《Windows PE》4.1.4 手工重构导入表

news2024/11/29 19:54:19

接下来我们做一个稍微复杂一些的实验,实验需要四个程序:

       HelloWorld.exe:弹出MessageBox窗口(实验1已实现)。

       Regedit.exe:添加注册表启动项。

       LockTray.exe:锁定任务栏窗口。

UnLockTray.exe:解锁任务栏窗口。

       【注】为了减少不必要的麻烦,上述四个程序都使用32位汇编代码实现。

实验二十八:手工重构导入表

       ■实验要求

       ●分别编译实现上述四个实验程序。

       ●Regedit.exe程序的功能是将LockTray.exe添加到注册表启动项中。

       ●手工实现,将Regedit.exe程序的代码、数据、IAT表和导入表添加到HelloWorld.exe程序中,并可以正确运行。

●HelloWorld.exe源码:(略)

●LockTray.exe源码:

       ;------------------------

;Filename:LockTray.asm

;实验28:锁定任务栏

;by:bcdaren

;编写日期:2021.04.26

;========================================================

    .386

    .model flat,stdcall

    option casemap:none

include    windows.inc

include    user32.inc

includelib user32.lib

include    kernel32.inc

includelib kernel32.lib

;数据段

.data

szClassName      db  'Shell_TrayWnd',0

hTray                  dd  ?

;代码段

.code

start:

    invoke FindWindow,addr szClassName,0

    mov hTray,eax

    invoke ShowWindow,hTray,SW_HIDE;SW_SHOW解锁

    invoke EnableWindow,hTray,FALSE

    invoke ExitProcess,NULL

end start

       ●UnLockTray.exe源码:(略)

●Regedit.exe源码:

;------------------------

;Filename:regedit.asm

;实验28:添加注册表启动项

;by:bcdaren

;编写日期:2021.04.26

;========================================================

    .386

    .model flat,stdcall

    option casemap:none

include    windows.inc

include    user32.inc

includelib user32.lib

include    kernel32.inc

includelib kernel32.lib  

include    advapi32.inc

includelib advapi32.lib

;数据段

.data

szSubKey db  'SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run',0

szValueName        db  'NewValue',0

szData                  db  'D:\code\winpe\ch04\LockTray\LockTray.exe',0       ;41个字节

hKey       dd  ?

;代码段

.code

start:

    invoke RegCreateKey,HKEY_LOCAL_MACHINE,addr szSubKey,addr hKey

    invoke RegSetValueExA,hKey,addr szValueName,NULL,REG_SZ,addr szData,41

    invoke RegCloseKey,hKey

    invoke ExitProcess,NULL

end start

●手工重构导入表

第一步:新建一个HelloWorld.exe程序的副本。在WinHex中新建一个空白文件,并将HelloWorld.exe复制到空白文件中。

第二步:定位副本文件中的.data节区,将Regedit.exe程序的.data节区数据写入到副本文件.data节区的结尾处。

00000800   68 65 6C 6C 6F 00 48 65  6C 6C 6F 2C 77 65 6C 63   hello.Hello,welc

00000810   6F 6D 65 20 74 6F 20 50  45 21 00 53 4F 46 54 57   ome to PE!.SOFTW

00000820   41 52 45 5C 57 4F 57 36  34 33 32 4E 6F 64 65 5C   ARE\WOW6432Node\

00000830   4D 69 63 72 6F 73 6F 66  74 5C 57 69 6E 64 6F 77   Microsoft\Window

00000840   73 5C 43 75 72 72 65 6E  74 56 65 72 73 69 6F 6E   s\CurrentVersion

00000850   5C 52 75 6E 00 4E 65 77  56 61 6C 75 65 00 44 3A   \Run.NewValue.D:

00000860   5C 63 6F 64 65 5C 77 69  6E 70 65 5C 63 68 30 34   \code\winpe\ch04

00000870   5C 4C 6F 63 6B 54 72 61  79 5C 4C 6F 63 6B 54 72   \LockTray\LockTr

00000880   61 79 2E 65 78 65 00 00  00 00 00 00 00 00 00 00   ay.exe..........

【注意】下面的步骤中只需要插入advapi32.dll模块中3个注册表函数的IAT、INT、函数名和模块名数据,剔除重复的ExitProcess导入函数数据。

第三步:将Regedit.exe程序的IAT表数据插入到副本文件IAT表的结尾处。

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000600   76 20 00 00 00 00 00 00  5C 20 00 00 00 00 00 00   v ......\ ......

00000610   A6 20 00 00 88 20 00 00  96 20 00 00 00 00 00 00   ?..?..?......

第四步:将Regedit.exe程序的导入表描述符数据插入到副本文件导入表描述符结尾处。

00000620   54 20 00 00 00 00 00 00  00 00 00 00 6A 20 00 00   T ..........j ..

00000630   08 20 00 00 4C 20 00 00  00 00 00 00 00 00 00 00   . ..L ..........

00000640   84 20 00 00 00 20 00 00  54 20 00 00 00 00 00 00   ?... ..T ......

00000650   00 00 00 00 B8 20 00 00  00 20 00 00 00 00 00 00   ....?... ......

第五步:将Regedit.exe程序的INT表数据插入到副本文件INT表的结尾处。

00000670   76 20 00 00 00 00 00 00  5C 20 00 00 00 00 00 00   v ......\ ......

00000680   A6 20 00 00 88 20 00 00  96 20 00 00 00 00 00 00   ?..?..?......

第六步:将Regedit.exe程序的函数名和DLL名数据写入到副本文件函数名和DLL名数据的结尾处。

00000690   B1 01 4D 65 73 73 61 67  65 42 6F 78 41 00 75 73   ?MessageBoxA.us

000006A0   65 72 33 32 2E 64 6C 6C  00 00 9B 00 45 78 69 74   er32.dll..?Exit

000006B0   50 72 6F 63 65 73 73 00  6B 65 72 6E 65 6C 33 32   Process.kernel32

000006C0   2E 64 6C 6C 00 00 B7 01  52 65 67 43 6C 6F 73 65   .dll..?RegClose

000006D0   4B 65 79 00 BA 01 52 65  67 43 72 65 61 74 65 4B   Key.?RegCreateK

000006E0   65 79 41 00 E7 01 52 65  67 53 65 74 56 61 6C 75   eyA.?RegSetValu

000006F0   65 45 78 41 00 00 61 64  76 61 70 69 33 32 2E 64   eExA..advapi32.d

00000700   6C 6C 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ll..............

第七步:删除.rdata节区多余空字节,使.data节区保持00000800H地址不变。修正IAT表、导入表描述符和INT表。

00000600   AA 20 00 00 00 00 00 00  90 20 00 00 00 00 00 00   ?....... ......

00000610   C6 20 00 00 D4 20 00 00  E4 20 00 00 00 00 00 00   ?..?..?......

00000620   70 20 00 00 00 00 00 00  00 00 00 00 B8 20 00 00   p ..........?..

00000630   00 20 00 00 78 20 00 00  00 00 00 00 00 00 00 00   . ..x ..........

00000640   9E 20 00 00 08 20 00 00  80 20 00 00 00 00 00 00   ?... ..€ ......

00000650   00 00 00 00 F6 20 00 00  10 20 00 00 00 00 00 00   ....?... ......

00000660   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00000670   AA 20 00 00 00 00 00 00  90 20 00 00 00 00 00 00   ?....... ......

00000680   C6 20 00 00 D4 20 00 00  E4 20 00 00 00 00 00 00   ?..?..?......

第八步:将Regedit.exe程序的.text节区数据复制到.text节区,并修正参数地址以及FF25跳转地址。

00000400   68 87 30 40 00 68 1B 30  40 00 68 02 00 00 80 E8   h?@.h.0@.h...€?

00000410   52 00 00 00 6A 29 68 5D  30 40 00 6A 01 6A 00 68   R...j)h]0@.j.j.h

00000420   55 30 40 00 FF 35 87 30  40 00 E8 3D 00 00 00 FF   U0@.5?@.?...

00000430   35 87 30 40 00 E8 2B 00  00 00 6A 00 68 00 30 40   5?@.?...j.h.0@

00000440   00 68 06 30 40 00 6A 00  E8 07 00 00 00 6A 00 E8   .h.0@.j.?...j.?

00000450   06 00 00 00 FF 25 08 20  40 00 FF 25 00 20 40 00   ....%. @.%. @.

00000460   FF 25 10 20 40 00 FF 25  14 20 40 00 FF 25 18 20   %. @.%. @.%.

00000470   40 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   @.%. @.........

【注】需要修改灰色背景的字节。

第九步:删除.text节区多余空字节,使.rdata节区起始位置00000600H地址不变。修正数据目录项导入表项的RVA地址为00002020H。

【可选项】可以选择修改的字段包括导入表的大小、IAT表的大小、.text节区的实际大小、.rdata节区的实际大小和.data节区的实际大小。如果不修改上述字段,不影响程序的运行。说明加载PE时不会检查上述字段。

  总结

       实验二十八等于手动将两个程序合并为一个新的程序。也可以理解为在原程序的基础上,手动添加了一个新的功能。

       需要特别注意的是:

       1..rdata节区内的字符串都是ASCII字符串,且偶数字节对齐。

       2..text节区内FF 25跳转到函数地址表的顺序必须与IAT表内的顺序相对应。

       3.IAT表内RVA地址的顺序可以任意排列,但是必须与.text节区内FF 25跳转到函数地址表的顺序一致。

       4.在未绑定的情况下,IAT表和INT表完全一致。

       5.可以增加节区内的数据,但是尽量不要改变节区文件偏移地址的起始位置,并保持512个字节对齐。

       6.手工重构导入表,需要将两个程序的各个节区进行合并。其中较为复杂的就是IAT表和导入表的重构。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2191870.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

各省份农林牧渔业总产值统计数据(2000-2022年)

数据来源 《中国统计年鉴》 农业、林业、牧业和渔业作为国民经济的重要组成部分,对于保障国家粮食安全、促进区域经济发展、实现农业农村现代化和乡村振兴具有重要意义。 2000年-2022年全国各省份农林牧渔业总产值统计数据(大数据).zip资源…

DBMS-3.1 SQL(1)——SQL概述和DDL

本文章的素材与知识来自李国良老师和王珊老师。 SQL概述 1.定义 2.SQL语句分类 数据定义语言DDL(Data Definition Language) 一.表 1.创建表 (1)语法 中括号内的项为可选项。分号标志着一条SQL语句的结束。SQL语句不区分大小…

【Spring Boot React】Spring Boot和React教程 完整版

【Spring Boot & React】Spring Boot和React教程 在B站找到一个不错的SpringBoot和React的学习视频,作者是amigoscode 【Spring Boot & React】Spring Boot和React教程 2023年更新版【Spring Boot React】价值79.9美元,全栈开发,搭…

付费计量系统实体和接口(1)

13.System entities and interfaces 系统实体和接口 See also Clause 4 for a discussion on general concepts and Clause 5 for generic entity model. 参见条目 4 讨论总体概念、条目 5 通用实体模型。 An entity specification should specify the embodied functions and …

【Unity踩坑】UWP项目安装包认证失败

问题:在Unity导出的VS项目,打包生成appx后,进行应用认证时失败。提示部分API不支持。 API __C_specific_handler in kernel32.dll is not supported for this application type. UnityPlayer.dll calls this API.API DXGIGetDebugInterface1 …

【Linux】进程控制(创建、终止、等待、替换)

文章目录 1. 进程创建2. 进程终止3. 进程等待4. 进程程序替换4.1 认识进程替换4.2 认识全部接口 1. 进程创建 如何创建进程我们已经在之前学习过了,无非就是使用fork(),它有两个返回值。创建成功,给父进程返回PID,给子进程返回0&…

LLM大模型常见面试题汇总(含答案)

最近秋招正在如火如荼地进行中,看到很多人的简历上都包含大模型相关的工作,各家大厂和初创都很舍得给钱,动辄百万年包也变得不再稀奇。 因此在大模型纵横的这个时代,不仅大模型技术越来越卷,就连大模型相关的岗位和面…

零点校准说明

目录 注意,校准时电机不能带负载,否则校准容易出错。 零点校准 点击【零点校准】,显示“校准中…”, 如果是“High Current”类型电机,电机先“嘀”一声测量电阻电感(耗时约5秒),然后再正转一圈…

【实战】Nginx+Lua脚本+Redis 实现自动封禁访问频率过高IP

大家好,我是冰河~~ 自己搭建的网站刚上线,短信接口就被一直攻击,并且攻击者不停变换IP,导致阿里云短信平台上的短信被恶意刷取了几千条,加上最近工作比较忙,就直接在OpenResty上对短信接口做了一些限制&am…

Vivado viterbi decoder license

Viterbi Decoder 打卡以上链接 添加后next后, 会发送lic文件到邮件,vivado导入lic即可

Latex技巧——参考文献中加入url和doi

有的期刊要求在参考文献里加入url或者doi, 例如下图中蓝色的字体。 在bib里编辑为下图中note行,也就是利用\href命令。\href后第一个{}内为网址,第二个{}为在参考文献中显示的蓝色文字。一般来说,两个{}内的文字相同。若遇到有些网址有下划线…

不是哥们,真有人拿 AI 来面试啊?

大家好,我是八哥。如今 AI 已经渗透到了我们的生活、求职、工作等方方面面。就拿求职来说,今年的美团校招,已经用上了 AI 来当面试官,降本增效。 我自己也当过面试官,其实对 AI 面试官还是挺好奇的。毕竟每个候选人的…

UOM无人机空域快速申请技术详解

UOM无人机空域快速申请技术详解主要包括以下几个步骤: 一、准备阶段 1. 实名登记:首先,您需要在相应的民航部门进行无人机的实名登记,这是合法飞行的前提。 2. 了解规定:熟悉并遵守当地关于无人机飞行的法律法规&am…

C语言:预编译过程的剖析

目录 一.预定义符号和#define定义常量 二.#define定义宏 三.宏和函数的对比 四、#和##运算符 五、条件编译 在之前,我们已经介绍了.c文件在运行的过程图解,大的方面要经过两个方面。 一、翻译环境 1.预处理(预编译) 2.编译 3…

SpringBoot在线教育系统:从零到一的构建过程

1系统概述 1.1 研究背景 随着计算机技术的发展以及计算机网络的逐渐普及,互联网成为人们查找信息的重要场所,二十一世纪是信息的时代,所以信息的管理显得特别重要。因此,使用计算机来管理微服务在线教育系统的相关信息成为必然。开…

如何禁止电脑蓝牙?分享五个有效方法,快@企业老板来看! 内行人都在用的方法哦,不妨一试!

在现代办公环境中,电脑蓝牙功能的便捷性无可否认,但随之而来的安全风险也不容忽视。 尤其对于企业而言,蓝牙的开放可能引发数据泄露、未经授权的设备连接等一系列安全问题。 因此,如何有效地禁止电脑蓝牙,成为了许多…

终于有人把多模态大模型讲这么详细了

多模态大型语言模型(Multimodal Large Language Models, MLLM)的出现是建立在大型语言模型(Large Language Models, LLM)和大型视觉模型(Large Vision Models, LVM)领域不…

付费计量系统通用功能(14)

11.18 Function_Object功能目标 11.18.1 Function_Object definition功能目标定义 A Function_Object is an abstract notation of defining the attributes of a function. 功能目标是一个抽象的功能属性的定义 Definition of a function object should stat…

Linux plt表调用汇编代码分析

linux调用共享库中的函数时通过plt表和got表实现位置无关代码,过程中涉及到lazy binding,即在第一调用外部函数时解析被调用的函数地址并将地址写入到got表,后续调用则不需要解析函数地址,具体过程如下 1.c程序如下 #include &l…

基于Node2Vec的图嵌入实现过程

目录 一、引言二、Node2Vec(原理)2.1 随机游走(Random Walk)2.2 嵌入学习2.3 Node2Vec 的优势 三、使用 Node2Vec 进行图嵌入(实践)3.1 读取和转换 JSON 文件为 Graph 对象3.2 训练 Node2Vec 模型3.3 二维嵌…