浅析Pe2shellcode

编者注：本文仅供学习研究，严禁从事非法活动，任何后果由使用者本人负责。

前言

众所周知，对shellcode免杀是很流行的技术，但是直接对exe的免杀方法相对稀缺，如果我们能将exe转为shellcode，然后用shellcode免杀那一套就会简单许多。所以shellcode转exe是一个很值得研究的课题。下面我将大概讲解一下pe2shellcode这个开源项目的思路。

Github项目地：

https://github.com/hasherezade/pe_to_shellcode。

代码分析

我们先看看它的项目结构，主要模块有Injector、Runshc、pe2shr。

1 Injector

该文件夹下存在一个main.cpp。

这是一个简单的远程shellcode注入的代码，用于将我们的恶意代码注入到其它进程。

关于进程注入这里就不赘述了。

2 Runshc

主文件main.cpp。

这是个最基本shellcode加载器，可以看出来Injector和Runshc都是给PE转成shellcode之后测试用的，测试shellcode是否能成功运行。

然后就是libpeconv。

这个工具也是非常经典，拿来用和学习pe结构都特别好(https://github.com/hasherezade/libpeconv)，这个工具可以用来处理解析PE文件，可以用以替代windows的Createprocess制作Runshc和pe2shr。很巧的是，pe2shr里面的stub.bin是作者用汇编实现的一个简易版的libpeconv。

3 pe2shr

然后就是文章主角pe2shc，利用了stub32.bin、stub64.bin和main.cpp。

stub32.bin和stub64.bin是一个作者用汇编写的一个peloader。

接着打开main.cpp看看作者怎么实现的pe2shellcode。

前面就是对参数的处理，比如获取需要处理的原生pe路径，设置输出的shellcode路径，然后就是步入is_supporte_pe函数。

可以看到有三点：

1、必须要有重定位表

2、不能是控制台应用程序

3、不能是.net程序，.net的pe结构不同之处在于pe头中的IMAGE_OPTIONAL_HEARDER：这个结构中的数据目录DataDirectory包括了映像文件中的CLR头的RVA和大小。而stub并没有处理.net形式PE的代码。

其实除了作者在代码里列出的三种pe无法执行之外，有些有tls表的pe以及某些使用了延迟重定位表的pe也是转换不了的(或者说转换了也运行不了)，因为作者的stub并没有对这些表处理，后面讲到stub的时候就可以发现了。

接下来将原生pe加载进内存处理后再将更改后的shellcode另存为(或者叫它pe?)。

关键是处理这一步：shellcodeify函数。

可以看到大致逻辑是判断pe位数后获取资源里的资源段，这个资源段是pe2shc.exe里本身的资源，且x64和x86各有一套。

RCData里有存储着stub，resourceID 101是32位的stub，102是64位的stub。

这个stub其实就是作者用汇编写的一段PEloader，后面会详细讲。

接下来分析overwrite_hdr这个函数。

Raw是原生pe的大小，将最后调用的eax赋值成ImageBase+sizeof(原生pe)，让eip跳到尾部的stub执行。

这里可以看到有一个redir_code，这个redir_code是用来覆盖原生pe头的，个人认为这个redir_code涉及的十分巧妙，我们来分析一下32位的redir_code。

redir_code32[] = "\x4D" //dec ebp   ‘M’"\x5A" //pop edx ’Z‘"\x45" //inc ebp   消除 dec ebp的影响"\x52" //push edx 消除pop edx 的影响"\xE8\x00\x00\x00\x00" //短call 下一条指令"\x58" // pop eax  把这条指令地址弹到eax"\x83\xE8\x09" // sub eax,9     eax-9指向的就是imageBase也就是加载进内存中pe的基址"\x50" // push eax (Image Base)  将eax压到栈顶"\x05" // add eax,   把shellcode地址放到eax当中   eax+ 原生PE的buffer大小就是shellcode的地址"\x59\x04\x00\x00" // value"\xFF\xD0" // call eax    将下一条指令压栈"\xc3"; // ret                       == // pop eip  又回到最初的起点

\x4D\x5A对应的是PE文件的魔术字段“MZ”，作者将MZ当成指令处理，CreateProcess底层函数MiVerifyImageHeader检测到文件没有某些字段便会抛出异常不去执行，这些字段就包括魔术字段，也就是说，作者很巧妙地让转成shellcode的文件仍然能当作正常的PE文件运行，这种手法让我想到了0x0C0C0C0C，既可以是地址也可以是opcode。

MZ字符当成指令在msf的stager里也用到过。

msf里是为了防止发生Bootstrap直接写入PE头部而导致破坏dos头的情况，这里就不作赘述了。

下图是windows针对PE头的必检字段。

有些安全研究员会更改这些非必检字段制作畸形pe，一旦edr或者杀软的校验逻辑与windows不一致，那就很可能将其当成非可执行文件从而达到绕过检测的目的，但并不会影响其在windows上的正常运行。

"\x45" //inc ebp
"\x52" //push edx

接着这两条指令是为了平衡“M”，“Z”作为指令造成的影响，插在e_cblp上。

"\xE8\x00\x00\x00\x00" //call <next_line
"\x58" // pop eax

然后是call 0，意思是call 下一条指令的地址，也就是call pop eax的地址。

pop eax 把该指令地址弹到eax里。

"\x83\xE8\x09" // sub eax,9
"\x50" // push eax (Image Base)

sub eax ,9 就是让eax指向imageBase，把eax压栈。

"\x05" // add eax,
"\x59\x04\x00\x00" // value

前面讲过是将eax赋值成尾部stub的地址。

我们拿mimikatz_x86转shellcode进行验证。

010editor打开 mimi86.exe，可以看到rdi_code覆盖了原生pe头，而"\x59\x04\x00\x00"也变成了\x00\x80\x09\x00。

转到该地址，发现这确实是stu32.bin。

"\xFF\xD0" // call eax
"\xc3"; // ret

接着最后两条指令跳到stub执行，然后ret 回到原来的地方。

stub32.bin

接着我们看一下stub32.bin，由于篇幅问题，我就不一个指令一个指令分析了。

可以看到asm文件包含了一个inc文件。

Inc文件里把一些固定值用伪指令equ对应起来。

像PAGE_EXECUTE_READWRITE equ 40h、lfanew equ 3ch，增强了代码的可读性

1 获取kernel32地址

我们看看第一段。

很经典的shellcode写法，fs\gs寄存器寻找PEB基址，通过PEB找到ldr链，然后ldr链里存放着dll名称和地址，hldr_begin的功能就是寻找kernel32.dll的地址。

2 获取导出函数地址

获取IMAGE_DIRECTORY_ENTRY_EXPORT地址->从IMAGE_DIRECTORY_ENTRY_EXPORT获取函数名地址(edAddressOfNames)->根据RVA在AddressOfNames表中的排序序号，获取AddressOfNameOrdinals表中相同排序序号的值->获取函数地址(edAddressOfFunctions)。

本质上实现了一个GetProAddress的功能。如下是转成C语言之后的代码。

DWORD GetFuncAddress() {DWORD dwProcAddress = 0;PIMAGE_DOS_HEADER pDosHdr = (PIMAGE_DOS_HEADER)hModule;PIMAGE_NT_HEADERS pNtHdr = (PIMAGE_NT_HEADERS)((DWORD)pDosHdr + pDosHdr->e_lfanew);PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pDosHdr + pNtHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);PDWORD pAddressOfFunc = (PDWORD)((DWORD)hModule + pImageExportDirectory->AddressOfFunctions);PDWORD pAddressOfName = (PDWORD)((DWORD)hModule + pImageExportDirectory->AddressOfNames);PWORD pAddressOfNameOrdinal = (PWORD)((DWORD)hModule + pImageExportDirectory->AddressOfNameOrdinals);if ((DWORD)lpProcName & 0xFFFF0000){DWORD dwSize = pImageExportDirectory->NumberOfNames;for (DWORD i = 0; i < dwSize; i++){DWORD dwAddrssOfName = (DWORD)hModule + pAddressOfName[i];int nRet = strcmp(lpProcName, (char*)dwAddrssOfName);if (nRet == 0){WORD wHint = pAddressOfNameOrdinal[i];dwProcAddress = (DWORD)hModule + pAddressOfFunc[wHint];return dwProcAddress;}}dwProcAddress = 0;}else{DWORD nId = (DWORD)lpProcName - pImageExportDirectory->Base;dwProcAddress = (DWORD)hModule + pAddressOfFunc[nId];}return dwProcAddress;
}

3 处理导入表

循环遍历DLL导入表中的DLL及获取导入表中的函数地址-> 获取导入表中DLL的名称并加载DLL->判断是否加载了dll没有的话则加载之->获取OriginalFirstThunk以及对应的导入函数名称表首地址->获取FirstThunk以及对应的导入函数地址表首地址-> 判断导出函数是序号导出还是函数名称导出->获取函数地址。

转成C大概就是这样：

ImportTable()
{PIMAGE_DOS_HEADER DosAddr = (PIMAGE_DOS_HEADER)BaseAddr;PIMAGE_NT_HEADERS NtAddr = (PIMAGE_NT_HEADERS)(BaseAddr + DosAddr->e_lfanew);PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)DosAddr +NtAddr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);char* DllName = NULL;HMODULE DllAddr = NULL;PIMAGE_THUNK_DATA lpImportNameArray = NULL;PIMAGE_IMPORT_BY_NAME lpImportByName = NULL;PIMAGE_THUNK_DATA lpImportFuncAddrArray = NULL;FARPROC FuncAddress = NULL;DWORD i = 0;while (TRUE){if (0 == pImportTable->OriginalFirstThunk){break;}DllName = (char*)((DWORD)DosAddr + pImportTable->Name);DllAddr = GetModuleHandleA(DllName);
if (NULL == hDll)
{hDll = LoadLibraryA(DllName);if (NULL == hDll){pImportTable++;continue;}
}i = 0;lpImportNameArray = (PIMAGE_THUNK_DATA)((DWORD)DosAddr + pImportTable->OriginalFirstThunk);lpImportFuncAddrArray = (PIMAGE_THUNK_DATA)((DWORD)DosAddr + pImportTable->FirstThunk);while (TRUE){if (0 == lpImportNameArray[i].u1.AddressOfData){break;}lpImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)DosAddr + lpImportNameArray[i].u1.AddressOfData);if (0x80000000 & lpImportNameArray[i].u1.Ordinal){FuncAddress = GetProcAddress(DllAddr, (LPCSTR)(lpImportNameArray[i].u1.Ordinal & 0x0000FFFF));}else{FuncAddress = GetProcAddress(DllAddr, (LPCSTR)lpImportByName->Name);}lpImportFuncAddrArray[i].u1.Function = (DWORD)FuncAddress;i++;}pImportTable++;}return TRUE;
}

4 处理重定位

获取IMAGE_DIRECTORY_ENTRY_RELOC地址->计算需要修正的重定位项（地址）的数目(reSizeofBlock)->计算需要修正的重定位项的地址->把移动的距离在原地址加上去->转到下一个节进行处理直到所有节处理完毕。

转成C就是这样：

ProcessRelocation()
{
PIMAGE_DOS_HEADER DosAddr = (PIMAGE_DOS_HEADER)BaseAddr;
PIMAGE_NT_HEADERS NtAddr = (PIMAGE_NT_HEADERS)(BaseAddr + DosAddr->e_lfanew);
PIMAGE_BASE_RELOCATION LocAddr = (PIMAGE_BASE_RELOCATION)(BaseAddr + NtAddr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
while ((LocAddr->VirtualAddress + LocAddr->SizeOfBlock) != 0)
{
WORD* LocAddrData = (WORD*)((PBYTE)LocAddr + sizeof(IMAGE_BASE_RELOCATION));
int NumberOfReloc = (LocAddr->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);
int i;
for (i = 0; i < NumberOfReloc; i++)
{
if ((DWORD)(LocAddrData[i] >> 12)==3)
{
DWORD* pAddress = (DWORD*)((PBYTE)DosAddr + LocAddr->VirtualAddress + (LocAddrData[i] & 0x0FFF));
DWORD dwDelta = (DWORD)DosAddr - NtAddr->OptionalHeader.ImageBase;
*pAddress += dwDelta;
}
}
LocAddr = (PIMAGE_BASE_RELOCATION)((PBYTE)LocAddr + LocAddr->SizeOfBlock);
}

5 跳到OPE执行

bool GetEntry()
{PIMAGE_DOS_HEADER DosAddr = (PIMAGE_DOS_HEADER)BaseAddress;PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(BaseAddress + DosAddr->e_lfanew);char* Entry = (char*)(BaseAddress + pNt->OptionalHeader.AddressOfEntryPoint);((void(*)())ExeEntry();return TRUE;
}

可以看到stub32.bin其实就是一个PEloader。

总结

pe2shellcode并不是真正意义上的将pe文件转成shellcode，它其实更像个加壳器，利用尾部的“peloader”加载头部的原生pe，并且让转换后的pe仍然是个合法的pe。