偶然翻了一下手机日历,原来今天是夏至啊,时间过的真快。ISCC的比赛已经持续了2个多月了,我也跟着比赛的那些题目学了2个月.......虽然过程很辛苦,但感觉还是很幸运的,能在大三的时候遇到ISCC,不管怎样,对我来说都会是一个很好的锻炼机会。
在做综合关的逆向破解的题目,遇到了很多蛋疼的问题,磕磕碰碰把《加密与解密》看完了。还是老习惯,把这1个多星期以后学到的,想到的做一个总结,希望能有一个思想上的提高,也希望能对其他人有一个借鉴的效果吧。这里想起lenus大神的一句话:
Hacker的精神里面除了学习(learn)的第一精神以外,还应该是共享(share)的精神。
好,废话不多说,开始吧。
1. 逆向?破解?
一开始接触逆向,我直接是使用的一些加壳脱壳工具,都是鼠标点一下就出来了,这段时间深入了解了逆向的原理之后,我感觉逆向是一个综合性很强的技术,中间还需要windows编程,PE结果,汇编等知识。
对于脱壳,我的理解是:脱壳不意味着它字面上的意思,把外壳直接拿掉,然后就扔掉(像吃水果一样),脱壳本质上是一个高级的crack技术,也就是绕过破解。
这是一张关于壳的图示:
而我们不管用lordPE, procDump, 还是手工脱壳也好,其实本质上就是要改变程序的执行流,让程序跳过头部(实际中不一定是头部,这里只是逻辑上的)的一段壳代码,而直接来到原程序的入口代码处,也就是常说的OEP,那问题就来了,那脱壳就这么简单?
当然不是,我个人感觉,脱壳并不仅仅是改变程序执行流这么简单,因为被加过壳的程序往往IAT,重定位表,节区都被加密,压缩处理过了。如果你直接强行跳转过来,程序也是不能执行的。所以,网上常说的找OEP的原理就在这里。为什么要找OEP呢?其实本质上来说,这并不是最重要的,不要被这些形式上的东西框住了思维,我们从原理上思考,一个程序要运行,无非需要几种东西:
1. 可以执行的机器码
2. IAT
3. 重定位表(DLL)
4. 资源代码(不太重要就是了,因为并不影响逆向的结果)
转换了思维之后,我就豁然开朗了,我们要做的就是找到代码中的某一行,恰好已经全部完成了代码的解压缩和解密,IAT的重写,重定位表的重写,做好这些事后,我们就可以dump下来了,至于是不是OEP其实不是很重要,所谓的找OEP是因为,一般情况下在OEP的时候恰好都满足了上面的条件,而且也比较好找到,所以,OEP是dump的首选,如果你理解了原理,这么做也没有错。
第二点就是:为什么要用ImportREC来重建IAT表呢?它的原理又是什么呢?
这里首先要从加壳的原理说起,不管你是UPX压缩壳,ASProtect,穿山甲加密壳,还是VMP虚拟机壳...基本上来说都会破坏原本的IAT,将原本的IAT移到一个新的节区里面并加密等处理,然后构建自己的IAT表,并修改PE头。为什么要这么做呢?
因为壳必须保证它能调用到自己需要的函数,但是原程序并不能保证这点,所以壳必须自己构造自己的IAT三剑客:
调用LoadLibrary将dll文件映射到调用进程的地址空间中
调用GetModualHandle获得dll模块句柄
调用GetProcAddress获取输入函数的地址
一般壳程序都会构造这三个API,然后重建自己的IAT表,这样壳程序就能保证调用到自己需要的所有winAPI了。
而我们脱壳的是内存中的映像,即使这时候原程序的IAT已经恢复过来了(解压缩,解密),但是位置已经变了,原程序无法直接调用了。而ImportREC的作用就是找到这里API对用RVA,然后在一段空的地方重建这些结构,逆向构造出一个IAT出来,然后修改PE头,完成IAT的修复。明白了原理,自己手工修复IAT也是一样的。
修复重定位表和资源表的原理也是一样的,就不在详述了。
下面,我们通过一个dump实例的编程过程来深刻的理解一个dump的思想。
接下来的程序是我们对看雪上的一篇帖子的学习笔记,是lenus大神的脱壳教程,我这里就当是做一个学习笔记。
一:dump小程序的目标
对于dump来说,他的英文翻译就是“转存”。也就是说把内存中或者其他的输入转存到另一个位置,当然对于我们现在说的dump就是把内存中运行的PE进程的数据,从内存中抓取出来,然后在用文件的形式保存下来。
根据上面的分析我们基本上得到了一个这样的思维。Dump程序要做的事分几个基本的步骤:
1. 在系统中找到目标进程
2. 在进程中确定进程的大小imagesize
3. 把进程中的数据保存到文件
Code:
resource.h
#define ID_FLESH 2
#define IDD_DIALOG1 101
#define ICO_MAIN 103
#define IDC_PROCESS 1028
#define IDC_CORRECT 1033
// Next default values for new objects
//
#ifdef APSTUDIO_INVOKED
#ifndef APSTUDIO_READONLY_SYMBOLS
#define _APS_NEXT_RESOURCE_VALUE 105
#define _APS_NEXT_COMMAND_VALUE 40001
#define _APS_NEXT_CONTROL_VALUE 1034
#define _APS_NEXT_SYMED_VALUE 101
#endif
#endif
#include <windows.h>
#include <tlhelp32.h>
#include "resource.h"
BOOL CALLBACK DlgProc (HWND hDlg, UINT message, WPARAM wParam, LPARAM lParam);
BOOL GetProcessListFunc(HWND hDlg,HWND hWindList); // 列出各个进程的函数,刷新时也用到
LPCTSTR SaveAsFunc(HWND hDlg); //通用对话框函数
BOOL DumpFunc(HWND hDlg,HWND hWindList); // 主要的dump函数,调用其他的小功能函数实现其功能
BOOL CreateDumpFile(HWND hDlg,LPCTSTR Dump_Name,HGLOBAL hMem); //生成dump文件函数,把dump的东西写到磁盘上
HGLOBAL ReadProcess(HWND hDlg,DWORD IDProcess); //读取目标进程空间,放置到本空间申请的堆中
int GetSizeOfImage(HWND hDlg,DWORD IDProcess); // 获取pe文件的SizeOfImage
BOOL CheckPEFunc(HWND hDlg,HANDLE hProcess); //检查pe文件的完整性
BOOL CorrectSizeFunc(HWND hDlg,HWND hWindList); //纠正文件的大小
LPCTSTR GetFilePath(HWND hDlg,DWORD IDProcess);//获取目标exe的绝对路径
BOOL ModifySectionFunc(HWND hDlg,LPCTSTR Dump_Name);//修改文件的节表使其RA=RVA ,RS=RVS
BOOL CopyThePEHead(HWND hDlg,LPCTSTR Dump_Name); //把原来PE文件的头部复制到dump文件中
全局变量/
int sizeoffile=0;
int sizeofimage=0; //当使用了CorrectSizeFunc后这个有了具体数值,就不需要再次获取了
int BaseAddress=0x400000;
DWORD ID=0; //这个是用来控制进程的切换的
///
int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
PSTR szCmdLine, int iCmdShow)
{
DialogBoxParam (hInstance,MAKEINTRESOURCE(IDD_DIALOG1),NULL,DlgProc,(LPARAM)hInstance);
return TRUE;
}
BOOL CALLBACK DlgProc (HWND hDlg, UINT message, WPARAM wParam, LPARAM lParam)
{
static HINSTANCE hInstance;
static HWND hWindList;
switch (message)
{
case WM_CLOSE:
EndDialog (hDlg, 0) ;
return TRUE ;
case WM_INITDIALOG :
hInstance = (HINSTANCE) lParam;
SendMessage(hDlg,WM_SETICON,ICON_BIG,(LPARAM)LoadIcon(hInstance,MAKEINTRESOURCE(ICO_MAIN)));
hWindList = GetDlgItem(hDlg,IDC_PROCESS);
if(!GetProcessListFunc(hDlg,hWindList))
{
MessageBox(hDlg,TEXT("Fail to get the process"),TEXT("Sorry"),MB_OK | MB_ICONSTOP);
EndDialog(hDlg,0);
}
return TRUE ;
case WM_COMMAND :
switch (LOWORD (wParam))
{
case IDOK :
DumpFunc(hDlg,hWindList);
return TRUE ;
case ID_FLESH:
if(!GetProcessListFunc(hDlg,hWindList))
{
MessageBox(hDlg,TEXT("Fail to get the process"),TEXT("Sorry"),MB_OK | MB_ICONSTOP);
EndDialog(hDlg,0);
}
return TRUE;
case IDC_CORRECT:
if(!CorrectSizeFunc(hDlg,hWindList))
MessageBox(hDlg,TEXT("The correct size function is faile..."),TEXT("Fail..."),MB_OK | MB_ICONWARNING);
return TRUE;
}
break ;
}
return FALSE ;
}
BOOL GetProcessListFunc(HWND hDlg,HWND hWindList)
{
//此函数是进程列表的作用,在此不作过多介绍
HANDLE hProcessSnap = NULL;
PROCESSENTRY32 pe32 = {0};
SendMessage(hWindList,LB_RESETCONTENT,0,0);
pe32.dwSize = sizeof(PROCESSENTRY32);
hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hProcessSnap == INVALID_HANDLE_VALUE)
return FALSE;
if (!Process32First(hProcessSnap, &pe32))
{
CloseHandle (hProcessSnap);
return FALSE;
}
do
{
WPARAM tmp=(WPARAM)SendMessage(hWindList,LB_ADDSTRING,0,(LPARAM)pe32.szExeFile);
SendMessage(hWindList,LB_SETITEMDATA,tmp,(LPARAM)pe32.th32ProcessID);
}
while (Process32Next(hProcessSnap, &pe32));
CloseHandle (hProcessSnap);
return TRUE;
}
BOOL DumpFunc(HWND hDlg,HWND hWindList)
{
HGLOBAL hMem;
LPCTSTR Dump_Name=NULL; //感觉有点问题,这个只是指针没有开辟足够的空间。
//从数组(规定好的)到指针(未规定好的)就可以,
//从指针到数组就不可以
WPARAM tmp=(WPARAM)SendMessage(hWindList,LB_GETCURSEL,0,0);
if (tmp==LB_ERR)
{
MessageBox(hDlg,TEXT("Please choose a process..."),TEXT("oh...no,no,no..."),MB_OK);
return FALSE;
}
DWORD IDProcess=SendMessage(hWindList,LB_GETITEMDATA,tmp,0); //获得此列单里面的进程ID
ID=IDProcess;
hMem=ReadProcess(hDlg,IDProcess);
if(hMem) //如果返回的hMen不正确说明没有正确的申请到空间
{
if(sizeoffile!=0) //没有大小的dump 是没有意义的
{
Dump_Name=SaveAsFunc(hDlg); //要保存的文件名
if(Dump_Name) //如果得到的文件名是空就不继续执行
{
CreateDumpFile(hDlg,Dump_Name,hMem); //把数据写入文件中
GlobalFree(hMem); //资源是可贵的,释放空间
}
}
}
return TRUE;
}
LPCTSTR SaveAsFunc(HWND hDlg)
{
//获取你要保存的文件名,默认为dumped.exe
HANDLE hFile;
static char szFileName[MAX_PATH]="dumped";
OPENFILENAME stOF={0};
stOF.hwndOwner=hDlg;
stOF.lStructSize=sizeof(stOF);
stOF.lpstrFilter="*.*";
stOF.lpstrDefExt="exe";
stOF.nMaxFile=MAX_PATH;
stOF.lpstrFile=szFileName;
if(!GetSaveFileName(&stOF))
return FALSE;
char szBuffer[100];
char szMsg[]="%s 已存在。要替换它吗?";
wsprintf(szBuffer,szMsg,szFileName);
hFile=CreateFile(szFileName,GENERIC_READ,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
if(hFile != INVALID_HANDLE_VALUE)
{
if(IDNO==MessageBox(hDlg,szBuffer,TEXT("另存为"),MB_YESNO | MB_ICONWARNING))
{
CloseHandle(hFile);
return FALSE;
}
}
CloseHandle(hFile);
return szFileName;
}
BOOL CreateDumpFile(HWND hDlg,LPCTSTR Dump_Name,HGLOBAL hMem)
{
//创建一个新的dump文件
HANDLE hFile=CreateFile(Dump_Name,GENERIC_WRITE | GENERIC_READ,0,0,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
if(hFile==INVALID_HANDLE_VALUE)
{
MessageBox(hDlg,TEXT("Maybe you have alreadly had a this name file:("),
TEXT("Can't create a file"),MB_OK | MB_ICONWARNING);
GlobalFree(hMem);
return FALSE;
}
int NumberOfBytesWritten;
WriteFile(hFile,hMem,sizeoffile,(LPDWORD)&NumberOfBytesWritten,NULL); //注意这个函数第三个参数是必要的!
CloseHandle(hFile);
if(!CopyThePEHead(hDlg,Dump_Name))
{
//复制PE头
MessageBox(hDlg,TEXT("复制PE头失败了"),TEXT("失败了"),MB_OK | MB_ICONWARNING);
}
if(!ModifySectionFunc(hDlg,Dump_Name))
{
//节表对齐
MessageBox(hDlg,TEXT("修改节表失败了"),TEXT("失败了"),MB_OK | MB_ICONWARNING);
}
MessageBox(hDlg,TEXT("文件已经dump成功"),TEXT("Lenus'ExeDump"),MB_OK | MB_ICONINFORMATION);//胜利的号角!
return TRUE;
}
HGLOBAL ReadProcess(HWND hDlg,DWORD IDProcess)
{
//此函数是读取目标进程的空间,并把他写入到自己内存空间里面的一个内存块中
HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,IDProcess);//使用上面获得的进程id
if(!hProcess)
{
MessageBox(hDlg,TEXT("I can't open the process:("),TEXT("oh my god.."),MB_OK);
return FALSE;
}
if(sizeofimage==0 || ID!=IDProcess)
//当更换当前的进程或者没有使用修正的功能的时候需要重新的获取
//由于不知道在更换选项的时候会发出什么消息,所以只能这么干 so foolish!!
{
sizeofimage=GetSizeOfImage(hDlg,IDProcess);
}
if(!sizeofimage)
{
return FALSE;
}
//为了以防万一,让sizeofimage增加一个文件对齐度。
if(!(sizeofimage%0x1000)) //如果是文件对齐度的整数倍的时候就不处理
sizeoffile=sizeofimage;
else
sizeoffile=(sizeofimage/0x1000+1)*0x1000; //如果不是就增加一个文件对齐度
//申请一个文件空间的内存块
static HGLOBAL hMem=0;
hMem=GlobalAlloc(GMEM_FIXED | GMEM_ZEROINIT,sizeoffile);
if(!hMem)
{
MessageBox(hDlg,TEXT("I think i have enough space to get!:("),TEXT("Wrong!!!"),MB_OK | MB_ICONSTOP);
return FALSE;
}
//将这个pe文件在内存中的大小全部读到申请的块中
DWORD NumberOfBytesReadorWrite;
if(!ReadProcessMemory(hProcess,(LPCVOID)BaseAddress,hMem,sizeofimage,&NumberOfBytesReadorWrite))
{
MessageBox(hDlg,TEXT("I can't read the process:("),TEXT("oh my god.."),MB_OK);
return FALSE;
}
CloseHandle(hProcess); //有开始就,有关闭
Sleep(200); //等待一会
return hMem;
}
int GetSizeOfImage(HWND hDlg,DWORD IDProcess)
{
//这个函数的作用是获取SizeOfImage的数值
//当函数执行失败返回的是0
//成功返回的是非0
HANDLE hModuleSnap = NULL;
MODULEENTRY32 stModE = {0};
stModE.dwSize = sizeof(MODULEENTRY32);
hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,IDProcess); //快照,对本进程中所有的模块进行snap
if (hModuleSnap == INVALID_HANDLE_VALUE)
{
MessageBox(hDlg,TEXT("The Module snapshot can't get!"),TEXT("Error!"),MB_OK | MB_ICONSTOP);
return FALSE; //返回0
}
if (!Module32First(hModuleSnap, &stModE))
{
MessageBox(hDlg,TEXT("The Module32First can't work!"),TEXT("Error!"),MB_OK | MB_ICONSTOP);
CloseHandle (hModuleSnap);
return FALSE;
}
CloseHandle (hModuleSnap);
return stModE.modBaseSize;//初始化为0
}
BOOL CheckPEFunc(HWND hDlg,HANDLE hProcess)
{
//检查pe文件,检查两个标志
//如果不是pe文件那么会迫使GetSizeOfImage直接返回
//下面不是重点,所以不介绍了
int BaseAddress=0x400000;
IMAGE_DOS_HEADER DosHead;
_IMAGE_NT_HEADERS NtHead;
if(!ReadProcessMemory(hProcess,(LPCVOID)BaseAddress,&DosHead.e_magic,2,NULL))
{
MessageBox(hDlg,TEXT("I can't read the IMAGE_DOS_SIGNATURE:("),TEXT("oh my god.."),MB_OK);
return FALSE;
}
if(DosHead.e_magic != IMAGE_DOS_SIGNATURE)
{
return FALSE;
}
if(!ReadProcessMemory(hProcess,(LPCVOID)(BaseAddress+0x3c),&DosHead.e_lfanew,4,NULL))
{
MessageBox(hDlg,TEXT("I can't read the e_lfanew:("),TEXT("oh my god.."),MB_OK);
return FALSE;
}
if(!ReadProcessMemory(hProcess,(LPCVOID)(BaseAddress+DosHead.e_lfanew),&NtHead.Signature,4,NULL))
{
MessageBox(hDlg,TEXT("I can't read the e_lfanew:("),TEXT("oh my god.."),MB_OK);
return FALSE;
}
if(NtHead.Signature != IMAGE_NT_SIGNATURE)
{
return FALSE;
}
return TRUE;
}
BOOL CorrectSizeFunc(HWND hDlg,HWND hWindList)
{
//函数能获取文件的PE头部的SizeOfImage,作为正确的SizeOfImage
LPCTSTR File_Name=NULL;
WPARAM tmp=(WPARAM)SendMessage(hWindList,LB_GETCURSEL,0,0);
if (tmp==LB_ERR)
{
MessageBox(hDlg,TEXT("Please choose a process..."),TEXT("oh...no,no,no..."),MB_OK);
return FALSE;
}
DWORD IDProcess=SendMessage(hWindList,LB_GETITEMDATA,tmp,0); //获得此列单里面的进程ID
ID=IDProcess;//全局变量ID的作用是控制在不同的进程的切换
File_Name=GetFilePath(hDlg,IDProcess);
if(!File_Name)
return FALSE;
//打开文件
HANDLE hFile;
hFile=CreateFile(File_Name,GENERIC_READ,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
if (hFile == INVALID_HANDLE_VALUE )
{
return FALSE ;
}
//创建文件映射内核对象
HANDLE hMapping;
hMapping = CreateFileMapping (hFile, NULL, PAGE_READONLY,0,0,NULL);
if (hMapping == NULL )
{
CloseHandle (hFile ) ;
return FALSE;
}
//创建文件视图
LPVOID ImageBase ;
ImageBase =MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0) ;
if (ImageBase == NULL)
{
CloseHandle (hMapping) ;
return FALSE;
}
//下面的代码就是从文件的PE头找到SizeOfImage的
PIMAGE_DOS_HEADER DosHead = NULL ;
PIMAGE_NT_HEADERS32 pNtHeader = NULL ;
PIMAGE_FILE_HEADER pFileHeader = NULL ;
PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL ;
PIMAGE_SECTION_HEADER pSectionHeader = NULL ;
DosHead=(PIMAGE_DOS_HEADER)ImageBase;
pNtHeader = ( PIMAGE_NT_HEADERS32 ) ((DWORD)ImageBase + DosHead->e_lfanew ) ;
pOptionalHeader = &pNtHeader->OptionalHeader;
sizeofimage=(int)pOptionalHeader->SizeOfImage;
//找到了以后,输出结果
char szBuffer[100];
char szMsg[]="原来的image size是:%08X\n修整的image size是:%08X";
wsprintf(szBuffer,szMsg,GetSizeOfImage(hDlg,IDProcess),sizeofimage);
MessageBox(hDlg,szBuffer,TEXT("纠正结果"),MB_OK );
CloseHandle (hMapping);
CloseHandle (hFile) ;
Sleep(200);
return TRUE;
}
LPCTSTR GetFilePath(HWND hDlg,DWORD IDProcess)
{
//此函数获得目标进程的绝对路径
//如果获取失败返回NULL
HANDLE hModuleSnap = NULL;
MODULEENTRY32 a = {0};
a.dwSize = sizeof(MODULEENTRY32);
hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,IDProcess); //快照,对本进程中所有的模块进行snap
if (hModuleSnap == INVALID_HANDLE_VALUE)
{
MessageBox(hDlg,TEXT("The Module snapshot can't get!"),TEXT("Error!"),MB_OK | MB_ICONSTOP);
return FALSE; //返回0
}
if (!Module32First(hModuleSnap, &a))
{
MessageBox(hDlg,TEXT("The Module32First can't work!"),TEXT("Error!"),MB_OK | MB_ICONSTOP);
CloseHandle (hModuleSnap);
return FALSE;
}
CloseHandle (hModuleSnap);
return a.szExePath;
}
BOOL ModifySectionFunc(HWND hDlg,LPCTSTR Dump_Name)
{
//此函数的将修改dump下来的exe,使其RA=RVA ,RS=RVS
//首先是打开dump文件
HANDLE hFile=CreateFile(Dump_Name,GENERIC_WRITE | GENERIC_READ,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
if(hFile==INVALID_HANDLE_VALUE)
{
MessageBox(hDlg,TEXT("I can open the dump file..."),TEXT("Error!!"),MB_OK | MB_ICONWARNING);
return FALSE;
}
//下面移动到节表前面
IMAGE_DOS_HEADER myDosHeader;
DWORD NumberOfBytesReadorWrite;
ReadFile(hFile,(LPVOID)&myDosHeader,sizeof(IMAGE_DOS_HEADER),&NumberOfBytesReadorWrite,NULL);
SetFilePointer(hFile,myDosHeader.e_lfanew+sizeof(DWORD),NULL,FILE_BEGIN);
IMAGE_FILE_HEADER myNtHeader;
ReadFile(hFile,(LPVOID)&myNtHeader,sizeof(IMAGE_FILE_HEADER),&NumberOfBytesReadorWrite,NULL);
int nSectionCount;
nSectionCount = myNtHeader.NumberOfSections; // 保存Section个数
// 过了IMAGE_NT_HEADERS结构就是IMAGE_SECTION_HEADER结构数组了,注意是结构数组,有几个Section该结构就有几个元素
// 这里动态开辟NumberOfSections个内存来存储不同的Section信息
IMAGE_SECTION_HEADER *pmySectionHeader = (IMAGE_SECTION_HEADER *)calloc(nSectionCount, sizeof(IMAGE_SECTION_HEADER));
SetFilePointer(hFile,myDosHeader.e_lfanew + sizeof(IMAGE_NT_HEADERS),NULL,FILE_BEGIN);
ReadFile(hFile,(LPVOID)pmySectionHeader,sizeof(IMAGE_SECTION_HEADER)*nSectionCount,
&NumberOfBytesReadorWrite,NULL);
//移动回到节表的开始,准备写入
SetFilePointer(hFile,myDosHeader.e_lfanew + sizeof(IMAGE_NT_HEADERS),NULL,FILE_BEGIN);
for (int i = 0; i < nSectionCount; i++, pmySectionHeader++)
{
//将RA=RVA ,RS=RVS
pmySectionHeader->SizeOfRawData=pmySectionHeader->Misc.VirtualSize;
pmySectionHeader->PointerToRawData=pmySectionHeader->VirtualAddress;
//将修改好的数值写回
WriteFile(hFile,(LPVOID)pmySectionHeader,sizeof(IMAGE_SECTION_HEADER),&NumberOfBytesReadorWrite,NULL);
}
// 恢复指针
pmySectionHeader -=nSectionCount;
if (pmySectionHeader != NULL) // 释放内存
{
free(pmySectionHeader);
pmySectionHeader = NULL;
}
// 最后不要忘记关闭文件
CloseHandle(hFile);
return TRUE;
}
BOOL CopyThePEHead(HWND hDlg,LPCTSTR Dump_Name)
{
//此函数的作用是将原来PE文件的PE头部完整的copy到dump文件中
HANDLE hFile=CreateFile(GetFilePath(hDlg,ID),GENERIC_READ,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
if(hFile==INVALID_HANDLE_VALUE)
{
MessageBox(hDlg,TEXT("I can open the object file..."),TEXT("Error!!"),MB_OK | MB_ICONWARNING);
return FALSE;
}
//下面移动到节表前面
IMAGE_DOS_HEADER myDosHeader;
DWORD NumberOfBytesReadorWrite;
ReadFile(hFile,(LPVOID)&myDosHeader,sizeof(IMAGE_DOS_HEADER),&NumberOfBytesReadorWrite,NULL);
SetFilePointer(hFile,myDosHeader.e_lfanew+sizeof(DWORD),NULL,FILE_BEGIN);
IMAGE_FILE_HEADER myNtHeader;
ReadFile(hFile,(LPVOID)&myNtHeader,sizeof(IMAGE_FILE_HEADER),&NumberOfBytesReadorWrite,NULL);
IMAGE_SECTION_HEADER mySectionHeader;
SetFilePointer(hFile,myDosHeader.e_lfanew + sizeof(IMAGE_NT_HEADERS),NULL,FILE_BEGIN);
ReadFile(hFile,(LPVOID)&mySectionHeader,sizeof(IMAGE_SECTION_HEADER),&NumberOfBytesReadorWrite,NULL);
SetFilePointer(hFile,NULL,NULL,FILE_BEGIN);
HGLOBAL hMem=0;
//读出节表的第一个文件位置,以确PE头的大小
//申请同样大小的空间
hMem=GlobalAlloc(GMEM_FIXED | GMEM_ZEROINIT,mySectionHeader.PointerToRawData);
if(!hMem)
{
MessageBox(hDlg,TEXT("I can't get the Memory space!"),TEXT("Error!!!"),MB_OK | MB_ICONSTOP);
return FALSE;
}
//将文件中的PE头部读取到申请的空间中
ReadFile(hFile,hMem,mySectionHeader.PointerToRawData,&NumberOfBytesReadorWrite,NULL);
CloseHandle(hFile);
//上面是读///
//下面是写///
hFile=CreateFile(Dump_Name,GENERIC_WRITE,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
if(hFile==INVALID_HANDLE_VALUE)
{
MessageBox(hDlg,TEXT("I can open the dump file..."),TEXT("Error!!"),MB_OK | MB_ICONWARNING);
return FALSE;
}
//下面是将空间中的数据写到dump文件的头部
WriteFile(hFile,hMem,mySectionHeader.PointerToRawData,&NumberOfBytesReadorWrite,NULL);
CloseHandle(hFile);
GlobalFree(hMem);
return TRUE;
}
这里:
1. 获取当前进程列表使用的是:CreateToolhelp32Snapshot,Process32First, Process32Next 这三个函数,即创建一个进程快照,然后遍历它,之前做ring3的进程注入的时候用的也是这个技术,原理不是很难理解,本质上就是一个链表的操作。
2. 在进程中确定进程的大小imagesize 使用的是从磁盘的文件PE头中读取SizeOfImage这个字段来获取。这里就有一个很有趣的知识点了,我们先从原始的方法开始讲。
2.1 用ReadProcessMemory函数从从当前内存的进程映像工具PE格式的偏移获取到SizeOfImage的值的,这种方法不太可靠,要是加壳程序修改了映像中的PE头信息,就要出错了。
2.2 LordPE使用的方法,采用了对Module32Next来获取dump的进程的基本信息的。
BOOL WINAPI Module32First(
HANDLE hSnapshot, //这是先前的CreateToolhelp32Snapshot函数返回的快照
LPMODULEENTRY32 lpme //这个是指向MODULEENTRY32结构的指针
);
下面是MUDULEENTRY32结构:
typedef struct tagMODULEENTRY32 {
DWORD dwSize;
DWORD th32ModuleID;
DWORD th32ProcessID;
DWORD GlblcntUsage;
DWORD ProccntUsage;
BYTE *modBaseAddr;
DWORD modBaseSize; //这个是是我们要获取的关键
HMODULE hModule;
TCHAR szModule[MAX_PATH];
TCHAR szExePath[MAX_PATH];
DWORD dwFlags;
} MODULEENTRY32, *PMODULEENTRY32, *LPMODULEENTRY32;
这种方法会受到anti-dump技术的影响。
因为MUDULEENTRY32是从内核中PEB(进程环境块)获取的数据。
下面是PEB的结构。
struct _PEB (sizeof=488)
+000 byte InheritedAddressSpace
+001 byte ReadImageFileExecOptions
+002 byte BeingDebugged
+003 byte SpareBool
+004 void *Mutant
+008 void *ImageBaseAddress
+00c struct _PEB_LDR_DATA *Ldr
+010 struct _RTL_USER_PROCESS_PARAMETERS *ProcessParameters
+014 void *SubSystemData
+018 void *ProcessHeap
+01c void *FastPebLock
+020 void *FastPebLockRoutine
+024 void *FastPebUnlockRoutine
+028 uint32 EnvironmentUpdateCount
+02c void *KernelCallbackTable
+030 uint32 SystemReserved[2]
+038 struct _PEB_FREE_BLOCK *FreeList
+03c uint32 TlsExpansionCounter
+040 void *TlsBitmap
+044 uint32 TlsBitmapBits[2]
+04c void *ReadOnlySharedMemoryBase
+050 void *ReadOnlySharedMemoryHeap
+054 void **ReadOnlyStaticServerData
+058 void *AnsiCodePageData
+05c void *OemCodePageData
+060 void *UnicodeCaseTableData
+064 uint32 NumberOfProcessors
+068 uint32 NtGlobalFlag
+070 union _LARGE_INTEGER CriticalSectionTimeout
+070 uint32 LowPart
+074 int32 HighPart
+070 struct __unnamed3 u
+070 uint32 LowPart
+074 int32 HighPart
+070 int64 QuadPart
+078 uint32 HeapSegmentReserve
+07c uint32 HeapSegmentCommit
+080 uint32 HeapDeCommitTotalFreeThreshold
+084 uint32 HeapDeCommitFreeBlockThreshold
+088 uint32 NumberOfHeaps
+08c uint32 MaximumNumberOfHeaps
+090 void **ProcessHeaps
+094 void *GdiSharedHandleTable
+098 void *ProcessStarterHelper
+09c uint32 GdiDCAttributeList
+0a0 void *LoaderLock
+0a4 uint32 OSMajorVersion
+0a8 uint32 OSMinorVersion
+0ac uint16 OSBuildNumber
+0ae uint16 OSCSDVersion
+0b0 uint32 OSPlatformId
+0b4 uint32 ImageSubsystem
+0b8 uint32 ImageSubsystemMajorVersion
+0bc uint32 ImageSubsystemMinorVersion
+0c0 uint32 ImageProcessAffinityMask
+0c4 uint32 GdiHandleBuffer[34]
+14c function *PostProcessInitRoutine
+150 void *TlsExpansionBitmap
+154 uint32 TlsExpansionBitmapBits[32]
+1d4 uint32 SessionId
+1d8 void *AppCompatInfo
+1dc struct _UNICODE_STRING CSDVersion
+1dc uint16 Length
+1de uint16 MaximumLength
+1e0 uint16 *Buffer
我们从FS:[30]就可以获得这个PEB的首地址。然后在0C处的_PEB_LDR_DATA *Ldr是一个关键通过它,我们能访问到
typedef struct _PEB_LDR_DATA {
ULONG Length;
BOOLEAN Initialized;
PVOID SsHandle;
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;
该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针,分别是按照加载顺序、在内存中的地址顺序和初始化顺序排列的模块信息结构的指针。于是通过它,我们能访问到_LDR_MODULE结构,而这里面包括了本进程的SizeOfImage。
_LDR_MODULE结构如下:
typedef struct _LDR_MODULE {
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
PVOID BaseAddress;
PVOID EntryPoint;
ULONG SizeOfImage; //进程的image size
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
SHORT LoadCount;
SHORT TlsIndex;
LIST_ENTRY HashTableEntry;
ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;
所以,我们得到关键的代码就是:
//这里的几个代码是修改PEB的关键
__asm
{
mov eax,fs:[30h] //获得PEB地址
mov eax,[eax+0ch] // +00c struct _PEB_LDR_DATA *Ldr
mov eax,[eax+0ch] // _LDR_MODULE的首地址
mov dword ptr [eax+20h],1000h //eax+20是保存image size的地方
}
上面的代码的作用就是把image size的大小改为了1000h,这样我们用MODULEENTRY32得到的大小是不准确的。
2.3 针对上面的问题,必须使用LordPE的corect image size 技术了,它的原理很简单,就是从磁盘PE文件头中读取真实的image size来修正获取到的数据,从而避免了anti-dump的影响,当然,anti-dump技术还有很多,不止这一种,我也要慢慢去摸索。
3. 对齐节表问题
学过PE结构的朋友都指导,FileAlignment(磁盘对齐值)和SectionAlignment(内存对齐值)是不一样的。
FileAlignment:0x200h
SectionAlignment:0x1000h
在PE加载器加载文件映像的时候,就会在对齐值之间的差值中填0,当然我们dump的时候连着这些0也一并dump下来了。这也就是为什么脱壳的程序普遍都比源程序大很多的原理(当然实际情况不止这些,IAT重建也会造成大小扩大)。
另外,还造成了一个问题,就是 RA!=RVA ,RS!=RVS的问题:
因为我们是从内从中直接dump出来的数据,所以这时正常的情况应该是RA=RVA ,RS=RVS,这里可以手动修改,或者编程实现即可,原理上之前学PE的时候写的PEInfo差不多,主要考察的PE结构的知识。
这是修改后的。
到这里,dump就完成了,还差IAT没修复。
可以采取手工的方法在文件中找一块空位,逆向的重构IAT,在修改PE头。
或者用ImportREC来自动修复。
修复完成后,脱壳成功,至此,一个简单的脱壳工具就出来了。
这个学习笔记就当这段时间学习逆向脱壳的总结了,留下了几个问题没解决:
1. DLL脱壳后的重定位问题
2. VMP虚拟机壳寻找OEP问题。
留待以后解决了.............
信安的路果然还很长,希望以后能继续多多学习,思考,总结,分享,向看雪上那些大神看齐。
下一阶段准备研究一些缓冲区溢出的内核的知识点,继续看《0DAY》。离ISCC结束还有10天,继续加油啦,暑假一定要到北京ISCC决赛去。
-------------------------------分割线-----------------------
不知道怎么结尾,就这样了吧, 跑步去。
方法与示例)
方法与示例)
方法与示例)
方法与示例)
 英文版 第一感觉)
