PE格式:手工实现IAT导入表注入劫持

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PE格式:手工实现IAT导入表注入劫持相关的知识,希望对你有一定的参考价值。

DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入表,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入表中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入表增加导入函数同样可以实现动态加载,本次实验用到的工具依然是上次编写的PE结构解析器。

增加空间插入DLL

1.首先我们先来编写一个简易的DLL文件,这里可以使用C/C++或其他任何一种语言。

2.其次由于要操作导入表,我们需要再次复习一下导入结构的定义 _IMAGE_IMPORT_DESCRIPTOR 该IID结构,是一个数组,默认最后一项以全部为0作为结束符。

要添加IID数组的话,需要修改此处IID数组,增加一块区域,但这块内存一般与IID中的OriginalFirstThunk和FirstThun都有关联,这就导致我们必须整体将其移动到一个新的位置才可以,不能被覆盖。

typedef struct _IMAGE_IMPORT_DESCRIPTOR 
    union 
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
     DUMMYUNIONNAME;
    DWORD   TimeDateStamp;                  // 0 if not bound,
    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
 IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

IMAGE_THUNK_DATA32

typedef struct _IMAGE_THUNK_DATA32 
    union 
        DWORD ForwarderString;      // PBYTE 
        DWORD Function;             // PDWORD
        DWORD Ordinal;
        DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME
     u1;
 IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

默认情况下一个_IMAGE_IMPORT_DESCRIPTOR结构的大小为20字节也就是0x14我们再来看一下数据目录表中导入表的位置与大小。

也就是说我们需要找一块或者是自己增加一块空间,该空间的大小应该在 0xc8 + 0x14(一个结构大小) = 0xDC的位置。

再来看看文件与节表的对其参数,其中内存对齐 0x00001000 而文件对其值为 0x00000200

这里我们就直接扩展最后一个节,并按照文件对齐值为它增加0x200字节的空白区域,使用WinHEX操作,找到文件末尾,右键选择编辑粘贴0字节,然后输入512也就是十六进制的200.

由于是直接扩展的最后一个rsrc区段,所以定位到这块空白区域只需要:

3.接着找到原IID结构的位置,如上我们知道原始RVA为0x7604,计算 0x7604 - 0x1000 + 0x400 = 0x6A04 大小为0xC8,也就是从0x6A04 - 0x6AB4拷贝下来,右键选择复制十六进制数值。

然后将其粘贴到偏移为0x1040也就是刚才开辟的空间上面,这里需要注意了:由于我们需要增加一个IID结构,所以先要空出黄色部分的空间,其次最后的红色部分全部填充0标志结束符。

在原来的0x6a04出构建新的IID结构,

PE文件加载前,OriginalFirstThunk和FirstThunk都指向Import_by_name结构数组,现在可以填充他们了。

开始填充结构数据,如下所示。

黄色代表:OriginalFirstThunk 淡红色代表:TimeDateStamp 绿色代表:FirstThunk 黄色代表:ForwarderChain 紫色代表:dllname 大红代表:导出msg函数名称

最后转到我们后面导入表的位置,在后面填充这些位置。

7604 = OriginalFirstThunk 7614 = dllname 760c = FirstThunk RVA

接着修正PE文件头,由于改变了PE头中输入表的位置,这里输入表也需要修正,改为13000大小则是dc

接着修正text节,加上0x8000000写属性,将其属性改为 20000E0 即可。

最后修正输入表的位置,即可实现DLL插入。

上面这种方式有时可能会出错,例如改完后出现,原因是读取不到节区,没有注册,有时可以有时就会报错,不同系统之间随机出现。

<br>

添加新节并插入DLL

解决的办法是自己新建一个节,并设置好属性,先来仿写一个.hack节,我们在 .rsrc 后面直接添加一个新的。

上面公式中为什么需要加上2000 ? 这是因为需要凑够整数,字节对齐,不然也是不知别的,例如。

  1. 0x00011000 + 0x00004337 = 15337 直接取整 16000
  2. 0x0001A000 + 0x00000AB9 = 1AAB9 直接取 1B000
  3. 0x0001B000 + 0x000025A0 = 1D5A0 取整 1E000

计算得到.hack虚拟偏移:0x0001C000 实际偏移:0x00009E00 找到节表位置,开始仿写。

在文件末尾,插入1000个0字节填充

最后修正镜像大小,绿色节区数目加1 6改7,蓝色镜像大小加1000,蓝色改为 0001F000,改完保存。

改完后,运行看看,没问题了,改的很成功,已经识别了。

接着找到导入表,所在位置 0x00006DE0 长度 0x50,winhex跟过去。

选中,拷贝下来。

放到开辟的空间中,文件偏移 9e00 处。

修正当前输入表的位置测试是否可以正确识别,新输入表的FOA是 9e00 将其转为RVA = 0x0001E000 大小先保持不变。

改完后,使用工具验证一下,嗯,确实改掉了,程序依旧能打开,这次搬家很成功。

接着在9e90处构建新的IID结构数组,计算得出。

OriginalFirstThunk 文件偏移 = 9e90 相对RVA: 0x0001E090

TimeDateStamp 单独占用一个存储空间,默认填充为0

TimeDateStamp 文件偏移:9E94 相对RVA: 0x0001E094

由于默认情况下OriginalFirstThunk和FirstThunk都指向Import_BY_name结构数组,所以两者是一致的。

FirstThunk 文件偏移:9E98 相对RVA: 0x0001E098

ForWarderChain 文件偏移:9E9C 相对RVA: 0x0001E09C

DllName 文件偏移:9EA0 相对RVA: 0x0001E0A0

导出函数名称:文件偏移:9EB4 相对RVA: 0x0001E0B4

接着将这些数据填充到指定的位置。我们就在输入表的下方构建这个结构吧。

最后我们转到导入表上,将这个结构构造到导入表的最后。

originalFirstThunk = 1e090 dllname = 1e0a0 FirstThunk = 1e098

由于增加了一个结构,所以需要修正导入表的大小,跳转到160处,修正 50 + 20 = 70

确保最后一个节可读可写可执行。

确保绑定输入解除,也就是将1B0 - 1B8位置的内容全部清除掉。

打开,成功的执行了加载MsgDll.dll 文件,因为根目录没有这个文件所以报错,但已经可以加载成功了

使用工具来验证一下,导入表结构已经可以完美的读取到了,说明我们的计算没问题。

再次分析导入表

我知道你很模糊,这里有必要再深入分析一下,这次我把他们分开来写,这样看起来会更清晰。

首先老样子,定位到节表位置,执行命令 PETools c://win32.exe --ShowDataDirectory

winhex跳转到 0x00006DE0 这个位置上,总长度是 0x00000050 我们来分析一下第一个导入表结构,从而让你对齐更加清晰。

两个黄色部分,分别是 OriginalFirstThunk 和 FirstThunk 在加载到内存之前其是相同的。

User32.dll存放位置

RVA = 01a54a 转成 --> FOA = 0x0000714A

714a 所对应的是 user32.dll 导入模块。

IMAGE_IMPORT_DESCRIPTOR 中的 Name 指向了 0x0000714A 里面就是存放着 user32.dll字符串

指向函数LoadIconA

RVA = 1a15c 转成 --> FOA = 0x00006D5C

6d5c里面存放着 1a53e

将其转化为FOA = 713e

她所对应的是 LoadIconA

我们来构建这样一个结构单元,如下图。

将单元填充好

表关系如下,与微软结构定义相同。

关系如图。

添加成功了。

反写也可识别,OriginalFirstThunk 和 FirstThunk 一致。

x64dbg 也可以动态加载进来

调用也没问题。

注意节区属性必须可读可写,改为E0000E0。

导出表解析

导出表默认在DLL中出现较多,EXE文件中出现导出表虽然可以但很奇怪,导出表在数据目录表第一个成员中,IMAGE_EXPORT_DIRECTORY IED结构,使用PETools工具查看如下。

导出表结构定义如下

typedef struct _IMAGE_EXPORT_DIRECTORY 
    DWORD   Characteristics;
    DWORD   TimeDateStamp;            // 文件生成时间
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;                     // 模块真实名称
    DWORD   Base;
    DWORD   NumberOfFunctions;        // 导出元素个数
    DWORD   NumberOfNames;            // 导出元素个数
    DWORD   AddressOfFunctions;     // 指向函数地址的数组
    DWORD   AddressOfNames;         // 函数名字的指针地址
    DWORD   AddressOfNameOrdinals;  // 指向输出序列号地址的数组
 IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

winhex 标号

第二项 5ba6031a 指向 TimeDateStamp

计算后得到一个时间戳,将其转为十进制 1537606426 转为时间日期则,没啥可说的。

第五项是Name字段:2280 是RVA 将其转为FOA

跳转到1080处发现时该DLL的原始名称,这个名称就算把名字改掉,名称不会变。

第七八项,代表的时导出函数的个数。

第九项,2258 将其转为FOA跳转过去看看。0x00001058 此处指向228C

将228C转为FOA 0x0000108C 跳过去看看,第一个导出函数名字。

再将2268转为FOA看看 0x00001068 对应2288

再次将2288转为FOA 0x00001088 跳过去看看,同样是第一个函数的字符串。

分析

首先RVA=2258 计算FOA = 0x00001058 其指向函数的RVA地址,程序装入内存后会被展开。

展开后格式如下,红色指向黑色位置,我们有四个函数所以是四个函数的地址。

RVA = 2268 其FOA = 0x00001068 它指向函数名字的指针地址。

2268 指向了 1068 而1068中存放了四个指针,分别指向四个导出函数的名称。

拿2288为例子,转换后变成FOA = 1088 以此类推。

<br>

重定位表的解析(拓展)

重定位表在PE中是.reloc,通常情况下EXE可执行文件在映射内存时会独占虚拟空间,所以EXE时不需要重定位信息的,只有DLL才会需要,因为DLL内存不固定,很可能一个DLL被注入到多个进程中,此时就需要对DLL中的数据进行重定位,以确保特定函数还能够被调用到。

重定位表的查找是通过数据目录表的 IMAGE_DIRECTORY_ENTRY_BASERELOC 的条目来查找的,重定位数据采用按页分割的,每个块存放4KB(1000h)的重定位数据,每个重定位块大小为4字节对齐,他们以一个 IMAGE_BASE_RELOCATION 结构。

typedef struct _IMAGE_BASE_RELOCATION 
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[1];
 IMAGE_BASE_RELOCATION;
typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

首先使用PETools解析,来看一下这个结构。

找到位置 FOA = 0x00001800 大小是 0x00000128 也就是重定位表的位置。

如果想要通过手工找到该位置,其位于PE偏移 1a0位置,此处的第一个DWORD是重定位的RVA,第二个位置则是重定位大小。

使用PETools计算的出其FOA = 0x00001800 同样可以定位到重定位表的位置上。

重定位表的分析,第一个黄色代表重定位数据开始的RVA地址,第二个代表重定位块长度,最后一个

TYpeOffset 是一个数组,数组中每项大小为2字节,高四位代表重定位类型,低12位代表重定位地址,他与VirtualAddress相加得到的是需要修正位置的数据指针。

如下,其中后面的WORD类型,每一个都是一个重定位数据。

以第一个300e为例,将其转为FOA = 0x0000140E,定位过去,程序没被装载,这里为空,装在后可能会重定位修复。

PETools解析后,可对比,计算结果无误。

以上是关于PE格式:手工实现IAT导入表注入劫持的主要内容,如果未能解决你的问题,请参考以下文章

PE格式第四讲,数据目录表之导入表,以及IAT表

PE基础6_远程线程注入-HOOK(消息-InLine-IAT)

利用IAT导入表进行代码的注入

利用IAT导入表进行代码的注入

PE格式:分析IatHook并实现

PE文件格式中导入表和ITA表总结20180508