博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
金山2007逆向分析挑战赛第一阶段第二题详解
阅读量:5882 次
发布时间:2019-06-19

本文共 7612 字,大约阅读时间需要 25 分钟。

题目:

一、将_text,_rdata,_data合并成一个EXE文件,重建一个PE头

二、在第一步的基础上加入一个菜单

三、加入点击菜单调用MessageBox

*************************************************************

因为最终结果是一个用WIN32API(非MFC)编写窗口程序,所以建议用汇编一个差不多的程序,做为比较。

一、合成PE文件:

1、从名字上看_text,_rdata,_data分别应该是代码段,只读数据段(输入表之类)和可读写数据段。所以用WINHEX按顺序加上PE头后,复制粘贴就可以了。

 

WINHEX也用一个合成文件的功能。这时记做1.exe。

2、修改PE头数据。用STUD_PE打开1.exe,先修改“区段数目”,后区段的偏移和大小。这里题目没有规定文件大小,所以PE头大小最好为0X1000。分析如下:

DOS和PE头-0X0000-->┌┈┈┈┈┐

                   │        │

                   │0X1000 │

.text---0X1000---->├────┤

                   │        │

                   │0X6000 │

.rdata--0X7000---->├────┤

                   │        │

                   │0X1000 │

.data---0X8000---->├────┤

                   │        │

                   │0X3000 │

.rsrc---0XB000---->├────┤<---未加资源段时这里是文件结尾

                   │        │

                   │0X0200 │

文件尾--0XB200---->└────┘

 

根据以上图表得如下:   

No  | 名称      | 虚拟大小   | 虚拟偏移量| 原始大小   | 原始偏移量| 特性       |

01  | .text     | 00006000   | 00001000   | 00006000   | 00001000   | E0000020   |

02  | .rdata    | 00001000   | 00007000   | 00001000   | 00007000   | C0000040   |

03  | .data     | 00003000   | 00008000   | 00003000   | 00008000   | C0000040   |

04  | .rsrc     | 00000200   | 0000B000   | 00000200   | 0000B000   | 40000040   |

注:.rsrc段为加入菜单时才加入的,合成PE文件可以不看

 

根据文件的大小修改“镜像大小”。保存后,重新用STUD_PE载入,看它的提示,一般会提示“资源表”和“输入表”错误,“资源表”错误会让PE加载器无法

 

识别PE文件,所以先把“数据目录:IMAGE_DIR_ENTRY_RESOURCE”改成0。“输入表”错误只会至程序运行错误。

 

现在分析.rdata段,找到输入表的正确地址和大小。输入表是什么东西呢?

输入表的地址是:

IMAGE_OPTIONAL_HEADER.DataDirectory[1].VirtualAddress

输入表的大小是:

IMAGE_OPTIONAL_HEADER.DataDirectory[1].Size

 

VirtualAddress里存的是一个指向IMAGE_IMPORT_DESCRIPTOR数组的指针,该数组以一个全是0的IMAGE_IMPORT_DESCRIPTOR结构结束。

 

IMAGE_IMPORT_DESCRIPTOR结构的大小为0x14,所以输入DLL的个数等于输入表大小除以0x14后得的商再减1。

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

    union {

        DWORD   Characteristics;            // 0 for terminating null import descriptor

        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)

    };

    DWORD   TimeDateStamp;                  // 0 if not bound,

                                            // -1 if bound, and real date\time stamp

                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)

                                            // O.W. date/time stamp of DLL bound to (Old BIND)

 

    DWORD   ForwarderChain;                 // -1 if no forwarders

    DWORD   Name;

    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)

} IMAGE_IMPORT_DESCRIPTOR;

IMAGE_IMPORT_DESCRIPTOR结构主要看最后两个变量,DWORD   Name为指向DLL名字的指针,DWORD   FirstThunk指向一个数组,数组里存有该DLL函数名的指针。

 

分析正常EXE文件的输入表后发现,输入表一般是在调用函数名字的前面,用WINHEX打开1.exe,看地址0x77A0的地方,这里全是一些函数名,如:lstrcpyA和系统

 

,所以输入表应该在这0x77A0的前面(注意与正常文件对比),还有就是注意看DLL的名字,如:user32.dll的位置是0x788A,那么我们从0x7000的地方开始找0x8A

 

,找到后看看0x8A前面是不是0x78,这样就容易多了。在这里应该是0x7618,大小为0x50。

 

现在就差程序的“入口点”了,用PEID打开1.exe应该显示为VC6写的,这样我们就找一个VC6写的程序来看看它的入口,这是一个正常VC6程序的入口:

math.<Mod>/$  55            push    ebp

00409657  |.  8BEC          mov     ebp, esp

00409659  |.  6A FF         push    -1

0040965B  |.  68 F8474200   push    004247F8

00409660  |.  68 20CD4000   push    0040CD20                         ;  SE 处理程序安装

00409665  |.  64:A1 0000000>mov     eax, dword ptr fs:[0]

0040966B  |.  50            push    eax

0040966C  |.  64:8925 00000>mov     dword ptr fs:[0], esp

00409673  |.  83EC 58       sub     esp, 58

00409676  |.  53            push    ebx

00409677  |.  56            push    esi

00409678  |.  57            push    edi

00409679  |.  8965 E8       mov     dword ptr ss:[ebp-18], esp

0040967C  |.  FF15 14224200 call    dword ptr ds:[<&KERNEL32.GetVers>;  kernel32.GetVersion

 

math.<Mod>/$  55            push    ebp

00409657  |.  8BEC          mov     ebp, esp

这句是每个函数都有的,不看它,看这里

00409659  |.  6A FF         push    -1

0040965B  |.  68 F8474200   push    004247F8

00409660  |.  68 20CD4000   push    0040CD20                         ;  SE 处理程序安装

三个PUSH在函数里可不多呀,所在用WINHEX打开1.EXE,从0X1000开始找0X6A FF 68,会停在地址0X152A,看看前0X1527的地方,就是0X55 8B EC,所以这里应

 

该就是入口。修改完后一个PE格式的可执行文件就合成成功了。

 

二、加入菜单

刚才合成的程序是没有资源段的,所以要给它加入一个资源,里面只要有一个菜单就行了。资源文件这样写

 

#include    <resource.h>

#define pediy.com       0x30

#define  IDM_ABOUT  0x20

pediy.com  MENU

BEGIN

  popup  "HELP"

  BEGIN

    menuitem "ABOUT",IDM_ABOUT

  END

END

 

但程序是怎样把菜单加载到窗口里的呢?这里有几种方法:

1、用LoadMenu加载菜单并取得句柄后,设置CreateWindow.hMenu等于该句柄,但看看输入表,没有LoadMenu函数,所以用这种方法的话又要改输入表,太麻烦。

2、在写资源文件(.RC)的时候菜单名设置一个编号,在RegisterClass之前设置WNDCLASS.lpszMenuName等于这个编号或菜单名。

 

这里可先看看代码,看看它是怎样设置WNDCLASS.lpszMenuName的,用OD打开1.EXE,下断点在40125A,运行程序,停下后看ESP(我这是12FEAC),它是一个指

 

向WNDCLASS的指针,在内存窗口找到这个地址:

 

0012FEAC  03 00 00 00 D5 12 40 00 00 00 00 00 00 00 00 00  .ዕ@....

0012FEBC  00 00 40 00 27 00 01 00 03 00 01 00 10 00 90 01  .@'Ɛ

0012FECC  F0 FE 12 00 A0 80 40 00                          ﻰ肠@

 

WNDCLASS结构有10个成员,第9个就是菜单,所以12FEAC+(4*(9-1))=12FECC=》0012FECC  F0 FE 12 00。看看12FEF0是什么,原来是一个字串"pediy.com"

 

,所以我用第2种方法,写资源时把菜单名写成"pediy.com"就不用改代码了。把资源写好后,生成EXE,用WINHEX剥离.RSRC段,粘贴到1.EXE后,再用STUD_PE改

 

一改段数据和“镜像大小”就可以了。

 

三、加入提示窗口

先看看正常的菜单是怎样响应单击事件的。单击菜单后,会由WM_COMMAND(0X111)消息处理,它的wParam参数就是被单击控件的ID,如果这个ID下有处理函数

 

就处理,没有就返回,我们要做的就是增加这个处理函数。

 

用OD打开1.EXE,找到消息循环:

0040120B  |.  57            push    edi                              ; /RsrcName => IDI_APPLICATION

0040120C  |.  56            push    esi                              ; |hInst => NULL

0040120D  |.  891D ACAB4000 mov     dword ptr ds:[40ABAC], ebx       ; |

00401213  |.  C745 B0 03000>mov     dword ptr ss:[ebp-50], 3         ; |

0040121A  |.  C745 B4 D5124>mov     dword ptr ss:[ebp-4C], 004012D5  ; |<========================这里面就是设置消息循环的地方

00401221  |.  8975 B8       mov     dword ptr ss:[ebp-48], esi       ; |

00401224  |.  8975 BC       mov     dword ptr ss:[ebp-44], esi       ; |

00401227  |.  895D C0       mov     dword ptr ss:[ebp-40], ebx       ; |

0040122A  |.  FF15 04714000 call    dword ptr ds:[<&USER32.LoadIconA>; \LoadIconA

00401230  |.  57            push    edi                              ; /RsrcName => _ARROW

00401231  |.  56            push    esi                              ; |hInst => NULL

00401232  |.  8945 C4       mov     dword ptr ss:[ebp-3C], eax       ; |

00401235  |.  FF15 08714000 call    dword ptr ds:[<&USER32.LoadCurso>; \LoadCursorA

0040123B  |.  56            push    esi                              ; /ObjType => WHITE_BRUSH

0040123C  |.  8945 C8       mov     dword ptr ss:[ebp-38], eax       ; |

0040123F  |.  FF15 18704000 call    dword ptr ds:[<&GDI32.GetStockOb>; \GetStockObject

00401245  |.  8945 CC       mov     dword ptr ss:[ebp-34], eax

00401248  |.  8D45 F4       lea     eax, dword ptr ss:[ebp-C]

0040124B  |.  8945 D0       mov     dword ptr ss:[ebp-30], eax

0040124E  |.  8D45 B0       lea     eax, dword ptr ss:[ebp-50]

00401251  |.  BF A0804000   mov     edi, 004080A0                    ;  ASCII "pediy.com"

00401256  |.  50            push    eax                              ; /pWndClass

00401257  |.  897D D4       mov     dword ptr ss:[ebp-2C], edi       ; |

0040125A  |.  FF15 0C714000 call    dword ptr ds:[<&USER32.RegisterC>; \RegisterClassA

 

来到消息循环,发现没有WM_COMMAND:

 

004012D5  /.  55            push    ebp

004012D6  |.  8BEC          mov     ebp, esp

004012D8  |.  83EC 40       sub     esp, 40

004012DB  |.  8B45 0C       mov     eax, dword ptr ss:[ebp+C]

004012DE  |.  48            dec     eax                              ;  Switch (cases 2..F)

004012DF  |.  48            dec     eax

004012E0  |.  74 68         je      short 0040134A

004012E2  |.  83E8 03       sub     eax, 3

004012E5  |.  74 4D         je      short 00401334

004012E7  |.  83E8 0A       sub     eax, 0A

004012EA  |.  74 14         je      short 00401300

004012EC  |.  FF75 14       push    dword ptr ss:[ebp+14]            ; /lParam; Default case of switch 004012DE

004012EF  |.  FF75 10       push    dword ptr ss:[ebp+10]            ; |wParam

004012F2  |.  FF75 0C       push    dword ptr ss:[ebp+C]             ; |Message

004012F5  |.  FF75 08       push    dword ptr ss:[ebp+8]             ; |hWnd

004012F8  |.  FF15 F4704000 call    dword ptr ds:[<&USER32.DefWindow>; \DefWindowProcA

004012FE  |.  EB 54         jmp     short 00401354

 

 

注意看有三个JE,JE前面是SUB和DEC命令,不是平时的CMP命令,有猫腻。CMP是不保存结果的,但SUB和DEC是保存结果的,所以可以写成这样:

CMP EAX,2

je      short 0040134A

CMP EAX,2+3

je      short 00401334

CMP EAX,2+3+A

je      short 00401300

 

所以就要在这些比较之前用"跳出跳回法”写入WM_COMMAND消息处理。问题又来了,输入表里面没有MessageBox怎么办。我是用风险比较大的方法,就是绝对地

 

址,因为大多数程序在加载USER32.DLL等函数的时候,它的分配的空间90%都是一样的,所以直接使用USER32.DLL的空间加上MessageBox函数的偏移就可以了。

 

至于字串,可以在数据段加入,注意换行符为0X0A。最终如下:

004012D5   .  55            push    ebp

004012D6   .  8BEC          mov     ebp, esp

004012D8   .  83EC 40       sub     esp, 40

004012DB   .  E9 A0580000   jmp     00406B80        《=====跳出

 

00406B80   > \8B45 0C       mov     eax, dword ptr ss:[ebp+C]

00406B83   .  3D 11010000   cmp     eax, 111                         ;  Switch (cases 2..111)

00406B88   .  74 0D         je      short 00406B97

00406B8A   .  48            dec     eax

00406B8B   .  48            dec     eax

00406B8C   .^ 0F84 B8A7FFFF je      0040134A

00406B92   .^ E9 4BA7FFFF   jmp     004012E2         《=====跳回

00406B97   >  6A 40         push    40                               ;  Case 111 of switch 00406B83

00406B99   .  68 8C804000   push    0040808C                         ;  ASCII "pediy"

00406B9E   .  68 50804000   push    00408050

00406BA3   .  6A 00         push    0

00406BA5   .  E8 06000000   call    00406BB0

00406BAA   .^ E9 A3A7FFFF   jmp     00401352

00406BAF      00            db      00

00406BB0   $- FF25 B86B4000 jmp     dword ptr ds:[406BB8]            ;  user32.7696EA11

00406BB6      00            db      00

00406BB7      00            db      00

00406BB8   .  11EA9676      dd      user32.7696EA11

 

转载地址:http://sgsix.baihongyu.com/

你可能感兴趣的文章
HBase运维基础——元数据逆向修复原理
查看>>
input的button类型,点击页面跳转
查看>>
linux题目
查看>>
js网页定位,window,body元素的定位属性
查看>>
YII2的乐观锁和悲观锁
查看>>
java开发技巧之 lombok.jar包的使用
查看>>
Maven中-DskipTests和-Dmaven.test.skip=true的区别
查看>>
javaweb 基于springMVC实现文件上传
查看>>
2.1/2.2 系统目录结构 2.3 ls命令 2.4 文件类型 2.5 alias命令
查看>>
压缩打包介绍 、gzip压缩工具 、 bzip2压缩工具、xz压缩工具
查看>>
【技术系列】浅谈GPU虚拟化技术(第一章)
查看>>
Jerry的Fiori原创文章合集
查看>>
IP地址、子网掩码、网络号、主机号、网络地址、主机地址以及ip段/数字-如192.168.0.1/24是什么意思?...
查看>>
十六周三次课
查看>>
Kubernetes重大漏洞?阿里云已第一时间全面修复
查看>>
Java VM 内存 栈 堆 小笔记
查看>>
Tomcat部署时war和war exploded(可以热部署)
查看>>
31.网络相关 firewalld、netfilter 5表5链 iptables语法
查看>>
oracle里的正则表达式
查看>>
【CentOS 7笔记23】, Logical Volume Manager逻辑卷管理#
查看>>