:\test",如果需要使用的话请自行更改目录. 1. Windows API 版本 (调用系统函 ...
Xamarin入门，开发一个简单的练手APP
之前周末用Xamarin练手做了个简单APP,没有啥逻辑基本就是个界面架子,MVVM的简单使用,还有Binding,Command的简单使用,还有一个稍微复杂点两个界面交互处理(子页面新增后关闭,父页 ...
NEXYS 3开发板练手--LED与数码管时钟
做科研的时候从学校拿到一块基于Xilinx公司Spartan-6主芯片的FPGA开发板,因为之前一直在用Altera公司的FPGA,一开始接触它还真有点不太习惯.但毕竟核心的东西还是不会变的,于是按照 ...
Windows PE 第十二章 PE变形技术
PE变形技术这章东西太多,太细了.这里我只记录了一些重点概念.为后面学习做铺垫. PE变形:改变PE结构之后,PE加载器依然可以成功加载运行我们的程序. 一变形常用技术: 结构重叠技术.空间调整技 ...
web前端学习部落22群分享给需要前端练手项目
前端学习还是很有趣的,可以较快的上手然后自己开发一些好玩的项目来练手,网上也可以一抓一大把关于前端开发的小项目,可是还是有新手在学习的时候不知道可以做什么,以及怎么做,因此,就整理了一些前端项目教程, ...
Cocos2d-x 3.X手游开发实例详解
Cocos2d-x 3.X手游开发实例详解(最新最简Cocos2d-x手机游戏开发学习方法,以热门游戏2048.卡牌为例,完整再现手游的开发过程,实例丰富,代码完备,Cocos2d-x作者之一林顺和泰 ...
webpack练手项目之easySlide（三）：commonChunks（转）
Hello,大家好. 在之前两篇文章中: webpack练手项目之easySlide(一):初探webpack webpack练手项目之easySlide(二):代码分割与大家分享了webpack的 ...

随机推荐

Linux发行版及其目标用户
1.Debian Debian 众所周知,是Deepin,Ubuntu和Mint等流行Linux发行版的母亲,这些发行版提供了可靠的性能,稳定性和无与伦比的用户体验.最新的稳定发行版是Debian 1 ...
mongodb为什么比mysql效率高
首先是内存映射机制,数据不是持久化到存储设备中的,而是暂时存储在内存中,这就提高了在IO上效率以及操作系统对存储介质之间的性能损耗.(毕竟内存读取最快) 其次,NoSQL并不是不使用sql,只是不使用 ...
Codeforces Round #545 B. Circus
题面: 传送门题目描述: 马戏团中一共有N个人(N是偶数),有的人会扮演小丑,有的人会表演杂技.给出每个人会什么,然后按照下列规则把这些人分成两组: 每个人只能在其中一组两个组的人数相等(也就是把 ...
API管理工具
开源的api文档管理系统 api文档 php 在项目中,需要协同开发,所以会写许多API文档给其他同事,以前都是写一个简单的TXT文本或Word文档,口口相传,这种方式比较老土了,所以,需要有个api ...
主成分分析 | Principal Components Analysis | PCA
理论仅仅使用基本的线性代数知识,就可以推导出一种简单的机器学习算法,主成分分析(Principal Components Analysis, PCA). 假设有 $m$ 个点的集合:$\left\{ ...
Tomcat详解系列(1) - 如何设计一个简单的web容器
Tomcat - 如何设计一个简单的web容器在学习Tomcat前,很多人先入为主的对它的认知是巨复杂的:所以第一步,在学习它之前,要打破这种观念,我们通过学习如何设计一个最基本的web容器来看它需 ...
P1047_校门外的树(JAVA语言)
题目描述某校大门外长度为L的马路上有一排树,每两棵相邻的树之间的间隔都是1米. 我们可以把马路看成一个数轴,马路的一端在数轴0的位置,另一端在L的位置: 数轴上的每个整数点,即0,1,2,-,L都种 ...
攻防世界 reverse 进阶 easyre-153
easyre-153 查壳: upx壳脱壳: 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 int ...
一种3位sar adc仿真验证
3位sar adc采用下图的电容阵列,电路如下图:所有电容的正端(也称为上极板)与比较器的同相端连接,比较器反相端接gnd,其工作过程进行大致分析见之前的文章<一种3位sar adc工作过程推导 ...
Android Studio 待看博文
•前言学习过程中找到的一些好的博文,有些可能当时就看完了并解决了我的问题,有些可能需要好几天的事件才能消化. 特此记录,方便查阅. •CSDN 给新人的一些基础常识 TextView的文字长度测量及 ...

Windows PE变形练手2-开发一套自己的PE嵌入模板

PE嵌入模板

Windows PE变形练手2-开发一套自己的PE嵌入模板的更多相关文章

随机推荐

热门专题