-
-
[原创]静态注入实现思路总结
-
发表于: 2020-3-19 10:31
-
静态注入的实质是:在原有PE结构基础上添加需要注入的DLL信息。也就是重新构造(修改)PE包。
要对PE文件进行修改,首先需要熟练地理解PE结构。在编程语言中结构的表达都是通过结构体表达的。PE文件的结构也是通过多个结构体来表达。要理解PE文件首先要理解PE文件结构不同部分是通过哪个结构体来表达的,其次还要理清结构体之间的引用的关系(一个解构里面可能引用其他的结构体)。PE文件结构理解起来还是有难度。
《加密与解密》第四版中对结构的分析是通过LordPE/Stud_PE和十六进制文件编辑软件来进行,个人的体验是这些软件使用起来不是很方便,因为很难体现出结构体的层次关系。有wirkshark抓包体验的,会觉的 wirkshark对包的解析查看起来是相当的方便,可以很快让使用者理解包的构成。基于这点,就在网络上找了一款软件,认为对PE的解析层次比较清晰的软件------010Editor(网络上有免费下载版),上个图:
有这个基础了,就可以重新构造结构。
《加密与解密》第四版 中的思路是:在文件最后开辟一片空间(空间里面包括需要注入的IID空间)保存原来的输入表和需要注入的IID信息------>原来的输入表清0,用来保存IMAGE_THUNK_DATA和IMAGE_IMPORT_BY_NAME信息--------->修改输入表的地址和大小-------->修改输入表的属性,让它具有写的属性------------>取消输入绑定--->保存文件--->执行--->验证结果。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-3-19 10:39
被kekeshi编辑
,原因:
|
|
|---|---|
