導入表注入原理和C語言實現

原創 hambaga 2020-07-04 09:08

一、導入表注入的原理

注入是把DLL加載到另一個進程的4GB地址空間中,實現方式有很多種,導入表注入是我學的第一種注入,是通過修改程序的導入表,把自己的DLL添加到導入表中,來實現這個目的。

導入表是連續存儲在節裏的,它後面還有其他數據,不能直接追加一個導入表,所以必須找一塊足夠大的內存,把原來的所有導入表移動過去,再追加我們DLL的導入表。新增節是比較簡單的做法,我的代碼中也採用新增節。

導入表注入是讓系統根據EXE的導入表,幫我們實現加載DLL,需要知道一點,DLL至少要有一個導出函數,系統纔會幫我們加載DLL

新增節存儲如下數據(順序隨意安排):
原來的所有導出表 IMAGE_IMPORT_DESCRIPTOR
新增DLL的導出表 IMAGE_IMPORT_DESCRIPTOR
導出表結束標記,sizeof(IMAGE_IMPORT_DESCRIPTOR) 個0
INT表
INT表結束標記
IMPORT_BY_NAME 結構,包括Hint和導出函數名所佔的字節數
IAT表
IAT表結束標記
模塊名

這些數據都寫入到內存中後,根據他們的地址,給其中某些結構的屬性賦值
導入表中的FirstThunk,OriginalFirstThunk分別存儲INT,IAT的RVA;
導入表的Name存儲模塊名的RVA;
INT,IAT的值是IMPORT_BY_NAME的RVA;

除此之外,完成了所有結構的屬性設置後,不要忘了修改數據目錄項,讓導入表指向新增節首字節。

二、注入代碼和運行結果

// 導入表注入demo,通過修改導入表,將 InjectDll.dll 添加到導入表
// DLL只有一個導出函數 ExportFunction,保證至少有一個導出函數DLL纔會被加載
// DLL的主函數在加載和分離時會彈窗
DWORD ImportTableInjectDemo(LPVOID pFileBuffer, LPVOID *pNewFileBuffer, DWORD dwFileSize)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	
	PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pFileBuffer + \
		RvaToFoa(pFileBuffer, pOptionHeader->DataDirectory[1].VirtualAddress));

	// 計算新增節的大小
	// 新增節存儲的內容有:原來的所有導入表,新導入表,新INT, IAT, 模塊名,一個_IMAGE_IMPORT_BY_NAME
	// 上述容器按0爲結束標記的,也要包含結束標記
	DWORD dwNewSectionSize = 0;
	DWORD dwNumberOfDll = 0;
	while (pImportTable->OriginalFirstThunk || pImportTable->FirstThunk)
	{
		//printf("%s\n", (LPCSTR)(RvaToFoa(pFileBuffer, pImportTable->Name) + (DWORD)pFileBuffer));
		dwNumberOfDll++;
		pImportTable++;
	}
	dwNewSectionSize += (dwNumberOfDll + 2) * sizeof(IMAGE_IMPORT_DESCRIPTOR); // 原有的和新添加的導入表,以及結束標記
	dwNewSectionSize += 16; // 這裏包括一個INT,一個IAT和兩個結束標記
	dwNewSectionSize += strlen("InjectDll.dll") + 1; // 模塊名
	dwNewSectionSize += 2 + strlen("ExportFunction") + 1; // _IMAGE_IMPORT_BY_NAME,包括Hint和函數名
	DWORD dwNewFileSize = AddCodeSection(pFileBuffer, pNewFileBuffer, dwFileSize, dwNewSectionSize);
	
	pDosHeader = (PIMAGE_DOS_HEADER)*pNewFileBuffer;
	pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)*pNewFileBuffer + \
		RvaToFoa(*pNewFileBuffer, pOptionHeader->DataDirectory[1].VirtualAddress));

	// 設置新增節屬性
	pSectionHeader[pPEHeader->NumberOfSections - 1].Characteristics = 0xC0000040; // 可讀寫,含已初始化數據

	// 定義指針指向新增節首字節
	LPVOID pNewSec = (LPVOID)((DWORD)*pNewFileBuffer + pSectionHeader[pPEHeader->NumberOfSections - 1].PointerToRawData);
	LPVOID pInsert = pNewSec;	
	// 複製原有的導入表
	memcpy(pInsert, pImportTable, dwNumberOfDll * sizeof(IMAGE_IMPORT_DESCRIPTOR));	
	// 設置新導入表的時間戳,ForwarderChain
	pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pInsert + dwNumberOfDll * sizeof(IMAGE_IMPORT_DESCRIPTOR));	
	pImportTable->TimeDateStamp = 0; // 表示不使用綁定導入
	pImportTable->ForwarderChain = -1;
	// 設置導入表結束標記
	pInsert = (LPVOID)((DWORD)pImportTable + sizeof(IMAGE_IMPORT_DESCRIPTOR)); // 指向結束標記
	memset(pInsert, 0, sizeof(IMAGE_IMPORT_DESCRIPTOR));
	// 指定INT表插入點
	pInsert = (LPVOID)((DWORD)pInsert + sizeof(IMAGE_IMPORT_DESCRIPTOR)); // 現在指向INT表
	PIMAGE_THUNK_DATA pINT = (PIMAGE_THUNK_DATA)pInsert; // 定義指向INT表的指針
	// 設置INT結束標誌
	memset(pINT + 1, 0, sizeof(IMAGE_THUNK_DATA));
	// 設置 IMPORT_BY_NAME,INT表和IAT表共同指向這塊內存
	PIMAGE_IMPORT_BY_NAME pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)pINT + 8); // IMPORT_BY_NAME插入點
	pImportByName->Hint = 0; // 設置沒有用的導出序號
	strcpy((char*)(pImportByName->Name), "ExportFunction"); // 設置函數名
	// INT表的值是 IMPORT_BY_NAME 的RVA
	*((PDWORD)pINT) = FoaToRva(*pNewFileBuffer, (DWORD)pImportByName - (DWORD)*pNewFileBuffer); // 設置INT的值
	// 設置IAT表
	pInsert = (LPVOID)((DWORD)pImportByName + 2 + strlen("ExportFunction") + 1); // 指向IAT表	
	PIMAGE_THUNK_DATA  pIAT = (PIMAGE_THUNK_DATA)pInsert; // IAT插入點
	memcpy(pIAT, pINT, 8);
	// 分配模塊名的內存,並完成導入表剩餘屬性的賦值
	pInsert = (LPVOID)((DWORD)pInsert + 8);	
	strcpy((char *)pInsert, "InjectDll.dll");
	// 設置導入表屬性
	pImportTable->FirstThunk = FoaToRva(*pNewFileBuffer, (DWORD)pINT - (DWORD)*pNewFileBuffer);
	pImportTable->OriginalFirstThunk = FoaToRva(*pNewFileBuffer, (DWORD)pIAT - (DWORD)*pNewFileBuffer);
	pImportTable->Name = FoaToRva(*pNewFileBuffer, (DWORD)pInsert - (DWORD)*pNewFileBuffer);
	// 更新目錄項中導入表的位置
	pOptionHeader->DataDirectory[1].VirtualAddress = FoaToRva(*pNewFileBuffer, ((DWORD)pNewSec - (DWORD)*pNewFileBuffer));
	return dwNewFileSize;
}

給ipmsg注入dll,雙擊運行exe,先彈出對話框
在這裏插入圖片描述

然後才運行程序
在這裏插入圖片描述

程序退出時,再次彈出對話框
在這裏插入圖片描述

三、DLL的代碼

這是DLL的主函數,加載時彈一次窗,分離時也彈一次窗。

BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		Init();
		break;
	case DLL_PROCESS_DETACH:
		Destroy();
		break;
	}
    return TRUE;
}

四、完整代碼

至此,PE模塊的課程已經結束,有很多PE的知識還沒涉及到,這些要在以後學習了相關知識後再瞭解。

PE所有課後作業的核心代碼都在這了!
在這裏插入圖片描述

https://blog.csdn.net/Kwansy/article/details/106234264

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Windows BitLocker解鎖PE工具

常用筆記本的朋友肯定又遇到忘記的密碼的場景, 今天遇到指紋無法解鎖導致需要PIN解鎖,用PE嘗試修改密碼。發現硬盤有BitLocker加密,無法進行修改   嘗試各種方法,發現一款帶BitLocker解鎖工具純淨PE(只有解鎖BitLoc

瘦瘦的胖子 2020-07-07 13:16:41

防靜態跟蹤和防動態跟蹤

一 參考網址 反靜態分析和反動態跟蹤 二 靜態跟蹤概念 方法: 將關鍵代碼,藏起來或者加密.使得反彙編出來的程序中,看不到或者無法識別,則做到防靜態分析. 工具: IDA Pro可以將程序反彙編,查看其破解源碼. 三 逆向操作

学海无涯-学以致用 2020-07-07 06:52:24

移動重定位表到新增節

一、爲什麼要移動重定位表 數據目錄中的表是分散在各個節裏的,如果對節進行加密,操作系統找不到表,就無法加載程序。因此加密前要先把表移動到新的節裏。 二、怎麼移動 計算重定位表的大小,首先要遍歷重定位表,累加 SizeOfBlock

hambaga 2020-07-04 09:08:21

操作系統是如何使用重定位表的

一、重定位表的結構 重定位表是數據目錄中第6項,它的結構如圖示: 重定位表由多個塊(block)組成,每個塊內部由三部分組成——VirtualAddress、SizeOfBlock 和若干個2字節偏移。SizeOfBlock 表

hambaga 2020-07-04 09:08:21

移動導出表到新增節

一、爲什麼要移動導出表 移動導出表是指將導出表以及其內部的三張子表移動到新增節,這個操作是軟件加密的第一步。因爲軟件加密會把節進行加密,而數據目錄是在節裏的,加密後操作系統不認識了,因此我們要把數據目錄裏面的東西移動到一個新的節裏

hambaga 2020-07-04 09:08:21

PE 數字簽名

http://www.youdzone.com/signature.html  英文文章,介紹了證書與簽名的關係。 http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_sign

keidoekd2345 2020-06-25 06:31:55

PE:AddNewSection

DWORD AddNewSection(IN PVOID pFileBuffer, OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIM

zmmycsdn 2020-06-23 10:32:11

PE:copyBaseRelocation2NewSection

DWORD copyBaseRelocation2NewSection(IN PVOID pFileBuffer,OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader

zmmycsdn 2020-06-23 09:54:38

PE文件之miansha

首先來簡單瞭解一下殺毒軟件查殺病毒的原理,當前殺毒軟件對病毒的查殺主要有特徵代碼法和行爲監測法。其中前一個比較方法古老,又分爲文件查殺和內存查殺,殺毒軟件公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致

丸子头 2020-06-22 13:28:06

PE學習筆記1

文章目錄與PE相關概念地址擴展虛擬內存VA相對虛擬內存地址RVA文件偏移FOA特殊地址數據目錄節對齊PE文件結構 學習筆記來源《Windows.PE權威指南》這本書 與PE相關概念 地址 VA(Virtual Address):虛

我还在_ 2020-06-19 01:40:59

Project Euler NO46

Christian Goldbach 提出每個奇合數都可以寫作一個質數與一個平方數的二倍之和: 9 = 7 + 212 15 = 7 + 222 21 = 3 + 232 25 = 7 + 232 27 = 19 + 222 33

q2234037172 2020-06-16 06:19:03

Project Euler NO43

1406357289是一個pandigital數,因爲它包含了0到9之間每個數字且只包含了一次。此外它還有一個有趣的子串整除性質。 令d1表示其第一位數字,d2表示第二位,以此類推。這樣我們可以得到: d2d3d4=406 能被 2 整

q2234037172 2020-06-16 06:19:03

Project Euler NO22

文件names.txt (右鍵另存爲)是一個46K大小的文本文件,包含5000多個英文名字。利用這個文件,首先將文件中的名字按照字母排序,然後計算每個名字的字母值,最後將字母值與這個名字在名字列表中的位置相乘,得到這個名字的得分。 例

q2234037172 2020-06-16 06:19:03

Project Euler NO41

如果一個數字將1到n的每個數字都使用且只使用了一次,我們將其稱其爲一個n位的pandigital數。例如,2143是一個4位的pandigital數

q2234037172 2020-06-16 06:19:03

Project Euler NO34

145 是一個奇怪的數字, 因爲 1! + 4! + 5! = 1 + 24 + 120 = 145. 找出所有等於各位數字階乘之和的數字之和。注意

q2234037172 2020-06-16 06:19:03