《Windows PE》14.1最后一节插入补丁程序

于 2024-10-27 11:29:38 发布
阅读量861 收藏 21
点赞数 16
分类专栏: Windows PE 文章标签: windows PE 汇编 c语言
本文链接:https://blog.youkuaiyun.com/bcdaren/article/details/143265868
版权

本节将介绍在PE最后一节添加补丁代码的工具开发。

本节必须掌握的知识点:

        编程思路

        手工打造目标PE文件

        源代码

        工具测试

14.1.1 编程思路

■在PE最后一节中插入程序的基本思路如下:

●步骤1在PE文件的最后一节将补丁代码添加进去。

●步骤2修改最后一个节表的内容,主要是SizeOfRawData、PointerToRawData和 Characteristics三个字段的值。

●步骤3修正PE文件头部的相关字段,这些字段包括:映像尺寸SizeOflmage、函数的入口地址 AddressEntryPoint。

●步骤4修正嵌入补丁框架中E9指令的操作数,即代码中的跳转指令地址。

●根据以上分析的编程思路,可以知道编写补丁工具的大致流程如下:

1.获得补丁代码段大小,因为假设补丁程序使用了嵌入框架,所以数据、代码均在代码 段中,补丁程序没有数据段定义。

2.将目标文件按照文件对齐粒度对齐。这主要是为了防止有一些文件结尾时,不考虑对 齐粒度,从而导致在最后一节添加内容时造成不对齐。

3.求最后一节在文件中的偏移。

4.求最后一节的大小并按照文件对齐粒度对齐。

5.计算出添加了补丁程序的新文件的大小(原文件对齐后的值+补丁大小)。

6.按照计算出的新文件大小申请内存空间,并将原文件复制到申请的内存空间起始位置。

7.复制补丁代码到dwNewFileAlignSize 处。

8.计算最后一节的SizeOfRawData和Misc的值,并更正;然后,设置该节的属性为可 执行、可读、可写,即0c0000060H。

9.修正文件头部关键字段SizeOflmage。

10.修正函数入口地址和嵌入补丁框架最后的E9转移指令的操作数。

11.将内存中的内容复制到磁盘文件中。

14.1.2 手工打造目标PE文件

实验九十九:手工打造目标PE文件

使用Winhex工具,在目标PE文件的最后一节中手动添加补丁代码,并修改PE头相关字段。

要求:先执行补丁代码,然后再继续执行目标程序原有功能。

补丁程序:patch1.exe:加载pach2.dll。

目标程序:notepad.exe(32位记事本)。

实现目标:将补丁程序添加到目标程序的最后一节。

手工添加的步骤:生成NEWnotepad32文件。

●步骤1:在目标PE文件的最后一节添加补丁代码。

00010400   8B FF E8 13 00 00 00 4C  6F 61 64 4C 69 62 72 61   ??...LoadLibra

00010410   72 79 41 00 70 61 63 68  32 00 5A 52 52 64 A1 30   ryA.pach2.ZRRd?

00010420   00 00 00 8B 40 0C 8B 70  1C AD 8B 58 08 8B 73 3C   ...婡.媝.瓔X.媠<

00010430   03 F3 8B 76 78 03 F3 8B  7E 20 03 FB 8B 4E 14 56   .髬vx.髬~ .麐N.V

00010440   33 C0 57 51 8B 3F 03 FB  8B F2 33 C9 B1 0C F3 A6   3繵Q?.麐?杀.螃

00010450   74 08 59 5F 83 C7 04 40  E2 E8 59 5F 5E 8B 7E 24   t.Y_兦.@忤Y_^媬$

00010460   03 FB D1 E0 03 F8 66 8B  07 8B 7E 1C 03 FB C1 E0   .?鴉?媬..?

00010470   02 03 F8 8B 07 03 C3 5A  83 C2 0D 52 FF D0 E9 1A   ..鴭..肸兟.R虚.

00010480   43 FF FF 00 00 00 00 00  00 00 00 00 00 00 00 00   C.............

00010490   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000104A0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000104B0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000104C0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000104D0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000104E0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000104F0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010500   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010510   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010520   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010530   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010540   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010550   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010560   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010570   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010580   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00010590   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000105A0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000105B0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000105C0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000105D0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000105E0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

000105F0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

●步骤:2修改最后一个节表的内容,主要是SizeOfRawData、PointerToRawData和 Characteristics三个字段的值。

目标程序:notepad.exe 的最后一节.rsrc

00000220                                             2E 72 73 72 63 00 00 00           .rsrc...

00000230   20 7F 00 00 00 B0 00 00  00 80 00 00 00 84 00 00    ....?..€...?.

00000240   00 00 00 00 00 00 00 00  00 00 00 00 40 00 00 40   ............@..@

补丁后NEWnotepad32.exe文件:

00000220                                            2E 72 73 72 63 00 00 00           .rsrc...

00000230   00 82 00 00 00 B0 00 00  00 82 00 00 00 84 00 00   .....?..?..?.

00000240   00 00 00 00 00 00 00 00  00 00 00 00 60 00 00 E0   ............`..?

1.SizeOfRawData字段:B0 7F 00 00

计算方法:原notepade.exe 最后一节.rsrc节的大小为00007F20h,添加patch1.exe补丁代码200h为00008200h。

patch1.exe补丁代码节:

000001A0   2E 74 65 78 74 00 00 00  83 00 00 00 00 10 00 00   .text...?......

000001B0   00 02 00 00 00 02 00 00  00 00 00 00 00 00 00 00   ................

000001C0   00 00 00 00 20 00 00 60                            .... ..`

2.PointerToRawData字段:00 82 00 00。

计算方法:

patch.exe补丁代码大小为00000200h,加原文件内对齐大小00008000h = 00008200h。

3.Characteristics字段:节属性修改为可读可写可执行,60 00 00 E0 或者 60 00 00 C0。

●步骤3:修正PE文件头部的相关字段,这些字段包括:映像尺寸SizeOflmage、函数的入口地址 AddressEntryPoint。

1.修改IMAGE_OPTIONAL_HEADER32.SizeofImages (50h)内存中整个PE映像尺寸 增加1000h,00 30 01 00 改为 00 40 01 00。

2.修改程序的入口地址:

原入口地址:9D 73 00 00。

修改后地址:00 30 01 00。

最低0.47元/天 解锁文章
博客
《Windows PE》18.3 壳破解
10-31 1020
看完了上一节,读者应该会有些感慨,破解是如此的简单。如果你是收费商业软件的一方,肯定会觉得应该需要做点什么。在本章的第一节,我们介绍了很多种不同的验证方式,可以根据具体情况,选择一种合适的验证方法。但是,不论采用什么样的验证方式,验证本身也是需要防护的。我们可以使用加密壳对验证代码进行加密保护。因此,加密壳又被称之为保护的保护。本节我们将介绍register.exe使用UPX壳加密,然后再破解的方法。脱壳后破解带壳破解。
博客
《Windows PE》17.3 FSG壳
10-30 772
回顾第十六章PE病毒的16.2.2病毒分析案例一中,我们分析的病毒样本Lab01-03.exe使用了FSG壳。本节我们就来详细分析FSG壳。静态分析手工脱壳。
博客
《Windows PE》16.4.2 病毒查杀
10-29 924
当单步执行到从入口地址开始的0x61地址处(第一条PUSH指令的下一条指令地址01013061H)时,从context上下文中取出栈顶stCT.Esp的值(000DFF80H),然后调用ReadProcessMemory函数读取该地址处存储的原程序入口地址。接下来我们还是以Win32.Capric.exe的“X病毒”为例,首先使用手工的方法清理病毒,然后再写一个针对该病毒的专杀工具。由上一小节对病毒源代码的分析我们得知,如果需要彻底修复被感染的目标文件,我们需要将被病毒修改的部分逐一进行修复。
博客
《Windows PE》15.1 资源捆绑
10-28 868
在下载应用程序时,我们会发现一些特殊的EXE应用程序。当我们运行EXE程序时会同时下载或生成若干个其他应用程序,并自动运行。这个过程通常会以一种静默的方式悄悄地进行。我们将这一技术称之为EXE捆绑。之所以这样做,好的方面是简化程序下载安装的过程。坏的方面是一些流氓软件可以借此牟利,侵犯用户的选择权。本章介绍两种常用的EXE捆绑的实现方法。本章学习知识概要:资源捆绑补丁捆绑。
博客
《Windows PE》12.4 万能补丁
10-25 899
本节我们将介绍基于嵌入式补丁的万能补丁技术。万能补丁原理示例程序。
博客
《Windows PE》11.2.1 PE变形技术
10-24 1587
恶意软件使用PE变形技术来修改PE文件的结构和代码,以产生不同的变种,从而使每个实例看起来不同,难以被传统的基于特征的病毒检测技术所识别。■●代码混淆:恶意软件使用各种技术,如指令替换、指令重排、无用代码插入等,来修改PE文件的代码,使其难以分析和识别。这样可以改变程序的控制流,增加分析的复杂性。【注】我们将在PE加密壳一章详细讲解代码混淆。●API重命名:恶意软件可能会修改PE文件中调用的系统API函数的名称,使其与正常的API名称不同。
博客
《Windows PE》9.2 动态加载技术-获取kernel32.dll基址
10-23 1433
上一节中我们介绍了如何动态调用DLL的方法。首先调用LoadLibrary函数动态加载DLL,然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法,实现对DLL动态链接库中函数的调用。简单来说,需要经过以下三步:步骤1获取kernel32.dll的基地址。
博客
《Windows PE》7.4 资源表应用
10-22 919
本节我们将通过两个示例程序,演示对PE文件内图标资源的置换与提取。更改图标提取图标资源。
博客
《Windows PE》7.3 遍历资源表
10-21 350
文件偏移:00003AB8 (代码页=0804, 长度2字节)文件偏移:00003AC0 (代码页=0804, 长度2字节)2.示例程序对于非资源内容(例如应用程序清单)归类于自定义资源类型。文件偏移:00007DD0 (代码页=0409, 长度381字节)●模块五:RvaToFileOffset.c(略)●模块七:GetResourceInfo.c。●模块六:Getpeinfo.c(略)●模块四:pemain.c(略)●模块1:resource.h。●模块2:peinfo.rc。●模块三:info.h。
博客
《Windows PE》7.2 资源表
10-20 985
在资源表中,IMAGE_RESOURCE_DIRECTORY_ENTRY 的 OffsetToData 字段指向一个 IMAGE_RESOURCE_DATA_ENTRY 结构,该结构描述了资源数据的位置和相关属性。PE 对话框资源的起始位置 01 00 FF FF 00 00 00 00 00 00 00 00 是对话框资源的标识符,用于识别和定位对话框资源在 PE 文件中的位置。资源的每一级目录都会有一个资源目录头,它标识 了该类资源的属性、创建日期和版本等信息,其中也包含了随后的目录项的数量描述信息。
博客
《Windows PE》7.1 资源分类
10-18 795
自定义资源是指在程序中使用的非标准资源,这些资源可以是任何类型的数据或文件,用于存储和使用程序所需的特定信息或内容。在资源脚本文件(.rc 文件)中,可以使用自定义的资源类型来定义和描述这些资源。其在资源 文件中的定义语法如下:资源 ID 类型 ID [DISCARDABLE]BEGIN数据定义……END以下是一个示例:上述代码中,IDR_CUSTOM1 是自定义资源的唯一标识符(ID),CUSTOM 是自定义资源类型指示符,custom.dat 是自定义资源文件的名称。
博客
《Windows PE》6.4.2 远程注入DLL
10-17 480
测试步骤:当PEHeader.exe运行时,运行remoteThread.exe,点击文件菜单”插入到PEHeader.exe”,就可以将DLL远程注入到进程PEHeader.exe中了。对比无DLL注入的方法,使用DLL注入的方法不需要对代码和数据进行重定位(由操作系统自动完成),省去了很多不必要的麻烦,因此也是我们常用的方法。写一个窗口程序,将一个dll通过远程注入的方法,注入到第三章的示例程序PEHeader.exe中,支持32位和64位PE。1.打开本地进程(调用OpenProcess函数)。
博客
《Windows PE》6.4.1 无 DLL远程注入
10-16 873
一旦你的ThreadFunc中有错误,远程线程会立即崩溃。这样,远程进程中的ThreadFunc就会执行不存在的内存数据(至少没有在它自己的内存空间中)。如果我们能够熟练的掌握汇编语言,当然也可以直接使用汇编语言编写一个无DLL注入的程序,毕竟使用汇编语言可以非常方便的直接对代码和数据进行重定位,这是C语言无法做到的。如果这个有争议的CALL是编译器添加的(因为一些不该打开的编译开关比如/GZ打开了),它要么在ThreadFunc的开头要么在ThreadFunc接近结尾的地方。
博客
《Windows PE》6.3 无导入表和重定位表PE文件
10-15 446
本节我们将演示一个无导入表、无重定位表,并且只有一个.text节区的汇编代码程序。汇编代码重定位。
博客
6.2 遍历重定位表
10-14 346
本节我们将编写一个遍历重定位表的示例程序,打印重定位表。遍历重定位表。
博客
《Windows PE》6.1 重定位表
10-12 1200
重定位表(relocation table)是在可执行文件或动态链接库(DLL)中用于指示系统在加载时对代码和数据进行重新定位的数据结构。在可执行文件或 DLL 中,代码和数据通常是使用相对地址进行引用的。当将可执行文件或 DLL 加载到内存中时,如果加载地址与文件中的基地址不匹配,就需要对代码和数据进行重新定位,以确保引用的地址正确。重定位表重定位表的结构与解析重定位表的修改。
博客
《Windows PE》5.3 导出表应用
10-11 1038
本节我们将通过三个实验来说明导出表的应用。实验一修改导出表中的函数地址。实验二直接替换导出函数的代码。实验三导出私有函数修改导出函数地址替换导出函数代码导出私有函数。
博客
《Windows PE》5.2 遍历导出表
10-10 1268
这段代码使用了 EnumProcessModules 函数遍历进程中的模块,并使用 GetModuleInformation 函数获取模块的基址。32位和64位PE文件导出表描述符是相同的,遍历导出表的区别只有两点,32位基址和64位基址,以及NT32位NT头和64位NT头的区别。实验34:方法一,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。实验35:方法二,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。
博客
《Windows PE》5.1 导出表
10-09 1212
该值也是一个指针,与AddressOfNames是一一对应关系,所不同的是,AddressOfNames指向的是字符串的指针数组,而AddressOfNameOrdinals则指向了该函数在AddressOfFunctions中的索引值。●导出函数序号表(Export Function Ordinal Table)是PE文件中导出表的一部分,用于映射导出函数的序号和地址。DLL中的第一个导出函数并不是从0开始的,某导出函数的编号等于从AddressOfFunctions开始的顺序号加上这个值。
博客
《Windows PE》4.3 延迟加载导入表
10-08 998
与导入表不同的是,它所记录的这些DLL动态链接库并不会被操作系统的PE加载器加载,只有等到由其登记的相关函数被应用程序调用时,PE中注册的延迟加载函数才会根据延迟加载导入表中对该函数的描述,动态加载相关链接库并修正函数的VA地址,实现对函数的调用。不过,如果用户选择了Print命令,你就可以调用该DLL中的一个函数,然后它就能够自动进行DLL的加载。5.延迟加载的DLL具备的另一个特性是,按照默认设置,调用的函数可以与一些内存地址相链接,在这些内存地址上,系统认为函数将位于一个进程的地址中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值