[Anti Virus专题]1.2 - 3.hash扫描获得api函数地址-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[Anti Virus专题]1.2 - 3.hash扫描获得api函数地址

发表于: 2009-4-13 23:34 35064

[Anti Virus专题]1.2 - 3.hash扫描获得api函数地址

xfish

2009-4-13 23:34

35064

4. hash扫描获得api函数地址

今天这篇文章也是病毒编写中很重要的一篇文章，“hash扫描获得api函数地址”，通过它我们的病毒就可以在宿主程序中调用相应平台的库函数。呼，说白一点就是实现一个自己的GetProcAddress函数，然后通过上节课的所讲解的思路获得Kernel32基地址，然后来搜索api函数地址。

这篇文章我分为2个栏目:

1. 搜索获得api函数地址的实现。

2. hash算法搜索获得api函数地址的实现。

;;;;写文章比写代码累多了, 希望辛劳的成果能使大家有所收获,也不枉我此套专题。。。。。。。

;-------------------------------------------------

1. 搜索获得api函数地址的实现:

Windows和之前的dos最大的一个特色就是采用了动态链接库, 这样我们省了很多的内存。我们可以想象一下如果我们的程序都采用静态库的话，那么我们的所有程序所占内存是相当庞大的，而

Windows采用了动态链接库(这样保证了物理内存仅有一份此动态链接库的copy)，这些动态链接库分别提供给我们用户了各种各样的编程接口来实现相应的功能，当我们用户程序调用它时必须包含相应的

库文件、函数名称，这样我们的PE LOADER在加载时才会将相应的动态链接库加载我们的进程的内存空间（实际上windows是通过分页机制将这些DLL的物理内存地址指向我们程序虚拟空间的页表中，这样

我们共享的是同一物理内存)。

那么我们上面介绍了，windows通过动态链接库提供给我们用户了各种各样的编程接口函数，那么一般的动态链接库的后缀是“.dll”，当然其他的后缀也可以，例如“.exe”, “.sys”，只不

过它们不常用罢了。因为加载器判断的不仅仅是文件后缀名，还有我们的文件结构。

所以一般我们调用某个动态库的函数，我们必须增加这个动态库的导入表结构，这样我们的windows 加载器才会把这个动态库加载到我们的内存空间，并修正导入表结构的导入函数地址，以便

我们的程序能正常的调用函数。那么这个动态链接库是如何输出函数来供我们的用户程序调用呢？它实际上是采用输出表结构来描述本dll需要导出哪些函数来供其他的程序调用，这样其他的用户程序才

能正常的调用此动态链接库的输出函数。

那么关键的点我们已经知道了，那就是动态链接库是采用输出表结构来描述导出函数。那么如果我们调用某动态链接库的输出函数，首先我们肯定是要查找到这些输出函数的地址？在那里查找

？我们肯定是在输出表结构。好明白这点后，我们来看输出表结构。

struct IMAGE_EXPORT_DIRECTORY
  Characteristics          dd    ?  ;未使用
  TimeDateStamp          dd    ?  ;文件生成时间
  MajorVersion             dw    ?  ;主版本号，一般为0
  MinorVersion             dw    ?  ;次版本号，一般为0
  nName                   dd    ?  ;模块的真实名称
  nBase                   dd    ?  ;基数, 加上序数就是函数地址数组的索引值
  NumberOfFunctions       dd    ?  ;AddressOfFunctions阵列的元素个数
  NumberOfNames          dd    ?  ;AddressOfNames阵列的元素个数
  AddressOfFunctions       dd    ?  ;指向函数地址数组
  AddressOfNames          dd    ?  ;函数名字的指针地址
  AddressOfNameOrdinals    dd    ?  ;指向输出序列号数组
ends

为了更好的理解输出表结构，我们采用fasm编写一段自己定义输出表结构的dll代码。



	format PE GUI 4.0 DLL
	include 'win32ax.inc'
	entry	__DllEntry
	
.text

 ;++
 ;
 ; BOOL
 ;   DllMain(
 ;   IN HINSTANCE hDllHandle, 
 ;   IN DWORD     nReason,    
 ;   IN LPVOID    Reserved    
 ;   )
 ;
 ; Routine Description:
 ;
 ;    测试文件是否是PE文件格式。
 ;
 ; Arguments:
 ;
 ;    (esp)          - return address
 ;
 ;    Data   (esp+4) - hDllHandle
 ;	     (esp+8) - nReason
 ;	     (esp+12)- Reserved
 ;
 ; Return Value:
 ;
 ;    eax = TRUE, initialization succeeds; eax = FALSE, initialization fails。
 ;
 ;--

 __DllEntry:
 	xor	eax, eax
 	inc	eax			
 	ret	4*3



 __MyMessageBox:
	xor	eax, eax
	push	eax
	@pushsz	'Dll'
	@pushsz	'一个dll自定导出表结构例子'
	push	eax
	call	[MessageBox]
	ret
	
.idata

section	'.edata' export data    readable

 __IMAGE_EXPORT_DIRECTORY:
 	dd	0, 0, 0, rva szName, 0, 1, 1
 	dd	rva Address_Tab
 	dd 	rva FuncName_Tab
 	dd	rva Ordinals_Tab
 	

	;dll name
	szName	db 'Msg.dll', 0
	
	;
	
	Address_Tab:
		dd rva __MyMessageBox 	;取__MyMessageBox过程 rva地址
	
	FuncName_Tab:
		dd rva ($+4) 		; ($ + 4) ptr "MyMessageBox"
		db 'MyMessageBox', 0
	
	Ordinals_Tab:
		dw 0
	
	
.fixups

 ;++
 ;
 ; int
 ;  GetApi(
 ;   IN HINSTANCE hModule, 
 ;   IN char *    lpApiString,     
 ;   )
 ;
 ; Routine Description:
 ;
 ;    获取指定函数的内存地址
 ;
 ; Arguments:
 ;
 ;    (esp)          - return address
 ;
 ;    Data   (esp+4) - hDllHandle
 ;	     (esp+8) - lpApiString
 ; Return Value:
 ;
 ;    eax -> Function Mem Address。
 ;
 ;--

 GetApi:
	pop 	edx
	pop	eax			;hModule
	pop	ecx			;lpApiString
	push	edx	
	pushad
	mov	ebx, eax		;hModule	ebx
	mov	edi, ecx		;lpApiString	edi	
	xor	al, al
  .Scasb:
	scasb
	jnz	.Scasb
	dec	edi
	sub	edi, ecx
	xchg	edi, ecx		; edi = lpApiString, ecx = ApiLen
	
	mov	eax, [ebx+3ch]	
	mov	esi, [ebx+eax+78h]	;Get Export Rva
	lea	esi, [esi+ebx+IMAGE_EXPORT_DIRECTORY.NumberOfNames]
	lodsd
	xchg	eax, edx		; edx = NumberOfNames
	lodsd
	push	eax			; [esp] = AddressOfFunctions
	lodsd
	xchg	eax, ebp
	lodsd
	xchg	eax, ebp		; ebp = AddressOfNameOrdinals, eax = AddressOfNames
	add	eax, ebx
	
	mov	[esp+4*6], edi		;临时存储
	mov	[esp+4*5], ecx		;临时存储

  .LoopScas:	
	dec	edx
	jz	.Ret
	mov	esi, [eax+edx*4]
	add	esi, ebx
	repz	cmpsb
	jz	.GetAddr
	mov	edi, [esp+4*6]		
	mov	ecx, [esp+4*5]		
	jmp	.LoopScas
	
  .GetAddr:
  	shl	edx, 1
  	add	ebp, edx
	movzx	eax, word [ebp+ebx]
	shl	eax, 2
	add	eax, [esp]
	mov	eax, [ebx+eax]
	add	eax, ebx
  .Ret:
  	pop	ecx
  	mov	[esp+4*7], eax
	popad
	ret

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

Export例子.rar （1.70kb，287次下载）
HashImport.rar （1.46kb，360次下载）
hash.jpg （25.33kb，2591次下载）
NoImport.rar （1.78kb，296次下载）
HashString计算器.rar （259.10kb，450次下载）

收藏・37

免费・7

支持

最新回复 (55) 1 2 3 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼先沙发，写得太好了 2009-4-13 23:37 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 3 楼板凳，学习了！ 2009-4-13 23:49 0
不知所谓雪币： 215 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	不知所谓 1 4 楼我发个参考资料标题: 克图鲁的呼唤作者: forgot 时间: 2006-10-28,19:17 链接: http://bbs.pediy.com/showthread.php?t=33985 2009-4-14 00:02 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 5 楼支持下forgot大哥。 fasm预编译阶段进行hash计算，很简单。 macro RolHash poffset, [szFuncName]{ local hash, len, char, temp virtual at 0 db szFuncName len = $ hash = 0 temp = 0 repeat len hash = (((hash shl 3) and 0FFFFFFFFh) or (hash shr (32 - 3))); hash = hash rol 3 load char byte from % - 1 temp = ((hash and 000000FFh) xor char) hash = (hash and 0FFFFFF00h) or temp end repeat end virtual dd hash poffset dd 0 } 通过此宏配合我之前这个帖子http://bbs.pediy.com/showthread.php?t=83646的。可以整个以 dd hash string _ApiName_Address dd Adress 表形式建立api函数地址表，方便调用。。这些无外乎技巧而已，故而放到 1.3 如何编写病毒代码? 包括如何有效的优化病毒代码中进行讲解。 2009-4-14 00:09 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 6 楼 2009-4-14 08:10 0
heroxing 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	heroxing 7 楼认真学习中,收获不少,我会一直关注LZ的杰作,LZ辛苦了. 2009-4-14 09:21 0
naspy 雪币： 181 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	naspy 8 楼若若问一句:怎么看起来像字符串匹配丫... ... 2009-4-14 09:23 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 9 楼要是是C写的,就好了... 2009-4-14 10:09 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 10 楼 lz辛苦了，学习了，我一定要顶下去啊 2009-4-14 10:56 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 11 楼楼主辛苦了，顶。 2009-4-14 11:38 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 12 楼先顶后看~~~~~ 2009-4-14 12:00 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 13 楼学习。。。支持。。。要是能提供c/c++版的就好学习多了汇编看着还是有点晕 2009-4-14 12:01 0
flowons 雪币： 379 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	flowons 2 14 楼 lz辛苦了，支持你！ 2009-4-14 12:21 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 15 楼学习这种方法不错我得去下个编译器跑跑看 2009-4-14 13:48 0
gaoqing 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 118 回帖 376 粉丝 0 关注私信	gaoqing 16 楼你的这个 IMAGE_EXPORT_DIRECTORY是通过 IMAGE_OPTIONAL_HEADER的 DataDirectory的前4个字节找到的吗? 2009-4-14 14:17 0
heroxing 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	heroxing 17 楼楼主: .LoopScas: dec edx jz .Ret lodsd 我觉得是不是要改为: .LoopScas: test edx,edx jz .Ret dec edx lodsd好些,如果我们用自定义的输出表,表里只定义一个函数,那这个好象就不行了呀.我是菜鸟,不知道我说的对不对,望指正,谢谢楼主大哥. 2009-4-14 14:44 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 18 楼 to Gaoqing: 恩。 to heroxing: 恩。正确的。其实这个如果要完善还要注意很多，例如定位export输出表偏移等，但是这将浪费大量的byte。在病毒编写中一般没有必要这么做，因为这些系统库文件格式都是很常规的, 我们一般的病毒代码仅仅是为了获得常用的库函数。例如获得LoadLibraryA以及GetPorcAddress就可以利用获得后的函数地址来进行调用了，所以就没有必要再去处理这些，一切为了优化。 2009-4-14 15:20 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 19 楼支持~支持~ 2009-4-14 17:01 0
heroxing 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	heroxing 20 楼谢谢楼主的回复,小弟受教了. 2009-4-14 17:27 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 21 楼非常希望能在最后附一个汇总了的本系列CHM，便于收藏学习 2009-4-14 18:34 0
cham 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 200 粉丝 0 关注私信	cham 22 楼克鲁图的呼唤看着有点晕，宏没法用od看啊！ 2009-4-14 20:33 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 23 楼 good ... 2009-4-14 21:23 0
THREAD 雪币： 260 活跃值： (39) 能力值： ( LV9，RANK：144 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	THREAD 24 楼不错 2009-4-14 21:24 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 25 楼这样hash会不会发生碰撞？有没有得到证明？MD5都已经证明会碰撞。 2009-4-15 21:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xfish

发帖

113

回帖

220

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (55) 1 2 3 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼先沙发，写得太好了 2009-4-13 23:37 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 3 楼板凳，学习了！ 2009-4-13 23:49 0
不知所谓雪币： 215 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	不知所谓 1 4 楼我发个参考资料标题: 克图鲁的呼唤作者: forgot 时间: 2006-10-28,19:17 链接: http://bbs.pediy.com/showthread.php?t=33985 2009-4-14 00:02 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 5 楼支持下forgot大哥。 fasm预编译阶段进行hash计算，很简单。 macro RolHash poffset, [szFuncName]{ local hash, len, char, temp virtual at 0 db szFuncName len = $ hash = 0 temp = 0 repeat len hash = (((hash shl 3) and 0FFFFFFFFh) or (hash shr (32 - 3))); hash = hash rol 3 load char byte from % - 1 temp = ((hash and 000000FFh) xor char) hash = (hash and 0FFFFFF00h) or temp end repeat end virtual dd hash poffset dd 0 } 通过此宏配合我之前这个帖子http://bbs.pediy.com/showthread.php?t=83646的。可以整个以 dd hash string _ApiName_Address dd Adress 表形式建立api函数地址表，方便调用。。这些无外乎技巧而已，故而放到 1.3 如何编写病毒代码? 包括如何有效的优化病毒代码中进行讲解。 2009-4-14 00:09 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 6 楼 2009-4-14 08:10 0
heroxing 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	heroxing 7 楼认真学习中,收获不少,我会一直关注LZ的杰作,LZ辛苦了. 2009-4-14 09:21 0
naspy 雪币： 181 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	naspy 8 楼若若问一句:怎么看起来像字符串匹配丫... ... 2009-4-14 09:23 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 9 楼要是是C写的,就好了... 2009-4-14 10:09 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 10 楼 lz辛苦了，学习了，我一定要顶下去啊 2009-4-14 10:56 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 11 楼楼主辛苦了，顶。 2009-4-14 11:38 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 12 楼先顶后看~~~~~ 2009-4-14 12:00 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 13 楼学习。。。支持。。。要是能提供c/c++版的就好学习多了汇编看着还是有点晕 2009-4-14 12:01 0
flowons 雪币： 379 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	flowons 2 14 楼 lz辛苦了，支持你！ 2009-4-14 12:21 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 15 楼学习这种方法不错我得去下个编译器跑跑看 2009-4-14 13:48 0
gaoqing 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 118 回帖 376 粉丝 0 关注私信	gaoqing 16 楼你的这个 IMAGE_EXPORT_DIRECTORY是通过 IMAGE_OPTIONAL_HEADER的 DataDirectory的前4个字节找到的吗? 2009-4-14 14:17 0
heroxing 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	heroxing 17 楼楼主: .LoopScas: dec edx jz .Ret lodsd 我觉得是不是要改为: .LoopScas: test edx,edx jz .Ret dec edx lodsd好些,如果我们用自定义的输出表,表里只定义一个函数,那这个好象就不行了呀.我是菜鸟,不知道我说的对不对,望指正,谢谢楼主大哥. 2009-4-14 14:44 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 18 楼 to Gaoqing: 恩。 to heroxing: 恩。正确的。其实这个如果要完善还要注意很多，例如定位export输出表偏移等，但是这将浪费大量的byte。在病毒编写中一般没有必要这么做，因为这些系统库文件格式都是很常规的, 我们一般的病毒代码仅仅是为了获得常用的库函数。例如获得LoadLibraryA以及GetPorcAddress就可以利用获得后的函数地址来进行调用了，所以就没有必要再去处理这些，一切为了优化。 2009-4-14 15:20 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 19 楼支持~支持~ 2009-4-14 17:01 0
heroxing 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	heroxing 20 楼谢谢楼主的回复,小弟受教了. 2009-4-14 17:27 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 21 楼非常希望能在最后附一个汇总了的本系列CHM，便于收藏学习 2009-4-14 18:34 0
cham 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 200 粉丝 0 关注私信	cham 22 楼克鲁图的呼唤看着有点晕，宏没法用od看啊！ 2009-4-14 20:33 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 23 楼 good ... 2009-4-14 21:23 0
THREAD 雪币： 260 活跃值： (39) 能力值： ( LV9，RANK：144 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	THREAD 24 楼不错 2009-4-14 21:24 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 25 楼这样hash会不会发生碰撞？有没有得到证明？MD5都已经证明会碰撞。 2009-4-15 21:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复