软件安全5.File infection（手动实现）

功能实现

向hello world程序中注入代码，实现正常显示hello world并实现弹框。

由于PEview不能编辑，故使用功能更强大的CFF explorer。

1. 改变address of entry point为新插入节所在的位置。

• 记录原先的address of entry point
  
  

  address of entry point
• 添加新节empty space，软件会自动改变文件的相应信息如numberofsections、sizeofimage
  
  

  添加新节
• 复制新节的地址，将addressofentry改为它。
  
  

  这是程序正常执行后会跳转到的地址

• 保存后，将该节的属性改为可执行。

  
  
  

  在最后一栏上右键选择`changeflag`

2. 用ollydbg添加这一新节的内容

• 安装ollydbg插件multimate assembler，下载地址 ，直接将对应版本.dll复制到ollydbg.exe文件所在目录即可。
• 点击
  
  

  按钮
  ，程序会跳转到不能前进为止，这也是我们添加的新节所在的位置。在该位置填写我们需要实现的功能，例如弹出messagebox。
  
  

  需要填充的位置
• 添加的汇编内容为：

;汇编添加的位置
<0044D000>
push 10;messagebox的参数
push @caption
push @text
push 0; NULL
call 0x75F08860; messagebox进程的地址
jmp 0x00411046;返回原先的`addressofentry` 要加上imagebase 00400000
@caption:
    "end sector\0"
@text:
    "Team number:4; Team member:XXX\0"

• 遗留的问题是，怎么寻找messagebox函数的地址。由于大部分软件都会有界面，因此会调用user32.dll文件，因而可以运行messagebox函数，从user32.dll中获取地址的代码如下：

#include
#include
using namespace std;
typedef void(*MYPROC)(LPTSTR);
HINSTANCE LibHandle = LoadLibrary("user32");
MYPROC ProcAddr = (MYPROC)GetProcAddress(LibHandle, "MessageBoxA");
int main()
{
    cout << ProcAddr << endl;
    system("pause");
    return 0;
}

• 插入代码后：
  
  

  红色为新插入的代码
  ，此时按F8可进行步进调试（或按箭头直接执行程序），若代码正确，则会正确跳转到messagebox函数，最终跳回原本的addressofentry。

• 选中新添加的代码，右击选择copy，再点击save file，保存到exe文件上。
  程序运行时，首先弹框：

  
  
  

  代码注入成功
  
  

  随后正常运行。