[求助]帮忙看看这段重定位代码有没有问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]帮忙看看这段重定位代码有没有问题

发表于: 2010-3-1 21:57 3307

[求助]帮忙看看这段重定位代码有没有问题

skypismire 活跃值

2010-3-1 21:57

3307

正在写一个所有加载模块inlinehook检测的小程序,原理很简单,比较内存映象与原始文件的差异,网上的代码要邀请码,只好自己写写练练手
用下面的代码来重定位三类文件dll,exe,sys,但在处理某些文件时总感觉漏掉了一些重定位,偶暂时发现不了,借各位慧眼一用,哈哈

		InitializeObjectAttributes (
			&oa,
			&uFullPath,
			OBJ_CASE_INSENSITIVE,
			NULL,
			NULL
			);
		status = ZwOpenFile(
			&hFile,
			FILE_READ_ACCESS,
			&oa,
			&IoStatusBlock,
			FILE_SHARE_READ,
			FILE_SYNCHRONOUS_IO_NONALERT
        );
		if (!NT_SUCCESS(status))
		{
			KdPrint (("OpenFile error: %s\n", image));
			goto Error;

		}
		oa.ObjectName = NULL;
		status =  ZwCreateSection(
			&hSection,
			SECTION_MAP_EXECUTE,
			&oa,
			0,
			PAGE_EXECUTE,
			SEC_IMAGE,
			hFile
			);
		if (!NT_SUCCESS(status))
		{
			
			KdPrint (("CreateSection Error: %s", image));
			goto Error;

		}
		size = 0;
		status =  ZwMapViewOfSection(
			hSection,
			NtCurrentProcess(),
			&BaseAddress,
			0, 
			1000, 
			0, 
			&size, 
			(SECTION_INHERIT)1, 
			MEM_TOP_DOWN, 
			PAGE_READWRITE
			);
		if (!NT_SUCCESS(status))
		{
			KdPrint (("MapViewSection Error: %s", image));
			goto Error;

		}
		

		mBase = ExAllocatePool (NonPagedPool, size);
		if (NULL == mBase)
		{	
			goto Error;
		}

		RtlCopyMemory (mBase, BaseAddress, size);		
		
		DosHead = (PIMAGE_DOS_HEADER)mBase;
		NtHeads = (PIMAGE_NT_HEADERS)((ULONG)DosHead + DosHead->e_lfanew);
		RelocDir = (PIMAGE_BASE_RELOCATION)((ULONG)mBase + NtHeads->OptionalHeader.DataDirectory[5].VirtualAddress);
		if (RelocDir != NULL)
		{
			FixAddrBase = RelocDir->VirtualAddress + (ULONG)mBase;
			RelocSize = (RelocDir->SizeOfBlock - 8)/2;
			for ( i = 0; i < RelocSize; i++)
			{
				Temp = *(PUSHORT)((ULONG)RelocDir + sizeof (IMAGE_BASE_RELOCATION) + i * 2);
				if ( (Temp & 0xF000) == 0x3000)
				{
					Temp &= 0x0FFF;
					FixAddr = FixAddrBase + (ULONG)Temp;
					*(PULONG)FixAddr = *(PULONG)FixAddr + (ULONG)kBase - (ULONG)BaseAddress;
				}
			}
			RelocDir = (ULONG)RelocDir + RelocDir->SizeOfBlock;

			while (RelocDir->VirtualAddress != 0)
			{
				FixAddrBase = RelocDir->VirtualAddress + (ULONG)mBase;
				RelocSize = (RelocDir->SizeOfBlock - 8)/2;
				for ( i = 0; i < RelocSize; i++)
				{
					Temp = *(PUSHORT)((ULONG)RelocDir + sizeof (IMAGE_BASE_RELOCATION) + i * 2);
					if ( (Temp & 0xF000) == 0x3000)
					{
						Temp &= 0x0FFF;
						FixAddr = FixAddrBase + (ULONG)Temp;
						*(PULONG)FixAddr = *(PULONG)FixAddr + (ULONG)kBase - (ULONG)BaseAddress;
					}
				}
				RelocDir = (ULONG)RelocDir + RelocDir->SizeOfBlock;
			}
		}

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (1)
skypismire 雪币： 75 活跃值： (623) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 2 楼高估zwmapviewofsection的能力了,简单了 2010-3-3 16:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

skypismire

发帖

703

回帖

RANK

关注

私信

他的文章

[原创]一种利用windows Virtualization-based security机制防范游戏外挂的方法 4869

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
skypismire 雪币： 75 活跃值： (623) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 2 楼高估zwmapviewofsection的能力了,简单了 2010-3-3 16:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复