写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc)

已于 2023-04-11 10:32:38 修改
阅读量3.8k 收藏 7
点赞数 2
分类专栏: # 写一个PE的壳 文章标签: windows 安全 c++
于 2022-05-26 20:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44531336/article/details/124978010
版权

系列汇总

重要的事情说3遍:

笔记更新换位置了!
笔记更新换位置了!
笔记更新换位置了!

新位置:我写的新系列,刚开始写没几天,后续文章主要在新地址更新,欢迎支持;写作不易,且看且珍惜(点击跳转,欢迎收藏

文章目录

Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc)

本文主要处理Part 1中遗留的2张表:输入表和重定位表(执行一个ASLR使能的文件不会出错)

当前现状:Part 1中执行loader.exe C:\Windows\SysWOW64\calc.exe没有出现计算器,loader.exe没有处理C:\Windows\SysWOW64\calc.exe的输入表是一个主要原因

处理2个表前,最好先复习一下ASLR的相关知识

1.ASLR预备知识

ASLR(Address Space Layout Randomization,地址空间布局随机化)是一种针对缓冲区溢出的安全保护技术,从Vista开始支持;主要是使exe文件运行时加载到内存中的地址是随机的

  • 产生原因

没有ASLR前,一般情况下,exe文件都会加载在OS给分配的虚拟内存0x400000上,微软自己的DLL总会加载在固定的地址上,这给程序安全带来的很大的隐患;因此需要将PE文件每次加载到内存的地址进行随机化

  • 编译器支持

支持ASLR的前提是OS的内核版本必须是6以上,且编译工具必须支持/DYNMAICBASE;下面的界面中还可以设置PE文件的ImageBase(exe文件默认是0x400000,dll文件默认是0x10000000,默认值都是可以修改的)

在这里插入图片描述

  • .reloc节区

支持ASLR的PE文件多了一个名为.reloc的节区,一般情况下普通的exe文件不存在这个节区,开了ASLR技术的二进制才出现这个节区,是由编译器在编译时指定并保存在可执行文件中的

在这里插入图片描述

PE文件加载进入内存时,.reloc节区主要是做重定位参考的

  • PE header变化

File HeaderCharacteristics属性里,IMGE_FILE_RELOCS_STRIPPED不在支持ASLR时默认是勾选的,支持ASLR时不会勾选;增加ASLR的支持后,同一套源码产生的PE文件区段个数也会多一个

在这里插入图片描述

Optional HeaderDllCharacteristics属性里,IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE不在支持ASLR时默认是不勾选的,支持ASLR时会勾选(是否勾选不要与上面弄混了

在这里插入图片描述

题外话:逆向时,如果一个文件支持ASLR会给逆向增加难度,可以直接将Optional HeaderDllCharacteristics属性里的IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE删掉,这样就不支持ASLR了;这样程序每次运行都会加载到同一地址,方便分析

2.输入表支持

结论:输入表支持就是我们要自己遍历INT,给IAT填写真实内存地址的过程

detail 1:什么是输入表?

简单归纳:就是将程序使用的第三方库的函数放在一个表格里进行统一管理的表

一般情况下,当一个PE二进制用额外的库时,它通常将输入表存储在.idata区段;下面以一个ShellExecuteW(被calc.exe导入)函数为例,说明一下输入表

calc.exe要调用ShellExecuteW,是需要知道ShellExecuteW函数在内存中的位置的;dll文件只有在运行时才会加载进内存,因此在编译阶段,编译器是不知道ShellExecuteW在内存中的确切位置

输入表中的IAT就是为了解决上面的编译时运行时的矛盾的

  • 编译时:在调用ShellExecuteW的地方,ShellExecuteW使用的是中转地址,或者可以理解成指向输入表中的IAT
  • 运行时:当运行程序时,相应的dll文件被加载时,PE装载器会先将ShellExecuteW的真实地址在IAT保留;都处理完后,才会执行用户写的代码,此时执行ShellExecuteW就会通过IAT找到真正的加载地址

结论:PE被装载进入内存后,输入表中真正有用的只有IAT了

下面是x32dbg加载calc.exe的截图,可以看到输入表中IAT的身影

在这里插入图片描述

  • 位置1:外部call指令,调用的是外部模块(shell32.dll),call指令(用FF15操作码)的参数(38306700)来自于IAT,被ShellExecuteW标识;具体是用函数名还是用序号(ordinal)取决取IAT加载的方式
  • 位置2:内部call指令,编译器知道被调用函数的目的地址,因此用E8操作码(“realtive call”

输入表的基本知识介绍完了,下面使用CFF查看一下输入表在PE中的相关部分

detail 2:PE Header描述

输入表信息这么重要,PE头文件哪里描述呢?可以从Data Directories(是Optional Header的一部分)开始学习

在这里插入图片描述

目录的顺序是事先确定的,默认个数是16;与导入相关的有2个directories(都位于名为.idata的section里):

  • Import Directory:编号是01,指向“Import Directory Table” (IDT),告诉我们什么函数要被程序导入,即what
  • Import Address Table Directory:编号是12,指向“Import Address Table” (IAT),将要导入的函数的地址放在IAT里,即where

题外话:Part 4中会看到LIEF建立一个空白PE时,Data Directories数组的个数指定的是15,导致输入表不能识别

detail 3:真实的输入表

CFF查看IDT的内容如下:

在这里插入图片描述

每一个dll都有一个条目记录需要导入的函数,下面通过编程处理输入表

detail 4:编程处理

现在直接说编程处理输入表,估计还是会不知所云,因为还有最后一项没有介绍,即输入表需要的数据结构

数据结构

Data Directories中的Import Directory指向一个数组,数组里每个元素都是IMAGE_IMPORT_DESCRIPTOR的结构体,数组终止条件是一个全为0的IMAGE_IMPORT_DESCRIPTOR的结构

每一个DLL都用一个IMAGE_IMPORT_DESCRIPTOR的结构体进行描述,定义如下:

//每一个DLL都用一个
最低0.47元/天 解锁文章
一个PE_Part 4:修复ASLR支持+lief构建新PE
可乐松子的博客
05-27 829
文章目录1.解决思路step 1:当前现状step 2:解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位表,因此无法产生可移动的二进制文件;Part 4中要处理MinGW生成的可执行文件(不能移动的,即不支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
一个PE_Part 5:PE格式修复+lief源码修改
可乐松子的博客
05-27 997
文章目录1.CFF查看2.python再次加载3.异常2的Raw问题step 1:运行程序step 2:调试器运行程序step 3:单步调试step 4:CFF查看二进制step 5:查看LIEF源码step 6:解决办法step 7:结果验证step 8:源码修改建议4.参考 用原教程中Part 4的py文件处理test.exe,生成名为packed_bug1.exe程序;运行时直接报错 下面给出了整个修复的思路 1.CFF查看 CFF看一下packed_bug1.exe,直观上会发现2处异常,导致PE
输入修复工具ImportFix
07-26
ImportFix od附带重建输入神器。输入修复,基址修改工具。
重建输入
weixin_33725239的博客
06-18 141
重建输入 转载于:https://www.cnblogs.com/LoveFishC/p/3845905.html
从可执行文件中删除.reloc节区
最新发布
weixin_43905689的博客
03-15 413
EXE形式的PE文件中,“基址重定位表”项对运行没有什么影响。实际上,将其删除后程序仍然正常运行(基址重定位表对DLL/SYS形式的文件来说几乎是必须的)。VC++中生成的PE文件的重定位节区名称为.reloc,删除该节区后文件照常运行,且文件大小将缩减。.reloc节区一般位于所有节区的最后,删除这最后一个节区不像想得那么难。
简单的手动修复输入
weixin_30834783的博客
02-26 239
学习于 加密与解密3 手工构造输入 构造输入完毕后 再到 数据目录的输入位置填地址和大小就行了 转载于:https://www.cnblogs.com/zcc1414/p/3982398.html...
程序输入修复
积累点滴,保持自我
12-07 2495
1.使用的一款修复输入的工具:Import REConstructor,如下图所示:  2.一个加过的程序在经过脱后,输入一般会出现问题,出现各种程序不能运行的情况,这时就需要修复输入。打开未脱的程序(因为该修复输入的程序)
一个PE_Part 1:加载PE文件到内存
可乐松子的博客
05-25 1351
前面都是PE的零散的知识,可以通过给PE文件一个将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式和脱很有帮助 下面是结合自己的实践的笔记,不是教程的原版翻译 教程主要实现的的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
一个PE_Part 3:Section里实现PE装载器
可乐松子的博客
05-26 998
文章目录Part 3:Setion里实现PE装载器1.unpack部分step 1:通用想法step 2:修改代码step 3:编译选项2.用python打包step 1:lief安装和使用step 2:避免告警step 3:命令行参数step 4:准备文件step 5:给PE文件添加一个section3.结果展示4.遗留问题5.参考 Part 3:Setion里实现PE装载器 Part 3主要做了什么? Part 1和Part 2中我们一个简易的PE装载器(loader.exe),可以加载一个3
PE_修正重定位表
qq_42363151的博客
09-25 399
PE
通用输入修复工具UIF .12中文版,好用!
06-23
破解工具,UIF脱文件输入修复工具,中文版,好用!
修复程序输入的ImportFix工具
weixin_42629522的博客
11-27 953
本文还有配套的精品资源,点击获取 简介:ImportFix是一个专门用于修复操作系统和应用程序之间交互所依赖的输入的工具。当输入损坏或缺失时,程序可能无法正常运行。ImportFix通过识别和重建输入,调整因地址随机化等导致的基址变化,并提供简化的操作流程,支持多种操作系统环境。使用该工具,用户可以有效地恢复程序功能,而不会对原始文件造成额外损害。然而,它并不适用于所...
PE格式第七讲,重定位表
weixin_30532369的博客
10-19 193
         PE格式第七讲,重定位表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶何为重定位(注意,不是重定位表) 首先,我们先看一段代码,比如调用Printf函数,使用OD查看. 那么大家有没有想过这么一个问题,函数的字符串偏移是00407030位置,函数Call的地址是00401020的...
PE格式系列_0x05:输出重定位表(.reloc)
可乐松子的博客
06-08 915
输出简单理解就是一个格,记录输出函数的信息 流程:PE装载器访问PE文件输出时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo中只有一个导出函数MsgBox 使用PE工具查看输出示例2:kernel32.dll的输出汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
33.篇-重建输入
墨痕诉清风的博客
03-08 1076
OD自动分析MessageBox,call 004011EA,他是怎么分析知道函数MessageBox 打开PE头文件,INT 我们要重点关注的字段一个是ImageBase基址,一个是Import Table address导入地址,这里导入的地址是基地址+偏移地址 在代码区搜索导入地址 分析完如下图 查找这两个偏移地址就可以看到dll和函数的地址...
重定位表IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2908
因为刚学PE没多久,所以今晚上进入了一个误区,第一个重定位表重定位的是哪些信息,第二个,IAT修复跟重定位有什么关系。 通俗的说,重定位表里面记录的就是死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位表进行重定位。 IAT修复和重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
加密与解密(四)重建输入
qq_36308972的博客
06-05 449
PE文件运行时,Windows系统加载器首先搜索OriginalFirstThunk,如果存在,装载程序迭代搜索数组中的每个指针,找到IMAGE_IMPORT_BY_NAME结构所指向的输入函数的地址,然后用函数入口地址来替代由FirstThunk指向 的IMAGE_THUNK_DATA数组里的元素值(即用真实的函数地址填充到IAT里) **如果程序加了,那么自己模仿Windows装载器的工...
DLL引入重定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4389
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码中需要引用该字符串,于是直接从原代码中copy了一段引用该字符串的代码。头几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁中对字符串的引用指向了一个
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值