本文主要讲述如何快速将函数转为shellcode然后加密存储用于混淆反汇编器。该技巧广泛应用于恶意软件中,作为一次一密或者反分析的方法,在信息不足时可以有效掩盖可执行段。
由于shellcode被编写后将以硬编码的形式被安置在程序内部进行加密、隐藏和压缩等操作,因此其中的诸多引用、布局和跳转需要特别注意。关于shellcode的编写读者可以自行寻找各参考资料进行学习。在此将总结大部分shellcode的编写原则。
为了保证shellcode在引用变量时能够准确定位,需要保证shellcode使用的变量被声明、释放在shellcode内部。如果实在需要引用外部变量,请参见任意调用文章。
错误方式
上述这种声明方式需要保证被声明的变量完全位于shellcode内部,否则在shellcode生成并读出之后,由于代码段的变更,诸多变量的引用地址会发生变动,这时编码在原来shellcode中的引用地址就将失效。
正确方式
众所周知,诸windows.h文件中的函数都依赖于在windows根目录下的大量dll文件,因此要调用系统函数,需手动载入系统函数。手动载入系统动态链接库需要使用LoadLibrary函数。
LoadLibrary函数是kernal32.dll
的导出函数。要获得此函数,首先需要载入kernal32.dll
。好在绝大多数Windows程序在载入时都需要同时载入这一关键系统动态链接库。根据PEB表可以获得此动态链接库的地址。
找到kernal32.dll位置(存入ebx)
获取kernal32.dll的导出表
获取GetProcAddress的位置(存入edx)
获取LoadLibrary的位置(最终存入eax)
要实现任意调用,需要事先给出标志性的可控机器码。一种可行的方法是使用__asm关键字配合_emit指令嵌入一小段关键字节,用于寻址。(对于msvc而言)
一种示例方法如下
参考 c++ - Calling a non-exported function in a DLL - Stack Overflow
使用下述方式将任意unsigned int
数组转换为函数并执行调用。
其中关键的部分在于需要绕过DEP,因为Windows的保护措施,存储shellcode的位置总是存在于全局变量中,而全局变量的段是不可执行的。因此在执行shellcode之前需要先更改shellcode所在内存区的可执行权限。
另外,在书写内嵌shellcode时需要不断结合反汇编结果,时刻注意编译器的优化是否影响了生成的硬编码。在实战中可能遇到优化器将**__stdcall**
更改为**__fastcall**
的情况,这个时候就需要结合反汇编结果来适当的插入push和mov指令来有效的补足shellcode的错误。
int
__stdcall func(
int
a)
{
if
(a >
50
)
{
return
a
-
50
;
}
else
{
return
a
+
50
;
}
}
int
__stdcall func(
int
a)
{
if
(a >
50
)
{
return
a
-
50
;
}
else
{
return
a
+
50
;
}
}
LPSTR const_string
=
{
"This is a very loooooooooooog constant"
};
DWORD const_aes_s_box
=
{
0x63
,
0x7C
,
0x77
,
0x7B
...}
void func()
{
/
/
use(const_string);
/
/
use(const_aes_s_box);
}
LPSTR const_string
=
{
"This is a very loooooooooooog constant"
};
DWORD const_aes_s_box
=
{
0x63
,
0x7C
,
0x77
,
0x7B
...}
void func()
{
/
/
use(const_string);
/
/
use(const_aes_s_box);
}
void func()
{
LPSTR const_string
=
{
"This is a very loooooooooooog constant"
};
DWORD const_aes_s_box
=
{
0x63
,
0x7C
,
0x77
,
0x7B
...}
/
/
use(const_string);
/
/
use(const_aes_s_box);
}
void func()
{
LPSTR const_string
=
{
"This is a very loooooooooooog constant"
};
DWORD const_aes_s_box
=
{
0x63
,
0x7C
,
0x77
,
0x7B
...}
/
/
use(const_string);
/
/
use(const_aes_s_box);
}
xor ecx, ecx ; 置空ecx
mov eax, fs:[ecx
+
0x30
] ; 取出peb,存入eax
mov eax, [eax
+
0xc
] ; 取出PEB
-
>Ldr
mov esi, [eax
+
0x14
] ; 取出PEB
-
>Ldr.InMemoryOrderModuleList
lodsd ; 数组操作
xchg eax, esi ;
lodsd ; 取出kernal32.dll
mov ebx, [eax
+
0x10
] ; 取出基地址存入ebx
xor ecx, ecx ; 置空ecx
mov eax, fs:[ecx
+
0x30
] ; 取出peb,存入eax
mov eax, [eax
+
0xc
] ; 取出PEB
-
>Ldr
mov esi, [eax
+
0x14
] ; 取出PEB
-
>Ldr.InMemoryOrderModuleList
lodsd ; 数组操作
xchg eax, esi ;
lodsd ; 取出kernal32.dll
mov ebx, [eax
+
0x10
] ; 取出基地址存入ebx
mov edx, [ebx
+
0x3c
] ; 获取任意值的DOS
-
>e_lfanew
add edx, ebx ; 获取PE头
mov edx, [edx
+
0x78
] ; 获取导出表偏移
add edx, ebx ; 获取导出表
mov esi, [edx
+
0x20
] ;
add esi, ebx ; 导出表名称
xor ecx, ecx ;
mov edx, [ebx
+
0x3c
] ; 获取任意值的DOS
-
>e_lfanew
add edx, ebx ; 获取PE头
mov edx, [edx
+
0x78
] ; 获取导出表偏移
add edx, ebx ; 获取导出表
mov esi, [edx
+
0x20
] ;
add esi, ebx ; 导出表名称
xor ecx, ecx ;
Get_Function:
inc ecx ; 递增序数
lodsd ; 获取导出名称表
add eax, ebx ; 获取函数名称,指针存入eax
cmp
dword ptr[eax],
0x50746547
; GetP
jnz Get_Function
cmp
dword ptr[eax
+
0x4
],
0x41636f72
; rocA
jnz Get_Function
cmp
dword ptr[eax
+
0x8
],
0x65726464
; ddre
jnz Get_Function
mov esi, [edx
+
0x24
] ; 获取序数偏移
add esi, ebx ; 将序数表存入esi
mov cx, [esi
+
ecx
*
2
] ; 获得函数数量
dec ecx
mov esi, [edx
+
0x1c
] ; 获得函数表偏移
add esi, ebx ; 存入esi
mov edx, [esi
+
ecx
*
4
] ;
add edx, ebx ; edx中存入GetProcAddress地址
Get_Function:
inc ecx ; 递增序数
lodsd ; 获取导出名称表
add eax, ebx ; 获取函数名称,指针存入eax
cmp
dword ptr[eax],
0x50746547
; GetP
jnz Get_Function
cmp
dword ptr[eax
+
0x4
],
0x41636f72
; rocA
jnz Get_Function
cmp
dword ptr[eax
+
0x8
],
0x65726464
; ddre
jnz Get_Function
mov esi, [edx
+
0x24
] ; 获取序数偏移
add esi, ebx ; 将序数表存入esi
mov cx, [esi
+
ecx
*
2
] ; 获得函数数量
dec ecx
mov esi, [edx
+
0x1c
] ; 获得函数表偏移
add esi, ebx ; 存入esi
mov edx, [esi
+
ecx
*
4
] ;
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2022-11-25 15:35
被Hedione编辑
,原因: 更改题目和标题样式