壳的编写(3)-- 编写壳(Stub)部分(2)

动态加载API技术详解
最新推荐文章于 2024-08-08 07:32:11 发布
原创 最新推荐文章于 2024-08-08 07:32:11 发布 · 2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何在程序中动态加载API,包括获取GetProcAddress函数地址的过程及其实现代码,同时还涉及了其他常用API的初始化方法,并给出了解密函数的具体实现。

接:壳的编写(2)-- 编写壳(Stub)部分(1)  http://blog.youkuaiyun.com/obuyiseng/article/details/50456807

5、动态加载API--获取到GetProcAddress

         由于我们程序到时会丢弃掉自己的IAT和导入表信息,这样就不能够直接调用API,因此,我们需要使用动态加载API方法。我们需要获取到GetProcAddress函数的地址,而该函数是从系统文件Kernel32.dll中导出的,所有的运行的程序都会加载该动态链接库。那么,我们获取到Kernel32.dll加载基址,就可以获取GetProcAddress函数了。要想获取到Kernel32基址,我们可以使用TEB的信息找到Kernel32.dll的加载基址:

         1)通过FS得到TEB的地址

         2)TEB偏移0x30处指向的是PEB指针

         3)PEB偏移0x0C处指向PEB_LDR_DATA结构指针

         4)PEB_LDR_DATA偏移0x1C处是InInitializationOrderModuleLis(模块初始化链表的头指针)

         5)InInitializationOrderModuleLis中按顺序存在着此进程的初始化模块信息,在NT5.x内核中,第一个节点为ntdll.dll的基址,第二个节点为Kernel32.dll的基址; 在NT6.1内核中,第二个节点为KernelBase.dll的基址(包含着Kernel32.dll的大部分实现,其中就有GetProcAddress函数)

为此我们需要在Stub.h中定义两个函数,一个用于获取Kernel32.dll基址,一个用于获取GetProcAddress基址,代码如下:

extern DWORD GetKernel32Base();   // 获取Kernel32.dll的模块基址
extern DWORD GetGPAFunAddr();     // 获取GetProcAddress的函数地址
在Stub.cpp中获取Kernel32.dll的代码如下: 

DWORD GetKernel32Base()
{
	DWORD dwKernel32Addr = 0;
	__asm
	{
		push eax
		mov eax,dword ptr fs:[0x30] // eax = PEB的地址
		mov eax,[eax+0x0C]          // eax = 指向PEB_LDR_DATA结构的指针
		mov eax,[eax+0x1C]          // eax = 模块初始化链表的头指针InInitializationOrderModuleList
		mov eax,[eax]               // eax = 列表中的第二个条目
		mov eax,[eax+0x08]          // eax = 获取到的Kernel32.dll基址(Win7下获取的是KernelBase.dll的基址)
		mov dwKernel32Addr,eax
		pop eax
	}

	return dwKernel32Addr;
}

注:可参考http://blog.youkuaiyun.com/obuyiseng/article/details/50456090

         此时我们就能够获取到Kernel32.dll的基址,那么就可以通过遍历Kernel32.dll的导出表获取到GetProcAddress函数的基址了。

         在Stub.cpp文件中获取GetProcAddress的基址代码如下:

DWORD GetGPAFunAddr()
{
	DWORD dwAddrBase = GetKernel32Base();

	// 1. 获取DOS头、NT头
	PIMAGE_DOS_HEADER pDos_Header;
	PIMAGE_NT_HEADERS pNt_Header;
	pDos_Header = (PIMAGE_DOS_HEADER)dwAddrBase;
	pNt_Header = (PIMAGE_NT_HEADERS)(dwAddrBase + pDos_Header->e_lfanew);

	// 2. 获取导出表项
	PIMAGE_DATA_DIRECTORY   pDataDir;
	PIMAGE_EXPORT_DIRECTORY pExport;
	pDataDir = pNt_Header->OptionalHeader.DataDirectory; 
	pDataDir = &pDataDir[IMAGE_DIRECTORY_ENTRY_EXPORT];
	pExport = (PIMAGE_EXPORT_DIRECTORY)(dwAddrBase + pDataDir->VirtualAddress);

 
	// 3、获取导出表的必要信息
	DWORD dwModOffset = pExport->Name;									// 模块的名称
	DWORD dwFunCount = pExport->NumberOfFunctions;						// 导出函数的数量
	DWORD dwNameCount = pExport->NumberOfNames;							// 导出名称的数量

	PDWORD pEAT = (PDWORD)(dwAddrBase + pExport->AddressOfFunctions);	// 获取地址表的RVA
	PDWORD pENT = (PDWORD)(dwAddrBase + pExport->AddressOfNames);		// 获取名称表的RVA
	PWORD pEIT = (PWORD)(dwAddrBase + pExport->AddressOfNameOrdinals);	//获取索引表的RVA

	// 4、获取GetProAddress函数的地址
	for (DWORD i = 0; i < dwFunCount; i++)
	{
		if (!pEAT[i])
		{
			continue;
		}

		// 4.1 获取序号
		DWORD dwID = pExport->Base + i;

		// 4.2 变量EIT 从中获取到 GetProcAddress的地址
		for (DWORD dwIdx = 0; dwIdx < dwNameCount; dwIdx++)
		{
			// 序号表中的元素的值 对应着函数地址表的位置
			if (pEIT[dwIdx] == i)
			{
				//根据序号获取到名称表中的名字
				DWORD dwNameOffset = pENT[dwIdx];
				char * pFunName = (char*)(dwAddrBase + dwNameOffset);

				//判断是否是GetProcAddress函数
				if (!strcmp(pFunName, "GetProcAddress"))
				{
					// 获取EAT的地址 并将GetProcAddress地址返回
					DWORD dwFunAddrOffset = pEAT[i];
					return dwAddrBase + dwFunAddrOffset;
				}
			}
		}
	}
	return -1;
}

6、动态加载API--获取到其他用到的API

         在Stub.h中定义相关的函数和函数指针,如下: 

extern bool  InitializationAPI(); // 初始化各个API

// 基础API定义声明
typedef DWORD (WINAPI *LPGETPROCADDRESS)(HMODULE,LPCSTR);        // GetProcAddress
typedef HMODULE (WINAPI *LPLOADLIBRARYEX)(LPCTSTR,HANDLE,DWORD); // LoadLibaryEx
extern LPGETPROCADDRESS g_funGetProcAddress;
extern LPLOADLIBRARYEX  g_funLoadLibraryEx;


// 其他API定义声明
typedef VOID (WINAPI *LPEXITPROCESS)(UINT);                          // ExitProcess
typedef int (WINAPI *LPMESSAGEBOX)(HWND,LPCTSTR,LPCTSTR,UINT);       // MessageBox
typedef HMODULE (WINAPI *LPGETMODULEHANDLE)(LPCWSTR);                // GetModuleHandle
typedef BOOL (WINAPI *LPVIRTUALPROTECT)(LPVOID,SIZE_T,DWORD,PDWORD); // VirtualProtect
extern LPEXITPROCESS     g_funExitProcess;
extern LPMESSAGEBOX      g_funMessageBox;
extern LPGETMODULEHANDLE g_funGetModuleHandle;
extern LPVIRTUALPROTECT  g_funVirtualProtect;

在Stub.cpp中实现InitializationAPI函数,并初始化要使用的API函数。由于KernelBase.dll中没有导出LoadLibrary函数,所以为了兼容性考虑,我们在加载DLL的时候使用LoadLibraryExW。
LPGETPROCADDRESS  g_funGetProcAddress = nullptr;
LPLOADLIBRARYEX   g_funLoadLibraryEx = nullptr;

LPEXITPROCESS     g_funExitProcess = nullptr;
LPMESSAGEBOX      g_funMessageBox = nullptr;
LPGETMODULEHANDLE g_funGetModuleHandle = nullptr;
LPVIRTUALPROTECT  g_funVirtualProtect = nullptr;

bool InitializationAPI()
{
	HMODULE hModule;

	// 1. 初始化基础API 这里使用的是LoadLibraryExW
	g_funGetProcAddress = (LPGETPROCADDRESS)GetGPAFunAddr();
	g_funLoadLibraryEx = (LPLOADLIBRARYEX)g_funGetProcAddress((HMODULE)GetKernel32Base(), "LoadLibraryExW");

	// 2. 初始化其他API
	hModule = NULL;
	if (!(hModule = g_funLoadLibraryEx(L"kernel32.dll", NULL, NULL)))  return false;
	g_funExitProcess = (LPEXITPROCESS)g_funGetProcAddress(hModule, "ExitProcess");
	hModule = NULL;
	if (!(hModule = g_funLoadLibraryEx(L"user32.dll", NULL, NULL)))  return false;
	g_funMessageBox = (LPMESSAGEBOX)g_funGetProcAddress(hModule, "MessageBoxW");
	hModule = NULL;
	if (!(hModule = g_funLoadLibraryEx(L"kernel32.dll", NULL, NULL)))  return false;
	g_funGetModuleHandle = (LPGETMODULEHANDLE)g_funGetProcAddress(hModule, "GetModuleHandleW");
	hModule = NULL;
	if (!(hModule = g_funLoadLibraryEx(L"kernel32.dll", NULL, NULL)))  return false;
	g_funVirtualProtect = (LPVIRTUALPROTECT)g_funGetProcAddress(hModule, "VirtualProtect");

	return true;
}

7、添加解密函数

         在Stub.h中定义一个加密函数 

extern void  Decrypt();           // 解密函数
在Stub.cpp中实现该函数 

void Decrypt()
{
	// 在导出的全局变量中读取需解密区域的起始于结束VA
	PBYTE lpStart = g_stcParam.lpStartVA;
	PBYTE lpEnd = g_stcParam.lpEndVA;

	// 循环解密
	while (lpStart < lpEnd)
	{
		*lpStart ^= 0x15;
		lpStart++;
	}
}

8、完善start函数

         我们先初始化GLOBAL_PARAM结构,并在Start函数中调用InitializationAPI()初始化所有API ,调动Decrypt()进行解密,并跳转到被加壳程序的原始OEP。 

extern __declspec(dllexport) GLOBAL_PARAM g_stcParam={0};

void start()
{
	// 1. 初始化所有API
	if (!InitializationAPI())  return;

	// 2. 解密宿主程序
	Decrypt();

	// 3. 跳转到OEP
	__asm jmp g_stcParam.dwOEP;
}

为了退出进程时的兼容性,在StubEntryPoint中添加退出进程的兼容代码,总体如下:
void __declspec(naked) StubEntryPoint()
{
	__asm sub esp, 0x50;        // 抬高栈顶,提高兼容性
	start();                    // 执行壳的主体部分
	__asm add esp, 0x50;        // 平衡堆栈

	// 主动调用ExitProcess函数退出进程可以解决一些兼容性问题
	if (g_funExitProcess)
	{
		g_funExitProcess(0);
	}

	__asm retn;
}


编写2-- 编写(Stub)部分(1)
oBuYiSeng的博客
01-04 2691
1、添加编译选项          在Stub项目中的Stub.cpp中,添加一下代码,控制此项目在编译时的连接选项。让我们生成的dll程序.text、.data与rdata区段合并。 #pragma comment(linker, "/merge:.data=.text") // 将.data合并到.text #pragma comment(linker, "/merge:.r
编写(1)-- 简介与搭建框架
oBuYiSeng的博客
01-02 4112
”是一种现实比较常见的东西,比如:花生、瓜子等等。这些主要是用来保护其自身的果实的,要想吃到这些果实,我们就需要将其剥掉。在我们的软件行业也存在这样类似的东西,这种东西我们也称之为“”,我们自身的软件就类似于花生仁,而“”用来保护我们自身的软件,避免被其他人窥探。 根据作用,一般分为两种:压缩、加密。无论哪种他们的原理大致是相同的。我们给自身软件加后就会产生新的软件,新的软
编写(PE格式)
10-17
主要介绍了PE的格式和结构组成。对学习系统的PE格式很有帮助。
简单编写
01-16
简单加密编写 http://blog.youkuaiyun.com/obuyiseng/article/details/50528622
编写(1) 搭建框架
01-02
编写(1) 搭建框架 文档 http://blog.youkuaiyun.com/obuyiseng/article/details/50447540
编写
Eddy_wang的专栏
12-12 684
作为一种主要的软件保护手段大概可以分为压缩和加密两类。而现在 流行的加程序无论是压缩的还是加密的几乎都是针对应用层程序的,对于驱动 程序的保护则几乎是空白。笔者只在一些国外加密狗的驱动中见过类似应用层 的保护。本篇文章主要介绍驱动加程序与应用层加程序在编写上的区别以 及一些注意事项。 1.校验和的计算     驱动程序被加后必须重新进行校验和的计算,否则加
cpp-stub 开源代码
02-04
`cpp-stub` 的修复版本(cpp-stub-master)应该包含了这个BUG的解决方案,通过对比修复前后的代码,我们可以学习如何处理跨平台的兼容性问题,特别是在嵌入式系统如ARM平台上的内存管理。此外,查看修复过程中的测试...
PyPI 官网下载 | django-stub-0.1.tar.gz
01-10
**PyPI 官网下载 | django-stub-0.1.tar.gz** 在Python的世界里,PyPI(Python Package Index)是官方的第三方Python软件包仓库,开发者可以在这里发布自己的Python库,供全球用户下载和使用。`django-stub-0.1.tar...
koa-stub-api
06-07
【标题】"Koa-Stub-API" 是一个用于开发阶段的工具,主要用于创建模拟API(Application Programming Interface)的服务。在实际开发过程中,特别是在前端与后端并行开发时,前端往往需要一个能快速响应的数据源来...
Python库 | pybites_stub-0.1-py3-none-any.whl
03-23
在这个场景中,我们关注的是名为"pybites_stub-0.1-py3-none-any.whl"的Python库。这个文件是Python的whl(wheel)格式,它是一种预编译的Python包分发格式,使得安装过程更为简便。 1. **Python Wheel (whl) 文件*...
编写教程41节全,目前还在赏金论坛挂着呢
bklang的专栏
03-01 779
给赏金论坛制作的教程 1.手写一个PE文件(10节) 2.编写一个lordPE(15节) 3.写一段shellcode(5节) 4.写一个简单的程序外 (1)创建一个引导程序(1节) (2)创建主程序界面(1节) (3)引导预加程序 (a)添加一个新区段(1节) (b)重定位自身(3) (c)重新处理导入表(4节) (4)异或区段(2) (5)加入简单的反调试(2) 封存在网盘里好久了,拿出来共享,赚点人气。有兴趣可以加这个群聊...
一个的源代码 汇编 代码
10-01
一个的源代码 ASM代码 include win32.inc .586 .model flat,stdcall locals
单元matlab有限元程序
07-20
该程序整合了板单元的膜效应、弯曲及横向剪切效应,可以对平面内的板进行有限元仿真计算,同时对入门有限元的新手提供教学资料。代码注释较为详细,各个模块分类清楚。 自主开发,别无他家。
Windows 外扩展编程入门实例 pdf
04-21
Windows 外扩展编程入门实例 pdf Windows 外扩展编程入门实例,算是将我的一些心得体会和大家分享,我最初的打算是将Michael Dunn 文章中涉及的全部内容全部转成Delphi 程序,再加上我自己的一些发现做成一个完整的系列不过后来发现这个工程量实在相当的大,而且似乎没有必要因为Windows Shell Extension 的许多内容是相通的,完全可以举一反三,我再重复   MSDN或者Michael Dunn 文章中的那些东西似乎是在浪费时间最终我决定只用一个例子,说明Shell Extension 编程的基本原理就好至于后面的东西那就修行在各人了。
用C++实现的(基础版)
liujiayu2的专栏
11-01 4513
原文链接:https://bbs.pediy.com/thread-206804.htm 最近一直在15PB学习,现阶段学的主要是关于的知识,正好现在也在做这个阶段项目,用了2天的时间实现了一个基础版的C++写的,拿出来跟大家分享一下,代码量不多,但知识点不少,适合新手学习提高~         的流程看上去并不复杂,但需要的是你对PE文件有一定的了解,在了解了一些关于导入
编程常用知识点
lwg19870804的专栏
11-19 453
位置变量:用来存储外程序后面所跟的参数。
java .stub 用法_java – Mockito:如何在调用时使用stub方法运行一些代码
weixin_39808877的博客
02-13 292
我想存根一个存储库类来测试另一个具有存储库的类(Holder类).存储库接口支持CRUD操作,并且有很多方法,但我对Holder类的单元测试只需要调用其中的两个.存储库界面:public interface IRepo {public void remove(String... sarr);public void add(String... sarr);//Lots of other method...
【亲测免费】 cpp-stub 项目使用教程
最新发布
gitblog_00926的博客
08-08 1224
cpp-stub 项目使用教程 1. 项目的目录结构及介绍 cpp-stub 是一个用于 C++ 单元测试的打桩工具。以下是项目的目录结构及其介绍: cpp-stub/ ├── include/ │ └── stub.h ├── src/ │ ├── stub.cpp │ └── ... ├── tests/ │ ├── test_main.cpp │ └── ... ├── ...
C语言单元测试(UT)用例编写——gtest+stub打桩
luronggui的博客
06-30 7565
【转载】https://blog.youkuaiyun.com/anranjingsi/article/details/ stub工具源码:https://github.com/coolxv/cpp-stub/tree/master/src 这里做下简单的背景介绍,ut的基础介绍:可以先去看下先去的文章:https://blog.youkuaiyun.com/anranjingsi/article/details/106084223 前面也使用过gtest+gmock框架给C/C++做单元测试,但gmock的使用有着明显的限制:1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值