《Windows PE》4.1.4 手工重构导入表

news/2024/10/8 12:32:07 标签: windows, PE, 汇编, c语言

接下来我们做一个稍微复杂一些的实验,实验需要四个程序:

       HelloWorld.exe:弹出MessageBox窗口(实验1已实现)。

       Regedit.exe:添加注册表启动项。

       LockTray.exe:锁定任务栏窗口。

UnLockTray.exe:解锁任务栏窗口。

       【注】为了减少不必要的麻烦,上述四个程序都使用32位汇编代码实现。

实验二十八:手工重构导入表

       ■实验要求

       ●分别编译实现上述四个实验程序。

       ●Regedit.exe程序的功能是将LockTray.exe添加到注册表启动项中。

       ●手工实现,将Regedit.exe程序的代码、数据、IAT表和导入表添加到HelloWorld.exe程序中,并可以正确运行。

●HelloWorld.exe源码:(略)

●LockTray.exe源码:

       ;------------------------

;Filename:LockTray.asm

;实验28:锁定任务栏

;by:bcdaren

;编写日期:2021.04.26

;========================================================

    .386

    .model flat,stdcall

    option casemap:none

include    windows.inc

include    user32.inc

includelib user32.lib

include    kernel32.inc

includelib kernel32.lib

;数据段

.data

szClassName      db  'Shell_TrayWnd',0

hTray                  dd  ?

;代码段

.code

start:

    invoke FindWindow,addr szClassName,0

    mov hTray,eax

    invoke ShowWindow,hTray,SW_HIDE;SW_SHOW解锁

    invoke EnableWindow,hTray,FALSE

    invoke ExitProcess,NULL

end start

       ●UnLockTray.exe源码:(略)

●Regedit.exe源码:

;------------------------

;Filename:regedit.asm

;实验28:添加注册表启动项

;by:bcdaren

;编写日期:2021.04.26

;========================================================

    .386

    .model flat,stdcall

    option casemap:none

include    windows.inc

include    user32.inc

includelib user32.lib

include    kernel32.inc

includelib kernel32.lib  

include    advapi32.inc

includelib advapi32.lib

;数据段

.data

szSubKey db  'SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run',0

szValueName        db  'NewValue',0

szData                  db  'D:\code\winpe\ch04\LockTray\LockTray.exe',0       ;41个字节

hKey       dd  ?

;代码段

.code

start:

    invoke RegCreateKey,HKEY_LOCAL_MACHINE,addr szSubKey,addr hKey

    invoke RegSetValueExA,hKey,addr szValueName,NULL,REG_SZ,addr szData,41

    invoke RegCloseKey,hKey

    invoke ExitProcess,NULL

end start

●手工重构导入表

第一步:新建一个HelloWorld.exe程序的副本。在WinHex中新建一个空白文件,并将HelloWorld.exe复制到空白文件中。

第二步:定位副本文件中的.data节区,将Regedit.exe程序的.data节区数据写入到副本文件.data节区的结尾处。

00000800   68 65 6C 6C 6F 00 48 65  6C 6C 6F 2C 77 65 6C 63   hello.Hello,welc

00000810   6F 6D 65 20 74 6F 20 50  45 21 00 53 4F 46 54 57   ome to PE!.SOFTW

00000820   41 52 45 5C 57 4F 57 36  34 33 32 4E 6F 64 65 5C   ARE\WOW6432Node\

00000830   4D 69 63 72 6F 73 6F 66  74 5C 57 69 6E 64 6F 77   Microsoft\Window

00000840   73 5C 43 75 72 72 65 6E  74 56 65 72 73 69 6F 6E   s\CurrentVersion

00000850   5C 52 75 6E 00 4E 65 77  56 61 6C 75 65 00 44 3A   \Run.NewValue.D:

00000860   5C 63 6F 64 65 5C 77 69  6E 70 65 5C 63 68 30 34   \code\winpe\ch04

00000870   5C 4C 6F 63 6B 54 72 61  79 5C 4C 6F 63 6B 54 72   \LockTray\LockTr

00000880   61 79 2E 65 78 65 00 00  00 00 00 00 00 00 00 00   ay.exe..........

【注意】下面的步骤中只需要插入advapi32.dll模块中3个注册表函数的IAT、INT、函数名和模块名数据,剔除重复的ExitProcess导入函数数据。

第三步:将Regedit.exe程序的IAT表数据插入到副本文件IAT表的结尾处。

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000600   76 20 00 00 00 00 00 00  5C 20 00 00 00 00 00 00   v ......\ ......

00000610   A6 20 00 00 88 20 00 00  96 20 00 00 00 00 00 00   ?..?..?......

第四步:将Regedit.exe程序的导入表描述符数据插入到副本文件导入表描述符结尾处。

00000620   54 20 00 00 00 00 00 00  00 00 00 00 6A 20 00 00   T ..........j ..

00000630   08 20 00 00 4C 20 00 00  00 00 00 00 00 00 00 00   . ..L ..........

00000640   84 20 00 00 00 20 00 00  54 20 00 00 00 00 00 00   ?... ..T ......

00000650   00 00 00 00 B8 20 00 00  00 20 00 00 00 00 00 00   ....?... ......

第五步:将Regedit.exe程序的INT表数据插入到副本文件INT表的结尾处。

00000670   76 20 00 00 00 00 00 00  5C 20 00 00 00 00 00 00   v ......\ ......

00000680   A6 20 00 00 88 20 00 00  96 20 00 00 00 00 00 00   ?..?..?......

第六步:将Regedit.exe程序的函数名和DLL名数据写入到副本文件函数名和DLL名数据的结尾处。

00000690   B1 01 4D 65 73 73 61 67  65 42 6F 78 41 00 75 73   ?MessageBoxA.us

000006A0   65 72 33 32 2E 64 6C 6C  00 00 9B 00 45 78 69 74   er32.dll..?Exit

000006B0   50 72 6F 63 65 73 73 00  6B 65 72 6E 65 6C 33 32   Process.kernel32

000006C0   2E 64 6C 6C 00 00 B7 01  52 65 67 43 6C 6F 73 65   .dll..?RegClose

000006D0   4B 65 79 00 BA 01 52 65  67 43 72 65 61 74 65 4B   Key.?RegCreateK

000006E0   65 79 41 00 E7 01 52 65  67 53 65 74 56 61 6C 75   eyA.?RegSetValu

000006F0   65 45 78 41 00 00 61 64  76 61 70 69 33 32 2E 64   eExA..advapi32.d

00000700   6C 6C 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ll..............

第七步:删除.rdata节区多余空字节,使.data节区保持00000800H地址不变。修正IAT表、导入表描述符和INT表。

00000600   AA 20 00 00 00 00 00 00  90 20 00 00 00 00 00 00   ?....... ......

00000610   C6 20 00 00 D4 20 00 00  E4 20 00 00 00 00 00 00   ?..?..?......

00000620   70 20 00 00 00 00 00 00  00 00 00 00 B8 20 00 00   p ..........?..

00000630   00 20 00 00 78 20 00 00  00 00 00 00 00 00 00 00   . ..x ..........

00000640   9E 20 00 00 08 20 00 00  80 20 00 00 00 00 00 00   ?... ..€ ......

00000650   00 00 00 00 F6 20 00 00  10 20 00 00 00 00 00 00   ....?... ......

00000660   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00000670   AA 20 00 00 00 00 00 00  90 20 00 00 00 00 00 00   ?....... ......

00000680   C6 20 00 00 D4 20 00 00  E4 20 00 00 00 00 00 00   ?..?..?......

第八步:将Regedit.exe程序的.text节区数据复制到.text节区,并修正参数地址以及FF25跳转地址。

00000400   68 87 30 40 00 68 1B 30  40 00 68 02 00 00 80 E8   h?@.h.0@.h...€?

00000410   52 00 00 00 6A 29 68 5D  30 40 00 6A 01 6A 00 68   R...j)h]0@.j.j.h

00000420   55 30 40 00 FF 35 87 30  40 00 E8 3D 00 00 00 FF   U0@.5?@.?...

00000430   35 87 30 40 00 E8 2B 00  00 00 6A 00 68 00 30 40   5?@.?...j.h.0@

00000440   00 68 06 30 40 00 6A 00  E8 07 00 00 00 6A 00 E8   .h.0@.j.?...j.?

00000450   06 00 00 00 FF 25 08 20  40 00 FF 25 00 20 40 00   ....%. @.%. @.

00000460   FF 25 10 20 40 00 FF 25  14 20 40 00 FF 25 18 20   %. @.%. @.%.

00000470   40 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   @.%. @.........

【注】需要修改灰色背景的字节。

第九步:删除.text节区多余空字节,使.rdata节区起始位置00000600H地址不变。修正数据目录项导入表项的RVA地址为00002020H。

【可选项】可以选择修改的字段包括导入表的大小、IAT表的大小、.text节区的实际大小、.rdata节区的实际大小和.data节区的实际大小。如果不修改上述字段,不影响程序的运行。说明加载PE时不会检查上述字段。

  总结

       实验二十八等于手动将两个程序合并为一个新的程序。也可以理解为在原程序的基础上,手动添加了一个新的功能。

       需要特别注意的是:

       1..rdata节区内的字符串都是ASCII字符串,且偶数字节对齐。

       2..text节区内FF 25跳转到函数地址表的顺序必须与IAT表内的顺序相对应。

       3.IAT表内RVA地址的顺序可以任意排列,但是必须与.text节区内FF 25跳转到函数地址表的顺序一致。

       4.在未绑定的情况下,IAT表和INT表完全一致。

       5.可以增加节区内的数据,但是尽量不要改变节区文件偏移地址的起始位置,并保持512个字节对齐。

       6.手工重构导入表,需要将两个程序的各个节区进行合并。其中较为复杂的就是IAT表和导入表的重构。


http://www.niftyadmin.cn/n/5694128.html

相关文章

用java编写飞机大战

游戏界面使用JFrame和JPanel构建。背景图通过BG类绘制。英雄机和敌机在界面上显示并移动。子弹从英雄机发射并在屏幕上移动。游戏有四种状态:READY、RUNNING、PAUSE、GAMEOVER。状态通过鼠标点击进行切换:点击开始游戏(从READY变为RUNNING&am…

Studying-多线程学习Part1-线程库的基本使用、线程函数中的数据未定义错误、互斥量解决多线程数据共享问题

来源:多线程编程 线程库的基本使用 两个概念: 进程是运行中的程序线程是进程中的进程 串行运行:一次只能取得一个任务并执行这一个任务 并行运行:可以同时通过多进程/多线程的方式取得多个任务,并以多进程或多线程…

黑马JavaWeb开发跟学(十二)SpringBootWeb案例

黑马JavaWeb开发跟学十二.SpringBootWeb案例 案例-登录认证1. 登录功能1.1 需求1.2 接口文档1.3 思路分析1.4 功能开发1.5 测试 2. 登录校验2.1 问题分析2.2 会话技术2.2.1 会话技术介绍2.2.2 会话跟踪方案2.2.2.1 方案一 - Cookie2.2.2.2 方案二 - Session2.2.2.3 方案三 - 令…

【分布式微服务云原生】Redis持久化策略:RDB vs AOF

Redis持久化策略:RDB vs AOF 摘要 本文深入探讨了Redis的两种主要持久化策略:RDB和AOF。我们将分析它们的工作原理、优缺点,并探讨如何在不同的应用场景中选择最合适的持久化策略。此外,文章还将提供Java代码示例和流程图&#…

828华为云征文 | 华为云Flexus X实例在混合云环境中的应用与实践

目录 前言 1. 混合云环境的优势与挑战 1.1 混合云的优势 1.2 混合云的挑战 2. Flexus X实例的配置与集成 2.1 Flexus X实例简介 2.2 Flexus X实例的混合云部署 2.3 配置步骤与措施 3. 数据迁移与同步策略 3.1 数据迁移方案 3.2 数据同步措施 4. 安全性与合规性管理…

性能剖析利器-Conan|得物技术

作者 / 得物技术 - 仁慈的狮子 目录 一、背景 1. 局限性 2. 向前一步 二、原理剖析 1. 系统架构 2. 工作模式 3. reporter 三、稳定性验证 四、案例分析 五、写在最后 一、背景 线上问题的定位与优化是程序员进阶的必经之路,常见的问题定位手段有日志排查、分布式链…

操作系统 | 学习笔记 | 王道 | 3.2 虚拟内存管理

3.2 虚拟内存管理 3.2.1 虚拟内存的基本概念 传统存储管理方式的特征 传统存储管理方式 连续分配 单一连续分配固定分区分配动态分区分配 非连续分配 基本分页存储管理基本分段存储管理基本段页式存储管理 特征: 一次性: 作业必须一次性全部装入内存后…

策略模式和模板模式的区别

目录 一、实现方式 策略模式 模板模式 二、使用场景 三、优点 四、举例 一、实现方式 策略模式 定义策略接口 Strategy创建具体策略类 OperationAdd、OperationSubtract、OperationMultiply创建一个上下文类 Context,包含一个策略对象的引用,并通…