导入表想增加一个DLL，实现程序启动时加载自己的DLL-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
xie风腾雪币： 12291 活跃值： (5043) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 2 楼偶也想这们加载DLL 2015-1-29 22:03 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 3 楼试问有Dll 无 function 怎么自启动？除非动态引用, 2015-1-29 23:04 0
ganboing 雪币： 200 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 165 粉丝 1 关注私信	ganboing 1 4 楼图呢？？？ 2015-1-29 23:04 0
神游雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	神游 5 楼图好像还在审核 2015-1-30 08:12 0
神游雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	神游 6 楼 DLL有到出函数的。在没有的情况会说定位不到XXX函数。图还没审核 2015-1-30 08:13 0
Carlton 雪币： 10 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	Carlton 7 楼等图出来在来看 2015-1-30 08:53 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 8 楼能够发帖，图应该不需要审核，是你编辑帖子的问题。报“0xC0000005: Access Violation”错，这是内存访问的问题，说明你有地方改得不对。由于看不到图，只能从你的描述猜测。 1.找一片连续为0代码地址，将已有的导入表COPY过去。 2.增加一个IMAGE_IMPORT_DESCRIPTOR结构，并填写数据。情况如下图 3.修改程序导入表地址，和大小字段这样看来，可能是IMAGE_IMPORT_DESCRIPTOR的内容有问题！ [FONT="Courier"]typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA) }; DWORD TimeDateStamp; // 0 if not bound, // -1 if bound, and real date\time stamp // in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND) // O.W. date/time stamp of DLL bound to (Old BIND) DWORD ForwarderChain; // -1 if no forwarders DWORD Name; DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses) } IMAGE_IMPORT_DESCRIPTOR; typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED PIMAGE_IMPORT_DESCRIPTOR;[/FONT] 其中，Name和FirstThunk两个字段必填。 Name：一个RVA指针，指向导入lib名。比如你的情况为指向"mydll.dl\0"。 FirstThunk：一个RVA指针，指向IMAGE_THUNK_DATA32/IMAGE_THUNK_DATA64链表。表以一个NULL结束。 [FONT="Courier"]typedef struct _IMAGE_THUNK_DATA32 { union { PBYTE ForwarderString; PDWORD Function; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; } u1; } IMAGE_THUNK_DATA32; typedef IMAGE_THUNK_DATA32 PIMAGE_THUNK_DATA32;[/FONT] 这里最常见的两种导入方式：by Ordinal或by Name。如果是"by Ordinal"，就填你导入函数的Ordinal。如果是"by Name"，又是一个RVA指针，指向IMAGE_IMPORT_BY_NAME。 [FONT="Courier"]typedef struct _IMAGE_IMPORT_BY_NAME { WORD Hint; BYTE Name[1]; } IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;[/FONT] 其中Name必填，指向你的导入函数名，比如"MyFunction1\0"。 PS：DLL不一定非得有导出函数，DllEntry总归是有的。有人会把DllEntry也当作一个导出函数。也就是说，当这个DLL载入时，该做的事情在DllEntry里去完成。也许有函数在DLL里，你在DLL的Exports里没有列出来，这时需要硬编码：得到你DLL的载入基址后，加上你导出函数的RVA，再Call过去。 DLL在卸载时，DllEntry会被再调用一次，给你一个Cleanup的机会。在作系统DLL Hook的时候，你得“继承”原DLL的所有导出项，选其中一个或几个导出函数作为Monitor，在时机成熟时再做Patching，比如一个加了壳的目标解压缩完成后。 2015-1-30 10:12 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 9 楼给你个简单的思路，改导出模块名称，你的DLL导出函数和原导出函数一致并将调用转发到原来真正的DLL即可 2015-1-30 10:34 0
Carlton 雪币： 10 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	Carlton 10 楼 8楼讲的非常详细学习了！ 2015-1-30 11:25 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 11 楼看到图了。 FirstThunk指向IMAGE_THUNK_DATA32的链表，少个结束NULL！ 1) 最简单，这样改： [FONT=Courier]00000360: 68 03 00 00.00 00 00 00.00 00 6D 79.66 75 6E 00 ..........myfun.[/FONT] 因为位置不够，函数名由"myfunc"缩短为"myfun"，重新编译MyDll.dll。 2) 不重新编译。00000370的库名向下挪一行，调整相应指针。 2015-1-30 12:17 0
神游雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	神游 12 楼问题最终得到了解决，在导入表所在节添加可写入属性，猜测原因是程序初始化的时候会往IAT填写（导入函数真实地址）。不过我还有一点疑问就是，以前我做小PE的时候在PE头找空间折叠，却并未出现相关问题。同样在PE头，为什么会有差别呢？最后感谢一下MistHill 2015-2-1 08:47 0
htpidk 雪币： 7333 活跃值： (4034) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 278 粉丝 1 关注私信	htpidk 13 楼应该是一直要可写属性吧，加载器在加载的时候会将FIRSTTHUNK指向的IAT里的ITD数组改写为对应函数的真实地址，没有可写属性写不了吧。 2015-2-1 09:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xie风腾

雪币： 12291

活跃值： (5043)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

1065

粉丝

5

关注

私信

xie风腾: 2 楼

偶也想这们加载DLL

2015-1-29 22:03

0

white、、

雪币： 60

活跃值： (11)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

387

粉丝

0

关注

私信

white、、: 3 楼

试问有Dll 无 function 怎么自启动？

除非动态引用,

2015-1-29 23:04

0

ganboing

雪币： 200

活跃值： (38)

能力值：

( LV4，RANK：50 )

在线值：

发帖

7

回帖

165

粉丝

1

关注

私信

ganboing 1: 4 楼

图呢？？？

2015-1-29 23:04

0

神游

雪币： 58

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

15

粉丝

0

关注

私信

神游: 5 楼

图好像还在审核

2015-1-30 08:12

0

神游

雪币： 58

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

15

粉丝

0

关注

私信

神游: 6 楼

DLL有到出函数的。在没有的情况会说定位不到XXX函数。图还没审核

2015-1-30 08:13

0

Carlton

雪币： 10

活跃值： (16)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

44

粉丝

0

关注

私信

Carlton: 7 楼

等图出来在来看

2015-1-30 08:53

0

MistHill

雪币： 627

活跃值： (663)

能力值：

( LV9，RANK：270 )

在线值：

发帖

25

回帖

280

粉丝

38

关注

私信

MistHill 6: 8 楼

能够发帖，图应该不需要审核，是你编辑帖子的问题。

报“0xC0000005: Access Violation”错，这是内存访问的问题，说明你有地方改得不对。
由于看不到图，只能从你的描述猜测。

1.找一片连续为0代码地址，将已有的导入表COPY过去。
2.增加一个IMAGE_IMPORT_DESCRIPTOR结构，并填写数据。情况如下图
3.修改程序导入表地址，和大小字段

这样看来，可能是IMAGE_IMPORT_DESCRIPTOR的内容有问题！

[FONT="Courier"]typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    };
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date\time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)

    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;[/FONT]

其中，Name和FirstThunk两个字段必填。
Name：一个RVA指针，指向导入lib名。比如你的情况为指向"mydll.dl\0"。
FirstThunk：一个RVA指针，指向IMAGE_THUNK_DATA32/IMAGE_THUNK_DATA64链表。表以一个NULL结束。

[FONT="Courier"]typedef struct _IMAGE_THUNK_DATA32 {
    union {
        PBYTE  ForwarderString;
        PDWORD Function;
        DWORD Ordinal;
        PIMAGE_IMPORT_BY_NAME  AddressOfData;
    } u1;
} IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;[/FONT]

这里最常见的两种导入方式：by Ordinal或by Name。
如果是"by Ordinal"，就填你导入函数的Ordinal。
如果是"by Name"，又是一个RVA指针，指向IMAGE_IMPORT_BY_NAME。

[FONT="Courier"]typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;[/FONT]

其中Name必填，指向你的导入函数名，比如"MyFunction1\0"。

PS：DLL不一定非得有导出函数，DllEntry总归是有的。有人会把DllEntry也当作一个导出函数。
也就是说，当这个DLL载入时，该做的事情在DllEntry里去完成。也许有函数在DLL里，你在DLL的Exports里没有列出来，这时需要硬编码：得到你DLL的载入基址后，加上你导出函数的RVA，再Call过去。
DLL在卸载时，DllEntry会被再调用一次，给你一个Cleanup的机会。

在作系统DLL Hook的时候，你得“继承”原DLL的所有导出项，选其中一个或几个导出函数作为Monitor，在时机成熟时再做Patching，比如一个加了壳的目标解压缩完成后。

2015-1-30 10:12

0

miaoling

雪币： 94

活跃值： (25)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

146

粉丝

0

关注

私信

miaoling: 9 楼

给你个简单的思路，改导出模块名称，你的DLL导出函数和原导出函数一致并将调用转发到原来真正的DLL即可

2015-1-30 10:34

0

Carlton

雪币： 10

活跃值： (16)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

44

粉丝

0

关注

私信

Carlton: 10 楼

8楼讲的非常详细学习了！

2015-1-30 11:25

0

MistHill

雪币： 627

活跃值： (663)

能力值：

( LV9，RANK：270 )

在线值：

发帖

25

回帖

280

粉丝

38

关注

私信

MistHill 6: 11 楼

看到图了。
FirstThunk指向IMAGE_THUNK_DATA32的链表，少个结束NULL！
1) 最简单，这样改：

[FONT=Courier]00000360:  68 03 00 00.00 00 00 00.00 00 6D 79.66 75 6E 00  ..........myfun.[/FONT]

因为位置不够，函数名由"myfunc"缩短为"myfun"，重新编译MyDll.dll。
2) 不重新编译。00000370的库名向下挪一行，调整相应指针。

2015-1-30 12:17

0

神游

雪币： 58

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

15

粉丝

0

关注

私信

神游: 12 楼

问题最终得到了解决，在导入表所在节添加可写入属性，猜测原因是程序初始化的时候会往IAT填写（导入函数真实地址）。
不过我还有一点疑问就是，以前我做小PE的时候在PE头找空间折叠，却并未出现相关问题。同样在PE头，为什么会有差别呢？
最后感谢一下MistHill

2015-2-1 08:47

0

htpidk

雪币： 7333

活跃值： (4034)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

278

粉丝

1

关注

私信

htpidk: 13 楼

应该是一直要可写属性吧，加载器在加载的时候会将FIRSTTHUNK指向的IAT里的ITD数组改写为对应函数的真实地址，没有可写属性写不了吧。

2015-2-1 09:16

0