DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入表,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入表中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入表增加导入函数同样可以实现动态加载,本次实验用到的工具依然是上次编写的PE结构解析器。

解析器下载与使用:https://www.cnblogs.com/LyShark/p/12960816.html

增加空间插入DLL

1.首先我们先来编写一个简易的DLL文件,这里可以使用C/C++或其他任何一种语言。

2.其次由于要操作导入表,我们需要再次复习一下导入结构的定义 _IMAGE_IMPORT_DESCRIPTOR 该IID结构,是一个数组,默认最后一项以全部为0作为结束符。

要添加IID数组的话,需要修改此处IID数组,增加一块区域,但这块内存一般与IID中的OriginalFirstThunk和FirstThun都有关联,这就导致我们必须整体将其移动到一个新的位置才可以,不能被覆盖。

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
DWORD Characteristics; // 0 for terminating null import descriptor
DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
} DUMMYUNIONNAME;
DWORD TimeDateStamp; // 0 if not bound,
DWORD ForwarderChain; // -1 if no forwarders
DWORD Name;
DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

IMAGE_THUNK_DATA32

typedef struct _IMAGE_THUNK_DATA32 {
union {
DWORD ForwarderString; // PBYTE
DWORD Function; // PDWORD
DWORD Ordinal;
DWORD AddressOfData; // PIMAGE_IMPORT_BY_NAME
} u1;
} IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

默认情况下一个_IMAGE_IMPORT_DESCRIPTOR结构的大小为20字节也就是0x14我们再来看一下数据目录表中导入表的位置与大小。

Import RVA = 0x7604

Size = 0xc8

也就是说我们需要找一块或者是自己增加一块空间,该空间的大小应该在 0xc8 + 0x14(一个结构大小) = 0xDC的位置。

再来看看文件与节表的对其参数,其中内存对齐 0x00001000 而文件对其值为 0x00000200

这里我们就直接扩展最后一个节,并按照文件对齐值为它增加0x200字节的空白区域,使用WinHEX操作,找到文件末尾,右键选择编辑粘贴0字节,然后输入512也就是十六进制的200.

由于是直接扩展的最后一个rsrc区段,所以定位到这块空白区域只需要:

文件偏移 0x8400 + 0x8000 = 0x10400

内存偏移 0xB000 + 0x8000 = 0x13000

3.接着找到原IID结构的位置,如上我们知道原始RVA为0x7604,计算 0x7604 - 0x1000 + 0x400 = 0x6A04 大小为0xC8,也就是从0x6A04 - 0x6AB4拷贝下来,右键选择复制十六进制数值。

然后将其粘贴到偏移为0x1040也就是刚才开辟的空间上面,这里需要注意了:由于我们需要增加一个IID结构,所以先要空出黄色部分的空间,其次最后的红色部分全部填充0标志结束符。

在原来的0x6a04出构建新的IID结构,

dllname 文件偏移 = 0x6a14 RVA = 0x6a14 - 0x400 + 0x1000 = 0x7614

import_by_name = 文件偏移 = 0x6a20 RVA = 0x7620

PE文件加载前,OriginalFirstThunk和FirstThunk都指向Import_by_name结构数组,现在可以填充他们了。

OriginalFirstThunk = 文件偏移:0x6a04 相对RVA:0x7604

first Thunk 文件偏移:0x6a0c 相对RVA: 0x760c

开始填充结构数据,如下所示。

黄色代表:OriginalFirstThunk

淡红色代表:TimeDateStamp

绿色代表:FirstThunk

黄色代表:ForwarderChain

紫色代表:dllname

大红代表:导出msg函数名称

最后转到我们后面导入表的位置,在后面填充这些位置。

7604 = OriginalFirstThunk

7614 = dllname

760c = FirstThunk RVA

接着修正PE文件头,由于改变了PE头中输入表的位置,这里输入表也需要修正,改为13000大小则是dc

接着修正text节,加上0x8000000写属性,将其属性改为 20000E0 即可。

最后修正输入表的位置,即可实现DLL插入。

上面这种方式有时可能会出错,例如改完后出现,原因是读取不到节区,没有注册,有时可以有时就会报错,不同系统之间随机出现。

添加新节并插入DLL

解决的办法是自己新建一个节,并设置好属性,先来仿写一个.hack节,我们在 .rsrc 后面直接添加一个新的。

.hack 虚拟偏移:虚拟偏移(.rsrc) + 虚拟大小(.hack) => 0x0001B000 + 0x00001000 = 0001C000 + 2000 = 1e000

上面公式中为什么需要加上2000 ? 这是因为需要凑够整数,字节对齐,不然也是不知别的,例如。

  1. 0x00011000 + 0x00004337 = 15337 直接取整 16000
  2. 0x0001A000 + 0x00000AB9 = 1AAB9 直接取 1B000
  3. 0x0001B000 + 0x000025A0 = 1D5A0 取整 1E000

.hack 实际偏移:实际偏移(.rsrc) + 实际大小(.rsrc) => 0x00007800 + 0x00002600 = 00009E00

计算得到.hack虚拟偏移:0x0001C000 实际偏移:0x00009E00 找到节表位置,开始仿写。

在文件末尾,插入1000个0字节填充

最后修正镜像大小,绿色节区数目加1 6改7,蓝色镜像大小加1000,蓝色改为 0001F000,改完保存。

改完后,运行看看,没问题了,改的很成功,已经识别了。

接着找到导入表,所在位置 0x00006DE0 长度 0x50,winhex跟过去。

选中,拷贝下来。

放到开辟的空间中,文件偏移 9e00 处。

修正当前输入表的位置测试是否可以正确识别,新输入表的FOA是 9e00 将其转为RVA = 0x0001E000 大小先保持不变。

改完后,使用工具验证一下,嗯,确实改掉了,程序依旧能打开,这次搬家很成功。

接着在9e90处构建新的IID结构数组,计算得出。

OriginalFirstThunk 文件偏移 = 9e90 相对RVA: 0x0001E090

TimeDateStamp 单独占用一个存储空间,默认填充为0

TimeDateStamp 文件偏移:9E94 相对RVA: 0x0001E094

由于默认情况下OriginalFirstThunk和FirstThunk都指向Import_BY_name结构数组,所以两者是一致的。

FirstThunk 文件偏移:9E98 相对RVA: 0x0001E098

ForWarderChain 文件偏移:9E9C 相对RVA: 0x0001E09C

DllName 文件偏移:9EA0 相对RVA: 0x0001E0A0

导出函数名称:文件偏移:9EB4 相对RVA: 0x0001E0B4

接着将这些数据填充到指定的位置。我们就在输入表的下方构建这个结构吧。

最后我们转到导入表上,将这个结构构造到导入表的最后。

originalFirstThunk = 1e090

dllname = 1e0a0

FirstThunk = 1e098

由于增加了一个结构,所以需要修正导入表的大小,跳转到160处,修正 50 + 20 = 70

确保最后一个节可读可写可执行。

确保绑定输入解除,也就是将1B0 - 1B8位置的内容全部清除掉。

打开,成功的执行了加载MsgDll.dll 文件,因为根目录没有这个文件所以报错,但已经可以加载成功了

使用工具来验证一下,导入表结构已经可以完美的读取到了,说明我们的计算没问题。

再次分析导入表

我知道你很模糊,这里有必要再深入分析一下,这次我把他们分开来写,这样看起来会更清晰。

首先老样子,定位到节表位置,执行命令 PETools c://win32.exe --ShowDataDirectory

winhex跳转到 0x00006DE0 这个位置上,总长度是 0x00000050 我们来分析一下第一个导入表结构,从而让你对齐更加清晰。

两个黄色部分,分别是 OriginalFirstThunk 和 FirstThunk 在加载到内存之前其是相同的。

User32.dll存放位置

RVA = 01a54a 转成 --> FOA = 0x0000714A

714a 所对应的是 user32.dll 导入模块。

IMAGE_IMPORT_DESCRIPTOR 中的 Name 指向了 0x0000714A 里面就是存放着 user32.dll字符串

指向函数LoadIconA

RVA = 1a15c 转成 --> FOA = 0x00006D5C

6d5c里面存放着 1a53e

将其转化为FOA = 713e

她所对应的是 LoadIconA

我们来构建这样一个结构单元,如下图。

将单元填充好

表关系如下,与微软结构定义相同。

关系如图。

添加成功了。

反写也可识别,OriginalFirstThunk 和 FirstThunk 一致。

x64dbg 也可以动态加载进来

调用也没问题。

注意节区属性必须可读可写,改为E0000E0。

导出表解析

导出表默认在DLL中出现较多,EXE文件中出现导出表虽然可以但很奇怪,导出表在数据目录表第一个成员中,IMAGE_EXPORT_DIRECTORY IED结构,使用PETools工具查看如下。

导出表结构定义如下

typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics;
DWORD TimeDateStamp; // 文件生成时间
WORD MajorVersion;
WORD MinorVersion;
DWORD Name; // 模块真实名称
DWORD Base;
DWORD NumberOfFunctions; // 导出元素个数
DWORD NumberOfNames; // 导出元素个数
DWORD AddressOfFunctions; // 指向函数地址的数组
DWORD AddressOfNames; // 函数名字的指针地址
DWORD AddressOfNameOrdinals; // 指向输出序列号地址的数组
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

winhex 标号

第二项 5ba6031a 指向 TimeDateStamp

计算后得到一个时间戳,将其转为十进制 1537606426 转为时间日期则,没啥可说的。

第五项是Name字段:2280 是RVA 将其转为FOA

跳转到1080处发现时该DLL的原始名称,这个名称就算把名字改掉,名称不会变。

第七八项,代表的时导出函数的个数。

第九项,2258 将其转为FOA跳转过去看看。0x00001058 此处指向228C

将228C转为FOA 0x0000108C 跳过去看看,第一个导出函数名字。

再将2268转为FOA看看 0x00001068 对应2288

再次将2288转为FOA 0x00001088 跳过去看看,同样是第一个函数的字符串。

分析

首先RVA=2258 计算FOA = 0x00001058 其指向函数的RVA地址,程序装入内存后会被展开。

展开后格式如下,红色指向黑色位置,我们有四个函数所以是四个函数的地址。

RVA = 2268 其FOA = 0x00001068 它指向函数名字的指针地址。

2268 指向了 1068 而1068中存放了四个指针,分别指向四个导出函数的名称。

拿2288为例子,转换后变成FOA = 1088 以此类推。

重定位表的解析(拓展)

重定位表在PE中是.reloc,通常情况下EXE可执行文件在映射内存时会独占虚拟空间,所以EXE时不需要重定位信息的,只有DLL才会需要,因为DLL内存不固定,很可能一个DLL被注入到多个进程中,此时就需要对DLL中的数据进行重定位,以确保特定函数还能够被调用到。

重定位表的查找是通过数据目录表的 IMAGE_DIRECTORY_ENTRY_BASERELOC 的条目来查找的,重定位数据采用按页分割的,每个块存放4KB(1000h)的重定位数据,每个重定位块大小为4字节对齐,他们以一个 IMAGE_BASE_RELOCATION 结构。

typedef struct _IMAGE_BASE_RELOCATION {
DWORD VirtualAddress;
DWORD SizeOfBlock;
// WORD TypeOffset[1];
} IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

首先使用PETools解析,来看一下这个结构。

找到位置 FOA = 0x00001800 大小是 0x00000128 也就是重定位表的位置。

如果想要通过手工找到该位置,其位于PE偏移 1a0位置,此处的第一个DWORD是重定位的RVA,第二个位置则是重定位大小。

使用PETools计算的出其FOA = 0x00001800 同样可以定位到重定位表的位置上。

重定位表的分析,第一个黄色代表重定位数据开始的RVA地址,第二个代表重定位块长度,最后一个

TYpeOffset 是一个数组,数组中每项大小为2字节,高四位代表重定位类型,低12位代表重定位地址,他与VirtualAddress相加得到的是需要修正位置的数据指针。

如下,其中后面的WORD类型,每一个都是一个重定位数据。

以第一个300e为例,将其转为FOA = 0x0000140E,定位过去,程序没被装载,这里为空,装在后可能会重定位修复。

PETools解析后,可对比,计算结果无误。

C/C++ 手工实现IAT导入表注入劫持的更多相关文章

  1. PE格式第四讲,数据目录表之导入表,以及IAT表

    PE格式第四讲,数据目录表之导入表,以及IAT表 一丶IAT(地址表) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 他会Call 下边的Jm ...

  2. Android so注入(inject)和Hook技术学习(二)——Got表hook之导入表hook

    全局符号表(GOT表)hook实际是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数. GOT表其实包含了 ...

  3. 第四讲,数据目录表之导入表,以及IAT表

    一丶IAT(地址表) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 它会Call 下边的Jmp位置 而Jmp位置则是对一个全局变量取内容. 看 ...

  4. IAT表和导入表

    1.关于IAT(import address table)表 当exe程序中调用dll中的函数时,反汇编可以看到,call后面并不是跟的实际函数的地址,而是给了一个地址:

  5. C/C++ 导入表与IAT内存修正

    本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修 ...

  6. [PE结构]导入表与IAT表

    导入表的结构导入表的结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for termi ...

  7. 手动添加导入表修改EXE功能

    目标: 改动PE导入表,手工给HelloWorld增加一个功能,就是启动的时候写入一条开机启动项,C:\cmd0000000000000000000000000000.exe 实现方法: 直接在注册相 ...

  8. PE文件结构详解(五)延迟导入表

    PE文件结构详解(四)PE导入表讲 了一般的PE导入表,这次我们来看一下另外一种导入表:延迟导入(Delay Import).看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因 ...

  9. PE文件结构详解(四)PE导入表

    PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPO ...

随机推荐

  1. 剑指 Offer 17. 打印从1到最大的n位数

    剑指 Offer 17. 打印从1到最大的n位数 Offer 17 题目解析: 暴力解法 package com.walegarrett.offer; /** * @Author WaleGarret ...

  2. 设计模式系列之原型模式(Prototype Pattern)——对象的克隆

    说明:设计模式系列文章是读刘伟所著<设计模式的艺术之道(软件开发人员内功修炼之道)>一书的阅读笔记.个人感觉这本书讲的不错,有兴趣推荐读一读.详细内容也可以看看此书作者的博客https:/ ...

  3. python3 获取博彩网站页面下所有域名(批量)

    已有的域名信息 详细实现过程如下 #!/usr/bin/env python # -*- coding:utf-8 -*- import requests from bs4 import Beauti ...

  4. pandas函数的使用

    一.Pandas的数据结构 1.Series Series是一种类似与一维数组的对象,由下面两个部分组成: values:一组数据(ndarray类型) index:相关的数据索引标签 1)Serie ...

  5. Python开发环境从零搭建-03-安装Python解释器并配置

    想要从零开始搭建一个Python的开发环境说容易也容易 说难也能难倒一片开发人员,在接下来的一系列视频中,会详细的讲解如何一步步搭建python的开发环境 本文章是搭建环境的第3篇 讲解的内容是:安装 ...

  6. 2019 南京网络赛 B super_log 【递归欧拉降幂】

    一.题目 super_log 二.分析 公式很好推出来,就是$$a^{a^{a^{a^{...}}}}$$一共是$b$个$a$. 对于上式,由于指数太大,需要降幂,这里需要用到扩展欧拉定理: 用这个定 ...

  7. 2019 GDUT Rating Contest III : Problem E. Family Tree

    题面: E. Family Tree Input file: standard input Output file: standard output Time limit: 1 second Memory ...

  8. 递归函数初步理解---python实现(汉诺塔问题)

    递归常被用来描述以自相似的方法重复事物的过程,在程序中指的是在函数定义中使用函数自身的方法. 递归是一个树结构,分为递推和回归的过程,当递推到达底部时,就会开始回归. 问题描述:A比B大两岁,B比C大 ...

  9. TypeScript 入门自学笔记(一)

    码文不易,转载请带上本文链接,感谢~ https://www.cnblogs.com/echoyya/p/14542005.html 目录 码文不易,转载请带上本文链接,感谢~ https://www ...

  10. 攻防世界 reverse 2ex1

    2ex1 CISCN-2018-Quals mark 1 import base64 2 3 std_base= "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijk ...