空白区域添加代码
经过一个多星期的PE学习,现在把几个能够较好体现PE结构和各种属性的练习整理出来
目的:在notepad.exe中添加一段代码,使其在运行的时候,先弹出一个窗口,然后再执行主程序。
所利用的知识点:
文件对齐,内存对齐,硬编码,PE头结构
①首先要知道,PE文件为了更好的执行,添加了文件对齐和内存对齐的属性,在老版本编译器中,文件对齐一般为200h,内存对齐一般为1000h,在现今版本编译器中,大多数都为1000h。
②DOS头+DOS存根+PE标识+PE文件头+PE可选头+节表 该部分组成了宏观意义上的“PE头”。“PE头”不管是在内存对齐还是文件对齐中,都不会拉伸,中间没有空隙。
③而节表和节数据之间为了对齐而产生的空隙区域,为我们利用提供了方法,添加一段保护代码,就叫做壳,添加shellcode,就叫做病毒。
步骤一 (寻找合适地址)
首先,因为要调用MessageBox函数,所以需要先找到MessageBox函数的地址。利用od寻找
用winhex打开notepad,找到节表后的空白区域,这里我选择在300h处添加自己的代码
*步骤二 (RVA FOA)
要理解怎样写入上述的数据,这里需要掌握硬编码的知识,这里给出两个公式,不花费过多时间解释,请自行领会
E8后跟随的硬编码 = 要跳转的地址- E8所在的地址 - E8所在指令的长度
E9后跟随的硬编码 = 要跳转的地址- E9所在的地址 - E9所在指令的长度
而且更要注意的是,在该notepad中,文件对齐和内存对齐大小并不一样,这里又需要将FOA 转化为 RVA的知识
FOA = n.PointerToRawData + 偏移(即在RVA中所属节+偏移,因为在内存中节空隙之间会被拉伸,但节中的数据并不会被拉伸)
因为300h在文件中仍属于节表区域,而从DOS头到节表区域中间是没有空隙的,所以在内存中,所对应的就是ImageBase+300h,即1000300(这里已经查看了ImageBase)
将我们所需要的数据带入公式中可得
E8后跟的硬编码 =要跳转的地址 - E8所在的地址 - E8所在指令的长度 77D507EA - 1000308 - 5 76D504DD E9后跟的硬编码 =要跳转的地址 - E9所在的地址 - E9所在指令的长度 1000000+739D -100030D - 5 708B
随后,将结果写入即可,切记(小端序存储)
步骤三 (修改EP)
上述步骤已经将想要添加的代码成功添加到程序中,但仍不可运行,因为,程序的入口点(EP)没有改变,当程序加载到内存中时,入口点的VA就是ImageBase+EP,于是,下一步就是要让OEP指向自己写的代码,将自己写的代码执行完毕后,再jmp到原来的OEP处,执行原来的功能。
而则就要求熟练掌握PE头中的各个部分了,PE文件中的ImageBase属性正是在IMAGE_OPTIONAL_HEADER中,而PE头的结构想必都非常熟悉,我前面的博客中已经介绍了,请自行阅读。
typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
PE指纹和文件头分别占4个字节和20个字节,紧接着就是可选头,可选头的大小不固定,如果不更改,在32位系统中则为E0。
//可选PE头 struct _IMAGE_OPTIONAL_HEADER{ 0x00 WORD Magic; //※幻数(魔数),0x0107:ROM image,0x010B:32位PE,0X020B:64位PE //0x02 BYTE MajorLinkerVersion; //连接器主版本号 //0x03 BYTE MinorLinkerVersion; //连接器副版本号 0x04 DWORD SizeOfCode; //所有代码段的总和大小,注意:必须是FileAlignment的整数倍,存在但没用 0x08 DWORD SizeOfInitializedData; //已经初始化数据的大小,注意:必须是FileAlignment的整数倍,存在但没用 0x0c DWORD SizeOfUninitializedData; //未经初始化数据的大小,注意:必须是FileAlignment的整数倍,存在但没用 0x10 DWORD AddressOfEntryPoint; //※程序入口地址OEP,这是一个RVA(Relative Virtual Address),通常会落在.textsection,此字段对于DLLs/EXEs都适用。 0x14 DWORD BaseOfCode; //代码段起始地址(代码基址),(代码的开始和程序无必然联系) 0x18 DWORD BaseOfData; //数据段起始地址(数据基址) 0x1c DWORD ImageBase; //※内存镜像基址(默认装入起始地址),默认为4000H 0x20 DWORD SectionAlignment; //※内存对齐:一旦映像到内存中,每一个section保证从一个「此值之倍数」的虚拟地址开始 0x24 DWORD FileAlignment; //※文件对齐:最初是200H,现在是1000H //0x28 WORD MajorOperatingSystemVersion; //所需操作系统主版本号 //0x2a WORD MinorOperatingSystemVersion; //所需操作系统副版本号 //0x2c WORD MajorImageVersion; //自定义主版本号,使用连接器的参数设置,eg:LINK /VERSION:2.0 myobj.obj //0x2e WORD MinorImageVersion; //自定义副版本号,使用连接器的参数设置 //0x30 WORD MajorSubsystemVersion; //所需子系统主版本号,典型数值4.0(Windows 4.0/即Windows 95) //0x32 WORD MinorSubsystemVersion; //所需子系统副版本号 //0x34 DWORD Win32VersionValue; //总是0 0x38 DWORD SizeOfImage; //※PE文件在内存中映像总大小,sizeof(ImageBuffer),SectionAlignment的倍数 0x3c DWORD SizeOfHeaders; //※DOS头(64B)+PE标记(4B)+标准PE头(20B)+可选PE头+节表的总大小,按照文件对齐(FileAlignment的倍数) 0x40 DWORD CheckSum; //PE文件CRC校验和,判断文件是否被修改 //0x44 WORD Subsystem; //用户界面使用的子系统类型 //0x46 WORD DllCharacteristics; //总是0 0x48 DWORD SizeOfStackReserve; //默认线程初始化栈的保留大小 0x4c DWORD SizeOfStackCommit; //初始化时实际提交的线程栈大小 0x50 DWORD SizeOfHeapReserve; //默认保留给初始化的process heap的虚拟内存大小 0x54 DWORD SizeOfHeapCommit; //初始化时实际提交的process heap大小 //0x58 DWORD LoaderFlags; //总是0 0x5c DWORD NumberOfRvaAndSizes; //目录项数目:总为0X00000010H(16) 0x60 _IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 };
在可选头中,通过偏移,即可找到AddressOfEntryPoint,它的值就是需要修改成自己所写的代码所在的偏移地址。
这样,空白区添加代码所需的全部工作已经完成。运行发现结果正常。先弹出一个窗口,关闭窗口后,打开notepad本体。
总结
必须熟练掌握RVA FOA的转换,在反病毒和脱壳加壳领域中,是非常重要的基本功