[转载]Inject your code to a Portable Executable file(页 1) - 各类程序语言{ Program Development } - 邪恶八进制信息安全团队技术讨论组努力为祖国的信息安全撑起一片蓝天

ring04h 2006-3-19 10:38

[转载]Inject your code to a Portable Executable file

翻译作者：天魔降临
原始链接:[url]http://www.ph4nt0m.org/bbs/showthread.php?s=&threadid=34318[/url]
PS:翻译作者话:
事先声明这片文章并非我的原创，你可以在这个地址<A href="http://www.codeproject.com/system/inject2exe.asp" target=_blank>[url]http://www.codeproject.com/system/inject2exe.asp[/url]</A>察看 到原文，由于本人能力有限，可能有一些翻译错误请见谅（PS：感谢ROOTKIT上的朋友告诉我这片文章）

Download 
 <A href="http://www.codeproject.com/system/inject2exe/peviewer.zip" target=_blank>PE Viewer</A> <A href="http://www.codeproject.com/system/inject2exe/pemaker1.zip" target=_blank>PE Maker </A>- Step 1 <A href="http://www.codeproject.com/system/inject2exe/pemaker2.zip" target=_blank>PE Maker </A>- Step 2 - Travel towards OEP <A href="http://www.codeproject.com/system/inject2exe/pemaker3.zip" target=_blank>PE Maker </A>- Step 3 - Support Import Table. <A href="http://www.codeproject.com/system/inject2exe/pemaker4.zip" target=_blank>PE Maker </A>- Step 4 - Support DLL and OCX <A href="http://www.codeproject.com/system/inject2exe/pemaker5.zip[/" target=_blank>PE Maker - Step 5 </A>- Final work. <A href="http://www.codeproject.com/system/inject2exe/test1.zip" target=_blank>CALC.EXE </A>- test file 0序文 也许你想要了解一个病毒，注入到程序内部并且感染他的方法，或者你对保护你特殊的PE文件的数据感 兴趣。你能使用这篇文章的源代码构建你自定义的EXE BUILDER。如果用在好的方面，他能教你怎样保 护或封装加密你的PE文件，但是同样如果你用在邪恶的方面，他能产生一个病毒。然而，我写这篇文章 的目的是前者，所以，我不会为不道德的使用负责。 1预备知识 按照主题这篇文章不需要特殊的预备知识，如果你已经了解了DEBUGGER和文件结构，那么我建议你跳 过2，3部分，这两部分是为毫无基础的人准备的。 2.PE文件的结构 规定PE文件的结构为WINDOWS OS提供了最好的方式去执行代码，并且储存一个程序运行所需要的基本 数据。例如常量，变量等等。如图： <IMG alt="" src="http://images.blogcn.com/2006/3/4/1/goblinbest,2006030415911.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <IMG alt="" src="http://images.blogcn.com/2006/3/4/2/goblinbest,20060304263.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <IMG alt="" src="http://images.blogcn.com/2006/3/4/2/goblinbest,2006030421416.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <IMG alt="" src="http://images.blogcn.com/2006/3/4/2/goblinbest,200603042163.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <IMG alt="" src="http://images.blogcn.com/2006/3/4/2/goblinbest,200603042190.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 2.1MS-DOS的数据 MS-DOS数据由你的可执行文件调用DOS内部的一个函数完成。并且 the MS-DOS Stub program让他显示： This program can not be run in MS-DOS mode" 或"This program can be run only in Windows mode的字样，或者 当你试图在 MS-DOS 6.0中运行一个windows文件时也回显示类似的字样。MS-DOS数据最有意思的部分是 "MZ"! 对于我，在 MS-DOS 数据中仅仅PE署名的偏移是重要的，借助于他我能找到WINDOWS NT数据的位置。 我建议你在看看上图。然后看看 <WINNT.H>文件中IMAGE_DOS_HEADER 的结构。 <IMG alt="" src="http://images.blogcn.com/2006/3/4/2/goblinbest,2006030424043.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> e_lfanew是一个与WINDOWS NT数据有关的偏移。在这我提供你一个显示EXE文件头信息的工具。 PE Viewer <A href="http://www.codeproject.com/system/inject2exe/peviewer.zip" target=_blank>Download source files - 132 Kb </A> 2.2 The Windows NT data 正如前一节提及的e_lfanew储存者有关WINDOWS NT数据位置的信息，假设 pMem 指针与指向一个PE文 件内存空间的起始点时，借助于下面的代码你既能找会DOS 头，也能找到WINDOWS NT 头 Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> IMAGE_DOS_HEADERimage_dos_header; IMAGE_NT_HEADERSimage_nt_headers; PCHAR pMem; … memcpy(&image_dos_header, pMem, sizeof(IMAGE_DOS_HEADER)); memcpy(&image_nt_headers, pMem+image_dos_header.e_lfanew, sizeof(IMAGE_NT_HEADERS)); </CODE></TD></TR></TBODY></TABLE>
 似乎找回头信息是很容易的事，我建议去看MSDN中关于<A href="http://msdn.microsoft.com/library/default.asp?url=/library/en-us/debug/base/image_nt_headers_str.asp" target=_blank>IMAGE_NT_HEADERS</A> 的说明。现在你应该很了 解WINDOW NT结构了，他包含PE署名，the File Header,和the Optional Header。 下面是大多数环境中IMAGE_NT_HEADERS的结构： <CODE: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> PRE lang=c++>FileHeader->NumberOfSections OptionalHeader->AddressOfEntryPoint OptionalHeader->ImageBase OptionalHeader->SectionAlignment OptionalHeader->FileAlignment OptionalHeader->SizeOfImage OptionalHeader-> DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]->VirtualAddress OptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]->Size</PRE> </CODE></TD></TR></TBODY></TABLE>
 你能清晰的观察到，这些值的目的，以及当为一个EXE文件分配虚拟内存时，他们的脚色。 我要对PE数据目录进行一个简单的说明。当你通过Windows NT 信息对Optional header 进行观察时，你会 发现在Optional Header的结尾处有十六个目录，再那你能找到连续的目录，包括一些与虚拟内存和其大小 有关的信息。 Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> #define IMAGE_DIRECTORY_ENTRY_EXPORT0// Export Directory #define IMAGE_DIRECTORY_ENTRY_IMPORT1// Import Directory #define IMAGE_DIRECTORY_ENTRY_RESOURCE2// Resource Directory #define IMAGE_DIRECTORY_ENTRY_EXCEPTION3// Exception Directory #define IMAGE_DIRECTORY_ENTRY_SECURITY4// Security Directory #define IMAGE_DIRECTORY_ENTRY_BASERELOC5// Base Relocation Table #define IMAGE_DIRECTORY_ENTRY_DEBUG6// Debug Directory #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE7// Architecture Specific Data #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR8// RVA of GP #define IMAGE_DIRECTORY_ENTRY_TLS9// TLS Directory #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG10// Load Configuration Directory #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT11// Bound Import Directory in headers #define IMAGE_DIRECTORY_ENTRY_IAT12// Import Address Table #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT13// Delay Load Import Descriptors #define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14// COM Runtime descriptor </CODE></TD></TR></TBODY></TABLE>
 对于我们，如果你想观察相对虚拟内存地址和数据尺寸，下面的代码是足够的： Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> DWORD dwRVA = image_nt_headers.OptionalHeader-> DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]->VirtualAddress; DWORD dwSize = image_nt_headers.OptionalHeader-> DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]->Size; </CODE></TD></TR></TBODY></TABLE>
 2.3 The Section Headers and Sections（节头和节） 现在我们观察PE文件怎样声明节的位置和尺寸。为了更好的理解节头(Section header)和节区的特征，我建 议你去看看IMAGE_SECTION_HEADER在MSDN定义的结构，对于一个EXE packer的开发者VirtualSize, VirtualAddress, SizeOfRawData, PointerToRawData和Characteristics单元有着严格的规则。当开发一个exe packer，你应该非常了解他们。当你修改他们时，有许多你要注意，你要按OptionalHeader- >SectionAlignment的顺序小心排列VirtualSize和VirtualAddress同样SizeOfRawData和PointerToRawData要按 OptionalHeader->FileAlignment的顺序排列。否则你将损坏目标EXE文件，并且不能运行他们。至于 Characteristics，更要格外小心，你要按IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE | IMAGE_SCN_CNT_INITIALIZED_DATA的顺序建立一个节区。我更喜欢我的新节区在进程运行时有初始化 这些数据的能力。当然引入表也要如此。此外，我还需要他能利用loader修改他自己。 同样你要考虑好新的节区名，这样你能仅通过名字就知道他们的作用。如表二 表二 <IMG alt="" src="http://images.blogcn.com/2006/3/5/11/goblinbest,2006030520152.jpg" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 为了更好的理解节头和节区，请运行PE viewer。借助于他，你能了解一个文件映像中节头的应用。要想 观察到虚拟内存，你应该用调试器载入一个PE文件。请记住无论什么时候在PE文件中删除或添加节区， 注意调整PE文件的NumberOfSections( IMAGE_NT_HEADERS-> FileHeader-><CODE>NumberOfSections)他说明 了节区的数目。 3 DEBUGER、DISASSEMBLER和一些有用的工具 3.1 DEBUGER 要想变成一个PE工具的开发者，对BUG跟踪程序的使用经验是一个必备条件。此外，你还不得知道一些 必备的汇编指令，对于我们INTEL公司的文档是最好的参考书，你可以到INTEL的网站获得他们。 <A href="http://www.intel.com/design/pentium4/manuals/index_new.htm#1" target=_blank>IA-32 Intel Architecture Software Developer’s Manuals. </A> <A href="http://www.intel.com/design/pentium4/manuals/index_new.htm#1" target=_blank>Intel Itanium Architecture Assembly Language Reference Guide. </A> <A href="http://www.intel.com/cd/ids/developer/asmo-na/eng/19415.htm" target=_blank>The Intel Itanium Processor Developer Resource Guide. </A> 对于PE文件的追踪，我认为SOFTICE是最好的调试工具。借助与内核模式我们可以进行进程追踪而无须 应用API函数另外，我还要介绍在一个调试器，他在USER模式下使用有很好的效果，他利用API函数跟踪 PE文件，并把自身进程依附在一个活跃的进程中。在WINDOWS内核的库中，微软提供了这些API函数， 为了跟踪特定的进程，你要使用调试工具。一些重要的API函数包括 CreateThread(), CreateProcess(), OpenProcess(), DebugActiveProcess(), GetThreadContext(), SetThreadContext(), ContinueDebugEvent(), DebugBreak(), ReadProcessMemory(), WriteProcessMemory(), SuspendThread(), and ResumeThread(). 3.1.2调试器的那些部分是重要的 （偶省掉了一些没用的部分） 前面我介绍了两个调试器，但是我并没有说明怎样使用他们。我建议你去看他们的HELP文档，但我还是 想简要的说明一些重要的部分。 1。Registers viewer. Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> EAX ECX EDX EBX ESP EBP ESI EDI EIP o d t s z a p c </CODE></TD></TR></TBODY></TABLE>
 2。Disassembler or Code viewer Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> 010119E0 PUSH EBP 010119E1 MOV EBP,ESP 010119E3 PUSH -1 010119E5 PUSH 01001570 010119EA PUSH 01011D60 010119EF MOV EAX,DWORD PTR FS:[0] 010119F5 PUSH EAX 010119F6 MOV DWORD PTR FS:[0],ESP 010119FD ADD ESP,-68 01011A00 PUSH EBX 01011A01 PUSH ESI 01011A02 PUSH EDI 01011A03 MOV DWORD PTR SS:[EBP-18],ESP 01011A06 MOV DWORD PTR SS:[EBP-4],0 </CODE></TD></TR></TBODY></TABLE>
 3.Memory watcher. Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> 0023:01013000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0023:01013010 01 00 00 00 20 00 00 00-0A 00 00 00 0A 00 00 00 ................ 0023:01013020 20 00 00 00 00 00 00 00-53 63 69 43 61 6C 63 00 ........SciCalc. 0023:01013030 00 00 00 00 00 00 00 00-62 61 63 6B 67 72 6F 75 ........backgrou 0023:01013040 6E 64 00 00 00 00 00 00-2E 00 00 00 00 00 00 00 nd.............. </CODE></TD></TR></TBODY></TABLE>
 4 4.Stack viewer. Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> 0010:0007FFC4 4F 6D 81 7C 38 07 91 7C-FF FF FF FF 00 90 FD 7F Om |8 ‘| . 0010:0007FFD4 ED A6 54 80 C8 FF 07 00-E8 B4 F5 81 FF FF FF FF T . 0010:0007FFE4 F3 99 83 7C 58 6D 81 7C-00 00 00 00 00 00 00 00 Xm |........ 0010:0007FFF4 00 00 00 00 E0 19 01 01-00 00 00 00 00 00 00 00 .... .... </CODE></TD></TR></TBODY></TABLE>
 5.Command line, command buttons, or shortcut keys to follow the debugging process. Code: 

<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> Command SoftICE OllyDbg Run F5 F9 Step Into F11 F7 Step Over F10 F8 Set Break Point F8 F2 </CODE></TD></TR></TBODY></TABLE>
 3.2一些有用的工具 一个好的PE开发者要熟悉一些工具来节省他们的时间，所以我替大家选择了一些有用的工具，来分 析可执行文件。 3.2.1 LordPE LordPE仍然是获得PE文件信息并修改他们的首选工具。 <IMG alt="" src="http://images.blogcn.com/2006/3/4/2/goblinbest,2006030434628.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 3.3.2 PEiD PEiD对于分析编译器，壳种类，入口点来说是一款很好的工具。到现在为止，他能侦测500种以上的PE文 件类型。 <IMG alt="" src="http://images.blogcn.com/2006/3/4/2/goblinbest,2006030434855.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0>
3.3.3 Resource Hacker 他能用来修改一些资源数据信息，如图标，菜单，版本等等。 <IMG alt="" src="http://www.codeproject.com/system/inject2exe/resourcehacker.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 3.3.4 WinHex <IMG alt="" src="http://www.codeproject.com/system/inject2exe/resourcehacker.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 3.3.5 CFF Explorer 他支持PE32/64，PE重建包括CIL文件，换句话说就是.NET文件。他使用更方便，功能更强大。 <IMG alt="" src="http://www.codeproject.com/system/inject2exe/cffexplorer.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 4添加新的节区并改变EPO 我们已经完成了工作的第一步。所以我添加了一个新的节区，并重建了PE文件。在开始前我想让你借助 OD熟悉PE头。用OD载入文件，选择View->Executable file，Special->PE header，你将看到类似图3的画面。 现在在主菜单选择View->Memory，试着在内存映射窗口区别各个节区。 <IMG alt="" src="http://images.blogcn.com/2006/3/4/3/goblinbest,20060304459.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <IMG alt="" src="http://images.blogcn.com/2006/3/4/3/goblinbest,2006030441119.png" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 我想向你解释，我们怎样改变举例文件中的入口点偏移量（CALC.EXE）。首先，使用PE工具，找到入口 点 0x00012475，并且映像基地址为 0x01000000，这个OEP是虚拟地址的相对地址，所以映像基地址来转 变把他为虚拟地址。 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> Virtual_Address = Image_Base + Relative_Virtual_Address DWORD OEP_RVA = image_nt_headers->OptionalHeader.AddressOfEntryPoint ; // OEP_RVA = 0x00012475 DWORD OEP_VA = image_nt_headers->OptionalHeader.ImageBase + OEP_RVA ; // OEP_VA = 0x01000000 + 0x00012475 = 0x01012475 </CODE></TD></TR></TBODY></TABLE> PE Maker - 1 <A href="http://www.codeproject.com/system/inject2exe/test1.zip" target=_blank>Download test PE file - 49.5 Kb </A> in loader.cpp文件中的DynLoader()函数用来保存新的节的数据 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> __stdcall void DynLoader() { _asm { //---------------------------------- DWORD_TYPE(DYN_LOADER_START_MAGIC) //---------------------------------- MOV EAX,01012475h // << Original OEP JMP EAX //---------------------------------- DWORD_TYPE(DYN_LOADER_END_MAGIC) //---------------------------------- } } </CODE></TD></TR></TBODY></TABLE> 不幸的是这个源代码只能在sample test file. 中应用，我们应该借助于在新的节区保存前面的OEP的值，来 完善他，并使用他到达真正的OEP。我会在在 Step 2 完善他 4.1找回并重建PE文件 为了使用新的PE文件，我写了一个简单的类库文件，来修复PE信息。 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> CPELibrary Class Step 1 ---------------------------------------------------------------- class CPELibrary { private: //----------------------------------------- PCHARpMem; DWORDdwFileSize; //----------------------------------------- protected: //----------------------------------------- PIMAGE_DOS_HEADERimage_dos_header; PCHARpDosStub; DWORDdwDosStubSize, dwDosStubOffset; PIMAGE_NT_HEADERSimage_nt_headers; PIMAGE_SECTION_HEADERimage_section_header[MAX_SECTION_NUM]; PCHARimage_section[MAX_SECTION_NUM]; //----------------------------------------- protected: //----------------------------------------- DWORD PEAlign(DWORD dwTarNum,DWORD dwAlignTo); void AlignmentSections(); //----------------------------------------- DWORD Offset2RVA(DWORD dwRO); DWORD RVA2Offset(DWORD dwRVA); //----------------------------------------- PIMAGE_SECTION_HEADER ImageRVA2Section(DWORD dwRVA); PIMAGE_SECTION_HEADER ImageOffset2Section(DWORD dwRO); //----------------------------------------- DWORD ImageOffset2SectionNum(DWORD dwRVA); PIMAGE_SECTION_HEADER AddNewSection(char* szName,DWORD dwSize); //----------------------------------------- public: //----------------------------------------- CPELibrary(); ~CPELibrary(); //----------------------------------------- void OpenFile(char* FileName); void SaveFile(char* FileName); //----------------------------------------- }; </CODE></TD></TR></TBODY></TABLE> 借助于表1，image_dos_header, pDosStub, image_nt_headers, image_section_header [MAX_SECTION_NUM], 和 image_section[MAX_SECTION_NUM] 的用法是很清晰的。我们使用OpenFile()和SaveFile()来重新得到并重建 PE文件此外，一个重要的阶段是使用AddNewSection()来创造新的节区。 4.2为新的节区添加数据 在pecrypt.cpp中，我构建了另一个类，CPECryptor来包含新节区的数据。新节区的数据由loader.cpp文件中 的DynLoader()函数构建。DynLoader Step 1.我们也使用CPECryptor类来填充其他资料。 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> CPECryptor Class Step 1 ---------------------------------------------------------------- class CPECryptor: public CPELibrary { private: //---------------------------------------- PCHAR pNewSection; //---------------------------------------- DWORD GetFunctionVA(void* FuncName); void* ReturnToBytePtr(void* FuncName, DWORD findstr); //---------------------------------------- protected: //---------------------------------------- public: //---------------------------------------- void CryptFile(int(__cdecl *callback) (unsigned int, unsigned int)); //---------------------------------------- }; //---------------------------------------------------------------- </CODE></TD></TR></TBODY></TABLE> 
 </CODE>

ring04h 2006-3-19 10:38

4.3一些关于构建新的PE文件的说明 用一下片断来排列虚拟地址和每个节区的虚拟大小 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> image_section_header[i]->VirtualAddress= PEAlign(image_section_header[i]->VirtualAddress, image_nt_headers->OptionalHeader.SectionAlignment); image_section_header[i]->Misc.VirtualSize= PEAlign(image_section_header[i]->Misc.VirtualSize, image_nt_headers->OptionalHeader.SectionAlignment); </CODE></TD></TR></TBODY></TABLE> Align the PointerToRawData and the SizeOfRawData of each section by FileAlignment Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> image_section_header[i]->PointerToRawData = PEAlign(image_section_header[i]->PointerToRawData, image_nt_headers->OptionalHeader.FileAlignment); image_section_header[i]->SizeOfRawData = PEAlign(image_section_header[i]->SizeOfRawData, image_nt_headers->OptionalHeader.FileAlignment); </CODE></TD></TR></TBODY></TABLE> Correct the SizeofImage by the virtual size and the virtual address of the last section Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> image_nt_headers->OptionalHeader.SizeOfImage = image_section_header[LastSection]->VirtualAddress + image_section_header[LastSection]->Misc.VirtualSize; </CODE></TD></TR></TBODY></TABLE> Set the Bound Import Directory header to zero, as this directory is not very important to execute a PE file: Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> image_nt_headers-> OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]. VirtualAddress = 0; image_nt_headers-> OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size = 0; </CODE></TD></TR></TBODY></TABLE> 4.4一些关于连接这个VC程序的解释 Set Linker->General->Enable Incremental Linking to No (/INCREMENTAL:NO). <IMG alt="" src="http://www.codeproject.com/system/inject2exe/linktip1.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 你能了解增加连接和不增加连接之间的不同 <IMG alt="" src="http://www.codeproject.com/system/inject2exe/incremental_link.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 为了获得DynLoader(), 的虚拟地址，再增加LINK中我们获得JMP pemaker.DynLoader 的虚拟地址。但是不使 用LINK时用以下代码获得地址 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> DWORD dwVA= (DWORD) DynLoader; </CODE></TD></TR></TBODY></TABLE> This setting is more critical in the incremental link when you try to find the beginning and ending of the Loader, DynLoader(), by CPECryptor::ReturnToBytePtr():（抱歉，这句话偶不知道如何才能翻译通顺 <IMG alt="" src="http://www.ph4nt0m.org/bbs/images/smilies/confused.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> ） Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> void* CPECryptor::ReturnToBytePtr(void* FuncName, DWORD findstr) { void* tmpd; __asm { mov eax, FuncName jmp df hjg:inc eax df:mov ebx, [eax] cmp ebx, findstr jnz hjg mov tmpd, eax } return tmpd; } </CODE></TD></TR></TBODY></TABLE> 5.保存重要的数据和延伸原入口点 现在，我们已经保存了原入口点，并映射了基地址以便于到达虚拟地址入口点。在DynLoader()结尾处我已 经保存一个空白区来储存这些重要的数据。DynLoader Step 2. PE Maker - Step 2 <A href="http://www.codeproject.com/system/inject2exe/pemaker2.zip" target=_blank>Download source files - 58.3 Kb </A> Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> DynLoaderStep2>DynLoader Step 2 __stdcall void DynLoader() { _asm { //---------------------------------- DWORD_TYPE(DYN_LOADER_START_MAGIC) //---------------------------------- Main_0: PUSHAD // get base ebp CALL Main_1 Main_1: POP EBP SUB EBP,OFFSET Main_1 MOV EAX,DWORD PTR [EBP+_RO_dwImageBase] ADD EAX,DWORD PTR [EBP+_RO_dwOrgEntryPoint] PUSH EAX RETN // >> JMP to Original OEP //---------------------------------- DWORD_TYPE(DYN_LOADER_START_DATA1) //---------------------------------- _RO_dwImageBase:DWORD_TYPE(0xCCCCCCCC) _RO_dwOrgEntryPoint:DWORD_TYPE(0xCCCCCCCC)</FONT> //---------------------------------- DWORD_TYPE(DYN_LOADER_END_MAGIC) //---------------------------------- } } </CODE></TD></TR></TBODY></TABLE> 5.1恢复开始时寄存器间的关系 恢复他们间的关系是重要的，但在DynLoader Step 2的源代码中我们还没有做这件事。我们可以修改 DynLoader() 函数来重建开始的关系 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> __stdcall void DynLoader() { _asm { //---------------------------------- DWORD_TYPE(DYN_LOADER_START_MAGIC) //---------------------------------- Main_0: <FONT color=red>PUSHAD// Save the registers context in stack CALL Main_1 Main_1: POP EBP// Get Base EBP SUB EBP,OFFSET Main_1 MOV EAX,DWORD PTR [EBP+_RO_dwImageBase] ADD EAX,DWORD PTR [EBP+_RO_dwOrgEntryPoint] MOV DWORD PTR [ESP+1Ch],EAX // pStack.Eax <- EAX <FONT color=red>POPAD // Restore the first registers context from stack PUSH EAX XOREAX, EAX RETN // >> JMP to Original OEP //---------------------------------- DWORD_TYPE(DYN_LOADER_START_DATA1) //---------------------------------- _RO_dwImageBase:DWORD_TYPE(0xCCCCCCCC) _RO_dwOrgEntryPoint:DWORD_TYPE(0xCCCCCCCC) //---------------------------------- DWORD_TYPE(DYN_LOADER_END_MAGIC) //---------------------------------- } } </CODE></TD></TR></TBODY></TABLE> 5.2恢复最初的堆栈 我们能利用设置在堆栈开始处的值加0x34到原入口点，来恢复原始的堆栈，但这不是很重要。然而在下 面的代码中我用了一个简单的技巧来到达OEP以便于修改堆栈，你能利用OD来跟踪执行过程。 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> __stdcall void DynLoader() { _asm { //---------------------------------- DWORD_TYPE(DYN_LOADER_START_MAGIC) //---------------------------------- Main_0: PUSHAD // Save the registers context in stack CALL Main_1 Main_1: POP EBP SUB EBP,OFFSET Main_1 MOV EAX,DWORD PTR [EBP+_RO_dwImageBase] ADD EAX,DWORD PTR [EBP+_RO_dwOrgEntryPoint] MOV DWORD PTR [ESP+54h],EAX // pStack.Eip <- EAX POPAD // Restore the first registers context from stack CALL _OEP_Jump DWORD_TYPE(0xCCCCCCCC) _OEP_Jump: PUSH EBP MOV EBP,ESP MOV EAX,DWORD PTR [ESP+3Ch] // EAX <- pStack.Eip MOV DWORD PTR [ESP+4h],EAX// _OEP_Jump RETURN pointer <- EAX XOR EAX,EAX LEAVE RETN //---------------------------------- DWORD_TYPE(DYN_LOADER_START_DATA1) //---------------------------------- _RO_dwImageBase:DWORD_TYPE(0xCCCCCCCC) _RO_dwOrgEntryPoint:DWORD_TYPE(0xCCCCCCCC) //---------------------------------- DWORD_TYPE(DYN_LOADER_END_MAGIC) //---------------------------------- } } </CODE></TD></TR></TBODY></TABLE> 5.3Approach OEP by Structured Exception Handling（借助于构造异常处理来接近OEP） 当程序执行了错误的代码就会抛出一个异常，在这种条件下，程序迅速跳转到一个叫做异常处理的功能 中。 下面的文件包含了异常处理的调用，异常的抛出，以及其功能。 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> #include "stdafx.h" #include "windows.h" void RAISE_AN_EXCEPTION() { _asm { INT 3 INT 3 INT 3 INT 3 } } int _tmain(int argc, _TCHAR* argv[]) { __try { __try{ printf("1: Raise an Exception\n"); RAISE_AN_EXCEPTION(); } __finally { printf("2: In Finally\n"); } } __except( printf("3: In Filter\n"), EXCEPTION_EXECUTE_HANDLER ) { printf("4: In Exception Handler\n"); } return 0; } </CODE></TD></TR></TBODY></TABLE> ;Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> main() 00401000: PUSH EBP 00401001: MOV EBP,ESP 00401003: PUSH -1 00401005: PUSH 00407160 ; __try { ; the structured exception handler (SEH) installation 0040100A: PUSH _except_handler3 0040100F: MOV EAX,DWORD PTR FS:[0] 00401015: PUSH EAX 00401016: MOV DWORD PTR FS:[0],ESP 0040101D: SUB ESP,8 00401020: PUSH EBX 00401021: PUSH ESI 00401022: PUSH EDI 00401023: MOV DWORD PTR SS:[EBP-18],ESP ;__try { 00401026: XOR ESI,ESI 00401028: MOV DWORD PTR SS:[EBP-4],ESI 0040102B: MOV DWORD PTR SS:[EBP-4],1 00401032: PUSH OFFSET "1: Raise an Exception" 00401037: CALL printf 0040103C: ADD ESP,4 ; the raise a exception, INT 3 exception ; RAISE_AN_EXCEPTION() 0040103F: INT3 00401040: INT3 00401041: INT3 00401042: INT3 ;} __finally { 00401043: MOV DWORD PTR SS:[EBP-4],ESI 00401046: CALL 0040104D 0040104B: JMP 00401080 0040104D: PUSH OFFSET "2: In Finally" 00401052: CALL printf 00401057: ADD ESP,4 0040105A: RETN <FONT color=black>;} <FONT color=black>; } <FONT color=black>; __except( 0040105B: JMP 00401080 0040105D: PUSH OFFSET "3: In Filter" 00401062: CALL printf 00401067: ADD ESP,4 0040106A: MOV EAX,1 ; EXCEPTION_EXECUTE_HANDLER = 1 0040106F: RETN ;, EXCEPTION_EXECUTE_HANDLER ) ; } ; the exception handler funtion 00401070: MOV ESP,DWORD PTR SS:[EBP-18] 00401073: PUSH OFFSET "4: In Exception Handler" 00401078: CALL printf 0040107D: ADD ESP,4 ; } 00401080: MOV DWORD PTR SS:[EBP-4],-1 0040108C: XOR EAX,EAX ; restore previous SEH 0040108E: MOV ECX,DWORD PTR SS:[EBP-10] 00401091: MOV DWORD PTR FS:[0],ECX 00401098: POP EDI 00401099: POP ESI 0040109A: POP EBX 0040109B: MOV ESP,EBP 0040109D: POP EBP 0040109E: RETN </CODE></TD></TR></TBODY></TABLE>建立一个控制台工程，连接并执行先前的文件，观察结果。 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> 1: Raise an Exception 3: In Filter 2: In Finally 4: In Exception Handler _ </CODE></TD></TR></TBODY></TABLE> 程序执行了一个异常的表达式printf("3: In Filter\n");，当异常发生，（在这个例子INT 3 异常，你也能用另外 的异常），在OD中Debugging options->Exceptions你能看到不同类型异常的清单 <IMG alt="" src="http://www.codeproject.com/system/inject2exe/ollydbg_exceptions.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 5.3.1 Implement Exception Handler 我们希望建立一个异常处理来到达程序的OEP，借助前满的代码，你现在已经能区别SEH安装，异常抛 出，异常表达式过滤，为了建立我们的异常接近（OEP），我们需要下面的代码 SEH installation Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> LEA EAX,[EBP+_except_handler1_OEP_Jump] PUSH EAX PUSH DWORD PTR FS:[0] MOV DWORD PTR FS:[0],ESP </CODE></TD></TR></TBODY></TABLE> 异常抛出 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> INT 3 </CODE></TD></TR></TBODY></TABLE> 异常表达式过滤 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> except_handler1_OEP_Jump: PUSH EBP MOV EBP,ESP ... MOV EAX, EXCEPTION_CONTINUE_SEARCH // EXCEPTION_CONTINUE_SEARCH = 0 LEAVE RETN</ </CODE></TD></TR></TBODY></TABLE> 所以我们利用ASM嵌套来到达OEP Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> __try // SEH installation { __asm { INT 3 // An Exception Raise } } __except( ..., EXCEPTION_CONTINUE_SEARCH ){} // Exception handler expression filter </CODE></TD></TR></TBODY></TABLE> ASM代码 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> ；---------------------------------------------------- ; the structured exception handler (SEH) installation ; __try { LEA EAX,[EBP+_except_handler1_OEP_Jump] PUSH EAX PUSH DWORD PTR FS:[0] MOV DWORD PTR FS:[0],ESP <FONT color=green>; ---------------------------------------------------- ; the raise a INT 3 exception INT 3 INT 3 INT 3 INT 3 ; } ; __except( ... ; ---------------------------------------------------- ; exception handler expression filter _except_handler1_OEP_Jump: PUSH EBP MOV EBP,ESP ... MOV EAX, EXCEPTION_CONTINUE_SEARCH ; EXCEPTION_CONTINUE_SEARCH = 0 LEAVE RETN ；, EXCEPTION_CONTINUE_SEARCH ) { } </CODE></TD></TR></TBODY></TABLE> 异常值__except(..., Value), 定义了这个异常如何被处理，他能由三个值分别是1，0，-1。为了理解他们 请在MSDN Library中寻找有关<A href="http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vccelng/htm/key_s-z_4.asp" target=_blank>try-except</A> 声明的描述。当我们把他设置为0时，就不会执行异常处理的功能， 因此，借助于这个值，异常处理就会被忽略，并且线程继续执行其他的代码。 如何安装SEH 就像你从前面的代码中看到的，SEH是借助于FS段寄存器还完成安装的。WIN32使用FS段寄存器作为主线 程中数据块的指针。开始的0X1C字节包含Thread Information Block (TIB)的信息，此外，FS:[00h] 在与主线程 的ExceptionList 有关（表三），在我们的代码中，我们已经将_except_handler1_OEP_Jump指针压入堆栈， 并改变ExceptionList, FS:[00h]的值为堆栈起始的值，ESP 线程信息块（TIB） Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> typedef struct _NT_TIB32 { DWORD ExceptionList; DWORD StackBase; DWORD StackLimit; DWORD SubSystemTib; union { DWORD FiberData; DWORD Version; }; DWORD ArbitraryUserPointer; DWORD Self; } NT_TIB32, *PNT_TIB32; </CODE></TD></TR></TBODY></TABLE> 表三 FS段寄存器和线程信息块 <IMG alt="" src="http://images.blogcn.com/2006/3/5/2/goblinbest,2006030524331.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> 5.3.2借助于调整线程间的关系获得OEP 在这部分，我们将完成OEP的接近，并改变线程间的关系，忽略每个简单的异常处理。让线程在先前的 OEP中继续执行代码。当产生异常时，进程间的关系就被保存在堆栈中，借助EXCEPTION_POINTERS,我 们能访问ContextRecord的指针。ContextRecord拥有CONTEXT的数据结构（表四），这便是在执行时间中 的线程间的关系。当我们使用 EXCEPTION_CONTINUE_SEARCH (0)来忽略异常时，指令指针间的关系也 被设置到ContextRecord，以便程序可以返回先前的环境中去。因此，如果我们改变 Win32 Thread Context 中的EIP，使其为开始的OEP，这便可以进入OEP。 表四 <IMG alt="" src="http://images.blogcn.com/2006/3/5/2/goblinbest,200603053715.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <IMG alt="" src="http://images.blogcn.com/2006/3/5/2/goblinbest,200603053838.gif" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> MOV EAX, ContextRecord MOV EDI, dwOEP; EAX <- dwOEP MOV DWORD PTR DS:[EAX+0B8h], EDI ; pContext.Eip <- EAX </CODE></TD></TR></TBODY></TABLE> WIN32线程间关系的数据结构 Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> #define MAXIMUM_SUPPORTED_EXTENSION512 typedef struct _CONTEXT { //----------------------------------------- DWORD ContextFlags; //----------------------------------------- DWORDDr0; DWORDDr1; DWORDDr2; DWORDDr3; DWORDDr6; DWORDDr7; //----------------------------------------- FLOATING_SAVE_AREA FloatSave; //----------------------------------------- DWORDSegGs; DWORDSegFs; DWORDSegEs; DWORDSegDs; //----------------------------------------- DWORDEdi; DWORDEsi; DWORDEbx; DWORDEdx; DWORDEcx; DWORDEax; //----------------------------------------- DWORDEbp; DWORDEip; DWORDSegCs; DWORDEFlags; DWORDEsp; DWORDSegSs; //----------------------------------------- BYTEExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION]; //---------------------------------------- } CONTEXT, *LPCONTEXT; </CODE></TD></TR></TBODY></TABLE> 用下面的代码，我们就能使用异常处理程序来到达OEP Code:
<TABLE cellSpacing=1 cellPadding=8 width="95%" align=center bgColor=#000000 border=0>
<TBODY>
<TR>
<TD bgColor=#ffffff><CODE> __stdcall void DynLoader() { _asm { //---------------------------------- DWORD_TYPE(DYN_LOADER_START_MAGIC) //---------------------------------- Main_0: PUSHAD// Save the registers context in stack CALL Main_1 Main_1: POP EBP SUB EBP,OFFSET Main_1 // Get Base EBP MOV EAX,DWORD PTR [EBP+_RO_dwImageBase] ADD EAX,DWORD PTR [EBP+_RO_dwOrgEntryPoint] MOV DWORD PTR [ESP+10h],EAX// pStack.Ebx <- EAX LEA EAX,[EBP+_except_handler1_OEP_Jump] MOV DWORD PTR [ESP+1Ch],EAX// pStack.Eax <- EAX POPAD// Restore the first registers context from stack //---------------------------------------------------- // the structured exception handler (SEH) installation PUSH EAX XOREAX, EAX PUSH DWORD PTR FS:[0]// NT_TIB32.ExceptionList MOV DWORD PTR FS:[0],ESP// NT_TIB32.ExceptionList <-ESP //---------------------------------------------------- // the raise a INT 3 exception DWORD_TYPE(0xCCCCCCCC) //-------------------------------------------------------- // -------- exception handler expression filter ---------- _except_handler1_OEP_Jump: PUSH EBP MOV EBP,ESP //------------------------------ MOV EAX,DWORD PTR SS:[EBP+010h]// PCONTEXT: pContext <- EAX //============================== PUSH EDI // restore original SEH MOV EDI,DWORD PTR DS:[EAX+0C4h]// pContext.Esp PUSH DWORD PTR DS:[EDI] POP DWORD PTR FS:[0] ADD DWORD PTR DS:[EAX+0C4h],8// pContext.Esp //------------------------------ // set the Eip to the OEP MOV EDI,DWORD PTR DS:[EAX+</

邪恶八进制信息安全团队技术讨论组's Archiver

[转载]Inject your code to a Portable Executable file