PE文件导入表的代码注入

 

PE 文件导入表的代码注入

 

 

         试想一下，如果通过修改导入表，能把PE格式文件中的函数入口点，重定向到自己的程序中来，是不是很酷！这样，在自己在程序中，可以过滤掉对某些函数的调用，或者，设置自己的处理程序，Professional Portable Executable (PE) Protector也就是这样做的。另外，某些rootkit也使用了此方法把恶意代码嵌入到正常程序中。在逆向工程的概念里，均称为API重定向技术，让我们一起进入这个神奇的世界吧。

 

 

         1 、导入表简介

         PE文件由MS-DOS头、NT头、节头、节映像组成，如图1所示。MS-DOS头在从DOS至现今Windows的所有微软可执行文件中都存在；NT头的概念抽象自Unix系统的可执行与链接文件格式（ELF）。实际上，PE格式可以说是Linux可执行与链接格式（ELF）的兄弟，PE格式头由PE签名、通用对象文件格式（COFF）头、PE最优化头、节头组成。

 

 

图1：PE文件格式结构

 

 

         NT头的定义可在Visual C++的<winnt.h>头文件中找到，也可使用DbgHelp.dll中的ImageNtHeader()函数得到相关信息，另外，还可以使用DOS头来获取NT头，因为DOS头的最后位置e_lfanew，代表了NT头的偏移量。

 

 

typedef struct _IMAGE_NT_HEADERS {

   DWORD Signature;

   IMAGE_FILE_HEADER FileHeader;

   IMAGE_OPTIONAL_HEADER OptionalHeader;

} IMAGE_NT_HEADERS, *PIMAGE_NT_HEADERS;

 

 

         在PE最优化头中，有一些数据目录指明了当前进程虚拟内存中，主信息表的相对位置及大小，这些表可保存资源、导入、导出、重定位、调试、线程本地存储及COM运行时的有关信息。没有导入表的PE可执行文件是不可能存在的，这张表包含了DLL名及函数名，这些都是程序通过虚拟地址调用它们时所必不可少的；控制台可执行文件中没有资源表，然而，对图形用户界面的Windows可执行文件来说，资源表却是至关重要的部分；当某个动态链接库导出了它的函数，此时就需要导出表了，在OLE Active-X容器中也同样；而.NET虚拟机缺少了COM+运行时头则不能被执行。PE格式的详细说明见表1：

 

 

数据目录

0 Export Table（导出表）

1 Import Table（导入表）

2 Resource Table（资源表）

3 Exception Table（异常表）

4 Certificate File（凭证文件）

5 Relocation Table（重定位表）

6 Debug Data（调试数据）

7 Architecture Data（架构数据）

8 Global Ptr（全局指针）

9 Thread Local Storage Table（线程本地存储表）

10 Load Config Table（加载配置表）

11 Bound Import Table（边界导入表）

12 Import Address Table（导入地址表）

13 Delay Import Descriptor（延误导入描述符）

14 COM+ Runtime Header（COM+运行时头）

15 Reserved（保留）

    表1：数据目录

 

 

// <winnt.h>

 

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES     16

 

//可选头格式

 

typedef struct _IMAGE_OPTIONAL_HEADER {

 

   ...

 

   IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

 

 

//目录项

#define IMAGE_DIRECTORY_ENTRY_EXPORT      0 //导出目录

#define IMAGE_DIRECTORY_ENTRY_IMPORT      1 //导入目录

#define IMAGE_DIRECTORY_ENTRY_RESOURCE    2 //资源目录

#define IMAGE_DIRECTORY_ENTRY_BASERELOC 5 //基重定位表

#define IMAGE_DIRECTORY_ENTRY_DEBUG       6 //调试目录

#define IMAGE_DIRECTORY_ENTRY_TLS         9 //TLS目录

 

 

         可通过简单的几行代码获得导入表的位置及大小，知道了导入表的位置后，就可知道DLL名及函数名了，这将在后面进行讨论。

 

 

PIMAGE_NT_HEADERS pimage_nt_headers = ImageNtHeader(pImageBase);

DWORD it_voffset = pimage_nt_headers->OptionalHeader.

   DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

 

PIMAGE_DOS_HEADER pimage_dos_header = PIMAGE_DOS_HEADER(pImageBase);

PIMAGE_NT_HEADERS pimage_nt_headers = (PIMAGE_NT_HEADERS)

   (pImageBase + pimage_dos_header->e_lfanew);

DWORD it_voffset = pimage_nt_headers->OptionalHeader.

   DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

 

 

         2 、导入描述符概览

         通过导入表的导入目录项，可获知文件映像内部导入表的位置，且对每个导入的DLL、导入描述符，都有一个相应的容器，其包含了首个thunk（转换程序）地址、原始首个thunk的地址，还有指向DLL名的指针。FirstThunk指向首个thunk的位置，这些thunk在程序运行时，由Windows的PE加载器初始化，如图5所示。OriginalFirstThunk指向这些thunk的第一个存储位置，对每个函数而言，这也是提供Hint（提示）数据地址及函数名数据之处，见图4。在本例中，OriginalFirstThunk不存在，而FirstThunk则指向了提示数据及函数名数据位置之处，见图3。

         IMAGE_IMPORT_DESCRIPTOR结构代表了导入描述符，以下是其定义：

 

 

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

  DWORD    OriginalFirstThunk;

   DWORD   TimeDateStamp;

   DWORD   ForwarderChain;

   DWORD   Name;

   DWORD   FirstThunk;

} IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR;

 

 

         OriginalFirstThunk指向第一个thunk（IMAGE_THUNK_DATA），thunk中保存了提示数据地址及函数名。

         TimeDateStamp包含了绑定的时间日期戳，如果它为0，表示在导入的DLL没有任何绑定。在将来，会设为0xFFFFFFFF以表明有绑定。

         ForwarderChain指向API的第一个转发链，设为0xFFFFFFFF表示没有转发。

         Name指明了DLL名的相对虚拟地址。

         FirstThunk包含了由IMAGE_THUNK_DATA定义的首个thunk数组的虚拟地址，而thunk由加载器用函数虚拟地址初始化。如果OrignalFirstThunk不存在，它指向了第一个thunk、提示（Hint）thunk及函数名。

 

 

typedef struct _IMAGE_IMPORT_BY_NAME {

   WORD    Hint;

   BYTE    Name[1];

} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

 

typedef struct _IMAGE_THUNK_DATA {

   union {

      PDWORD    Function;

      PIMAGE_IMPORT_BY_NAME AddressOfData;

   } u1;

} IMAGE_THUNK_DATA, *PIMAGE_THUNK_DATA;

 

 

图2：导入表一览

 

 

图3：带有Orignal First Thunk的导入表视图

 

 

         这两张导入表（图2、3）清楚地说明了带有及不带Orignal First Thunk时的区别。

 

 

图4：被PE加载器覆写后的导入表

 

 

         可用Dependency Walker，见图5，来查看导入表的所有信息，另外，还有一个小工具Import Table viewer，见图6，也可用来查看此类信息。

 

 

图5：Dependency Walker——Visual Studio自带的工具

 

 

图6：Import Table viewer

 

 

         另外，也可利用下面这段代码，在自己的程序中显示导入DLL及导入函数（只适用于控制台模式的程序）。

 

 

PCHAR        pThunk;

PCHAR        pHintName;

DWORD        dwAPIaddress;

PCHAR        pDllName;

PCHAR        pAPIName;

//----------------------------------------

DWORD dwImportDirectory= RVA2Offset(pImageBase, pimage_nt_headers->

   OptionalHeader.

   DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

//----------------------------------------

PIMAGE_IMPORT_DESCRIPTOR pimage_import_descriptor=

   (PIMAGE_IMPORT_DESCRIPTOR) (pImageBase+dwImportDirectory);

//----------------------------------------

while(pimage_import_descriptor->Name!=0)

{

   pThunk= pImageBase+pimage_import_descriptor->FirstThunk;

   pHintName= pImageBase;

   if(pimage_import_descriptor->OriginalFirstThunk!=0)

   {

        pHintName+= RVA2Offset(pImageBase,

           pimage_import_descriptor->OriginalFirstThunk);

   }

   else

   {

      pHintName+= RVA2Offset(pImageBase, pimage_import_descriptor->FirstThunk);

   }

   pDllName= pImageBase + RVA2Offset(pImageBase,pimage_import_descriptor->Name);

   printf(" DLL Name: %s First Thunk: 0x%x", pDllName,

          pimage_import_descriptor->FirstThunk);

 

   PIMAGE_THUNK_DATA pimage_thunk_data= (PIMAGE_THUNK_DATA) pHintName;

   while(pimage_thunk_data->u1.AddressOfData!=0)

   {

      dwAPIaddress= pimage_thunk_data->u1.AddressOfData;

      if((dwAPIaddress&0x80000000)==0x80000000)

      {

         dwAPIaddress&= 0x7FFFFFFF;

         printf("Proccess: 0x%x", dwAPIaddress);

      }

      else

      {

         pAPIName= pImageBase+RVA2Offset(pImageBase, dwAPIaddress)+2;

         printf("Proccess: %s", pAPIName);

      }

      pThunk+= 4;

      pHintName+= 4;

      pimage_thunk_data++;

   }

   pimage_import_descriptor++;

}

 

 

         3 、API 重定向技术

         在了解了导入表的所有基础知识后，现在就要来看看重定向方法了，其算法非常简单，在当前进程的虚拟内存内部创建一个额外的虚拟空间，并生成相应指令通过JMP重定向到原始函数位置。在这里，可使用绝对跳转或相对跳转，在使用绝对跳转时要非常小心，不能像图7中那么简单地进行，应首先把虚拟地址存到EAX中，接着由JMP EAX跳转。

 

 

图7：绝对跳转指令的API重定向

 

 

         当然了，也可以使用相对跳转，下面的代码就是这样做的，但要清楚，不能对所有DLL模块都进行API重定向，比如，拿“计算器”CALC.EXE来说，MSVCRT.DLL的某些thunk在运行时初始化期间，是从CALC.EXE代码节内部访问的，因此，重定向的话则不能正常工作。

 

 

_it_fixup_1:

   push ebp

   mov ebp,esp

   add esp,-14h

   push PAGE_READWRITE

   push MEM_COMMIT

   push 01D000h

   push 0

   call _jmp_VirtualAlloc

   //NewITaddress=VirtualAlloc(NULL, 0x01D000,

   //                          MEM_COMMIT, PAGE_READWRITE);

   mov [ebp-04h],eax

   mov ebx,[ebp+0ch]

   test ebx,ebx

   jz _it_fixup_1_end

   mov esi,[ebp+08h]

   add ebx,esi                        // dwImageBase + dwImportVirtualAddress

 

_it_fixup_1_get_lib_address_loop:

      mov eax,[ebx+0ch]               // image_import_descriptor.Name

      test eax,eax

      jz _it_fixup_1_end

 

      mov ecx,[ebx+10h]               // image_import_descriptor.FirstThunk

      add ecx,esi

      mov [ebp-08h],ecx               // dwThunk

      mov ecx,[ebx]                   // image_import_descriptor.Characteristics

      test ecx,ecx

      jnz _it_fixup_1_table

      mov ecx,[ebx+10h]

 

_it_fixup_1_table:

      add ecx,esi

      mov [ebp-0ch],ecx               // dwHintName

      add eax,esi                     // image_import_descriptor.Name

                                    // + dwImageBase = ModuleName

      push eax                        // lpLibFileName

      mov [ebp-10h],eax

      call _jmp_LoadLibrary             // LoadLibrary(lpLibFileName);

 

      test eax,eax

      jz _it_fixup_1_end

      mov edi,eax

 

_it_fixup_1_get_proc_address_loop:

         mov ecx,[ebp-0ch]            // dwHintName

         mov edx,[ecx]                // image_thunk_data.Ordinal

         test edx,edx

         jz _it_fixup_1_next_module

         test edx,080000000h          //是否按顺序导入

         jz _it_fixup_1_by_name

         and edx,07FFFFFFFh          //取得顺序

         jmp _it_fixup_1_get_addr

 

_it_fixup_1_by_name:

         add edx,esi                  // image_thunk_data.Ordinal +

                                    // dwImageBase = OrdinalName

         inc edx

         inc edx                      // OrdinalName.Name

_it_fixup_1_get_addr:

         push edx                     // lpProcName

         push edi                     // hModule

         call _jmp_GetProcAddress      // GetProcAddress(hModule,

                                    //                      lpProcName);

         mov [ebp-14h],eax            //_p_dwAPIaddress

         //=========================================================

         //            重定向引擎

         push edi

         push esi

         push ebx

 

         mov ebx,[ebp-10h]

         push ebx

         push ebx

         call _char_upper

 

         mov esi,[ebp-10h]

         mov edi,[ebp+010h]

 

_it_fixup_1_check_dll_redirected:

            push edi

            call __strlen

            add esp, 4

 

            mov ebx,eax

            mov ecx,eax

             push edi

            push esi

            repe cmps

            jz _it_fixup_1_do_normal_it_0

            pop esi

            pop edi

            add edi,ebx

         cmp byte ptr [edi],0

         jnz _it_fixup_1_check_dll_redirected

            mov ecx,[ebp-08h]

            mov eax,[ebp-014h]

            mov [ecx],eax

            jmp _it_fixup_1_do_normal_it_1

 

_it_fixup_1_do_normal_it_0:

            pop esi

            pop edi

            mov edi,[ebp-04h]

            mov byte ptr [edi], 0e9h    // JMP指令

            mov eax,[ebp-14h]

            sub eax, edi

            sub eax, 05h

            mov [edi+1],eax             //相对JMP值

            mov word ptr [edi+05], 0c08bh

            mov ecx,[ebp-08h]

            mov [ecx],edi               // -> Thunk

            add dword ptr [ebp-04h],07h

 

_it_fixup_1_do_normal_it_1:

         pop ebx

         pop esi

         pop edi

        //===================================================

         add dword ptr [ebp-08h],004h    // dwThunk => next dwThunk

         add dword ptr [ebp-0ch],004h   // dwHintName =>

                                         // next dwHintName

      jmp _it_fixup_1_get_proc_address_loop

 

_it_fixup_1_next_module:

      add ebx,014h              // sizeof(IMAGE_IMPORT_DESCRIPTOR)

   jmp _it_fixup_1_get_lib_address_loop

 

_it_fixup_1_end:

   mov esp,ebp

   pop ebp

   ret 0ch

 

 

         说点题外话，千万不要认为这样就可以绕过Professional EXE Protector了，这个软件中有一套自己的x86指令生成引擎用于创建重定向代码，有时，这个引擎还带有一个扰乱变形引擎，以使它复杂到难以跟踪分析。

 

 

         在工作原理上，上述代码依照了下列算法：

 

1、 创建一个单独的空间以存储由VirtualAlloc()生成的指令。

2、 通过LoadLibrary()和GerProcAddress()找到函数的虚拟地址。

3、 检查DLL名是否匹配有效DLL列表。在本例中，识别出KERNEL32.DLL、USER32.DLL、GDI32.DLL、ADVAPI32.DLL、SHELL32.DLL为可重定向的有效DLL名。

4、 如果DLL名有效，转到重定向部分；否则，用原始函数虚拟地址初始化thunk。

5、 为重定向API，生成JMP（0xE9）指令并计算函数的相对地址以确定相对跳转。

6、 把生成的指令存储在单独的空间中，并把thunk引用为这些指令的首地址。

7、 对其他函数及DLL重复以上步骤。

 

 

如果对CALC.EXE执行了以上步骤，并以OllyDbg进行跟踪，将会看到类似以下的代码：

 

 

008E0000 - E9 E6F8177C     JMP SHELL32.ShellAboutW

008E0005     8BC0           MOV EAX,EAX

008E0007 - E9 0F764F77     JMP ADVAPI32.RegOpenKeyExA

008E000C     8BC0           MOV EAX,EAX

008E000E - E9 70784F77     JMP ADVAPI32.RegQueryValueExA

008E0013     8BC0           MOV EAX,EAX

008E0015 - E9 D66B4F77     JMP ADVAPI32.RegCloseKey

008E001A     8BC0           MOV EAX,EAX

008E001C - E9 08B5F27B     JMP kernel32.GetModuleHandleA

008E0021     8BC0           MOV EAX,EAX

008E0023 - E9 4F1DF27B     JMP kernel32.LoadLibraryA

008E0028     8BC0           MOV EAX,EAX

008E002A - E9 F9ABF27B     JMP kernel32.GetProcAddress

008E002F     8BC0           MOV EAX,EAX

008E0031 - E9 1AE4F77B     JMP kernel32.LocalCompact

008E0036     8BC0           MOV EAX,EAX

008E0038 - E9 F0FEF27B     JMP kernel32.GlobalAlloc

008E003D     8BC0           MOV EAX,EAX

008E003F - E9 EBFDF27B     JMP kernel32.GlobalFree

008E0044     8BC0           MOV EAX,EAX

008E0046 - E9 7E25F37B     JMP kernel32.GlobalReAlloc

008E004B     8BC0           MOV EAX,EAX

008E004D - E9 07A8F27B     JMP kernel32.lstrcmpW

008E0052     8BC0           MOV EAX,EAX

 

 

         而绝对跳转时的代码如下：

 

 

008E0000 - B8 EBF8A57C     MOV EAX,7CA5F8EBh

 //SHELL32.ShellAboutW的地址

008E0005     FFE0           JMP EAX

 

 

         下面，就要用重定向技术来改变某个API的功能了，在本例中，将把CALC.EXE的ShellAbout()对话框重定向到“Hello World!”消息框，且只需对前述代码作稍许改动：

 

 

...

   //==============================================================

   push edi

   push esi

   push ebx

 

   mov ebx,[ebp-10h]

   push ebx

   push ebx

   call _char_upper

 

   mov esi,[ebp-10h]

   mov edi,[ebp+010h]        // [ebp+_p_szShell32]

 

_it_fixup_1_check_dll_redirected:

      push edi

      call __strlen

      add esp, 4

 

      mov ebx,eax

      mov ecx,eax

      push edi

      push esi

      repe cmps             // byte ptr [edi], byte ptr [esi]

      jz _it_fixup_1_check_func_name

      jmp _it_fixup_1_no_check_func_name

 

_it_fixup_1_check_func_name:

      mov edi,[ebp+014h]    // [ebp+_p_szShellAbout]

      push edi

      call __strlen

      add esp, 4

      mov ecx,eax

      mov esi,[ebp-18h]

      mov edi,[ebp+014h]    // [ebp+_p_szShellAbout]

      repe cmps //byte ptr [edi], byte ptr [esi]

      jz _it_fixup_1_do_normal_it_0

 

_it_fixup_1_no_check_func_name:

      pop esi

      pop edi

      add edi,ebx

   cmp byte ptr [edi],0

   jnz _it_fixup_1_check_dll_redirected

   mov ecx,[ebp-08h]

   mov eax,[ebp-014h]

   mov [ecx],eax

   jmp _it_fixup_1_do_normal_it_1

 

_it_fixup_1_do_normal_it_0:

      pop esi

      pop edi

      mov ecx,[ebp-08h]

      mov edi,[ebp+18h]

      mov [ecx],edi    //把新函数的地址存到thunk中

 

_it_fixup_1_do_normal_it_1:

   pop ebx

   pop esi

   pop edi

   //==============================================================

   ...

 

 

         先检查DLL是否为“Shell32.dll”，再检查函数名是否为“ShellAboutW”，如果这两个条件为true，把ShellAbout()的thunk重定向到新的函数。

         新的函数只是一个简单的消息框：

 

 

_ShellAbout_NewCode:

_local_0:

   pushad    //把寄存器上下文保存在堆栈中

   call _local_1

_local_1:

   pop ebp

   sub ebp,offset _local_1 //得到基ebp

   push MB_OK | MB_ICONINFORMATION

   lea eax,[ebp+_p_szCaption]

   push eax

   lea eax,[ebp+_p_szText]

   push eax

   push NULL

   call _jmp_MessageBox

   // MessageBox(NULL, szText, szCaption, MB_OK | MB_ICONINFORMATION) ;

   popad    //从堆栈中恢复第一个寄存器上下文

   ret 10h

 

 

         当想要用一个新的函数取代某个API时，应考虑以下两个重点部分：

 

         一是不要因丢失堆栈点而破坏了堆栈内存（Stack memory），因此，最终必需以ADD ESP,xxx或RET xxx恢复原始堆栈点。

         二是通过PUSHAD、POPAD，尽量保证除了EAX之外的大多数线程寄存器的安全。

 

 

         大家可以看到，代码中也使用了PUSHAD及POPAD回收线程寄存器，对本例来说，ShellAbout()有4个DWORD成员，因此当返回时，堆栈点增长了0x10。

         重定向ShellAbout()之后，点击计算器（CALC.EXE）“帮助”菜单中的“关于计算器”，就可看到结果了。

 

 

图8：“关于计算器”被重定向到一个消息框

 

 

         4 、保护防止逆向工程

         要使用复杂的API重定向技术来重新构造一个导入表简直是难上加难，有时，像Import REConstructor这样的工具（图10）在重建导入表时也会被搞糊涂，尤其是当重定向是通过多态代码映像来实现时。在逆向工程界，Import REConstructor是一个非常有名的工具，它会挂起目标进程以捕捉导入表信息。如果是像简单的JMP这样实现的重定向，使用此工具当然可以被重建，不过，如果加密了函数名并在内存中与多态变形代码进行绑定，它就不能得到正确的导入表了。Native Security Engine 6就是这样的一个打包器，它有一个x86代码生成器外加一个扰乱变形引擎，两者都有助于实现一个复杂的重定向结构。

 

 

图9：Import REConstructor

 

 

         图10中列明了导入表保护的主要策略，它们中有些重定向至虚拟的Win32库，例如，分别有Kernel32、User32、AdvApi32的虚拟库，使用自己的库可防止被他人破解或安装自己的虚拟机。

 

 

图10：导入表保护

 

 

         利用此方法，也可切断对外界的访问，如MoleBox就是这样，它过滤了FindFirstFile()及FindNextFile()以把TEXT及JPEG文件合并在压缩文件内部，当程序找到硬盘上的一个文件时，它将会被重定向到内存中。

 

 

         5 、导入表的运行时注入

         在这一节，最重要的问题是，怎样注入到运行时进程的导入表中呢，其实可通过重写内存数据及从外部重定向导入表来实现。

         （1）、WindowFromPoint()可获取特定点的窗口句柄，GetWindowThreadProcessId()可有助于了解此窗口句柄的进程ID及线程ID。

 

POINT point;

HWND hWindowUnderTheMouse = WindowFromPoint(point);

 

DWORD     dwProcessId;

DWORD     dwThreadId;

dwThreadId=GetWindowThreadProcessId(hSeekedWindow, &dwProcessId);

 

 

         （2）、进程及线程句柄可由OpenProcess()及OpenThread()获得。

 

HANDLE hProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE,

                               dwProcessId );

HANDLE hThread = OpenThread( THREAD_ALL_ACCESS, FALSE,

                              dwThreadId);

 

 

         （3）、要操纵进程内存，先要挂起主线程来冻结进程。

 

SuspendThread(hThread);

 

 

         （4）、线程环境块（Thread Environment Block TEB）的位置可由FS:[18]获得，而使用GetThreadContext()与GetThreadSelectorEntry()则可以知道FS段的基址值。

 

CONTEXT         Context;

LDT_ENTRY       SelEntry;

 

Context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS;

GetThreadContext(hThread,&Context);

 

//计算FS的基址

GetThreadSelectorEntry(hThread, Context.SegFs, &SelEntry);

DWORD dwFSBase = ( SelEntry.HighWord.Bits.BaseHi << 24) |

                 (SelEntry.HighWord.Bits.BaseMid << 16) |

                  SelEntry.BaseLow;

 

 

         （5）、线程环境块可在目标进程虚拟内存内部读取获得，线程与进程环境块的具体形式，请见图11。

 

PTEB pteb = new TEB;

PPEB ppeb = new PEB;

DWORD        dwBytes;

 

ReadProcessMemory( hProcess, (LPCVOID)dwFSBase, pteb,

                   sizeof(TEB), &dwBytes);

ReadProcessMemory( hProcess, (LPCVOID)pteb->Peb, ppeb,

                   sizeof(PEB), &dwBytes);

 

 

图11：线程环境块（Thread Environment Block）及进程环境块（Process Environment Block）

 

 

         （6）、当前进程内存的PE映像的映像基址可由进程环境块中信息获得。

 

DWORD dwImageBase = (DWORD)ppeb->ImageBaseAddress;

 

 

         （7）、ReadProcessMemory()可用于读取PE文件的整个映像。

 

PIMAGE_DOS_HEADER pimage_dos_header = new IMAGE_DOS_HEADER;

PIMAGE_NT_HEADERS pimage_nt_headers = new IMAGE_NT_HEADERS;

 

ReadProcessMemory( hProcess,

                  (LPCVOID)dwImageBase,

                   pimage_dos_header,

                   sizeof(IMAGE_DOS_HEADER),

                  &dwBytes);

ReadProcessMemory( hProcess,

                  (LPCVOID)(dwImageBase+pimage_dos_header->

                            e_lfanew),

                   pimage_nt_headers, sizeof(IMAGE_NT_HEADERS),

                  &dwBytes);

 

PCHAR pMem = (PCHAR)GlobalAlloc(

                   GMEM_FIXED | GMEM_ZEROINIT,

                   pimage_nt_headers->

                   OptionalHeader.SizeOfImage);

 

ReadProcessMemory( hProcess,

                  (LPCVOID)(dwImageBase),

                   pMem,

                   pimage_nt_headers->

                   OptionalHeader.SizeOfImage,

                   &dwBytes);

 

 

         （8）、查找DLL名及thunk值确定目标以便对它进行重定向，在本例中，DLL名是Shell32.dll，而thunk是ShellAbout()的虚拟地址。

 

HMODULE hModule = LoadLibrary("Shell32.dll");

DWORD dwShellAbout= (DWORD)GetProcAddress(hModule, "ShellAboutW");

 

DWORD dwRedirectMem = (DWORD)VirtualAllocEx(

                   hProcess,

                   NULL,

                   0x01D000,

                   MEM_COMMIT,

                   PAGE_EXECUTE_READWRITE);

 

RedirectAPI(pMem, dwShellAbout, dwRedirectMem);

 

...

 

int RedirectAPI(PCHAR pMem, DWORD API_voffset,

                DWORD NEW_voffset)

{

   PCHAR     pThunk;

   PCHAR     pHintName;

   DWORD     dwAPIaddress;

   PCHAR     pDllName;

   DWORD     dwImportDirectory;

 

   DWORD     dwAPI;

 

   PCHAR pImageBase = pMem;

   //----------------------------------------

   PIMAGE_IMPORT_DESCRIPTOR    pimage_import_descriptor;

   PIMAGE_THUNK_DATA           pimage_thunk_data;

   //----------------------------------------

   PIMAGE_DOS_HEADER pimage_dos_header;

   PIMAGE_NT_HEADERS pimage_nt_headers;

   pimage_dos_header = PIMAGE_DOS_HEADER(pImageBase);

   pimage_nt_headers = (PIMAGE_NT_HEADERS)

                       (pImageBase+pimage_dos_header-> e_lfanew);

   //----------------------------------------

   dwImportDirectory=pimage_nt_headers->OptionalHeader

               .DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]

               .VirtualAddress;

   if(dwImportDirectory==0)

   {

        return -1;

   }

   //----------------------------------------

   pimage_import_descriptor=(PIMAGE_IMPORT_DESCRIPTOR)

                            (pImageBase+dwImportDirectory);

   //----------------------------------------

   while(pimage_import_descriptor->Name!=0)

   {

      pThunk=pImageBase+pimage_import_descriptor->

         FirstThunk;

      pHintName=pImageBase;

      if(pimage_import_descriptor->OriginalFirstThunk!=0)

      {

         pHintName+=pimage_import_descriptor->

            OriginalFirstThunk;

      }

      else

      {

         pHintName+=pimage_import_descriptor->FirstThunk;

      }

      pDllName=pImageBase+pimage_import_descriptor->Name;

 

      StrUpper(pDllName);

      if(strcmp(pDllName,"SHELL32.DLL")==0)

      {

         pimage_thunk_data=PIMAGE_THUNK_DATA(pHintName);

         while(pimage_thunk_data->u1.AddressOfData!=0)

         {

            //----------------------------------------

            memcpy(&dwAPI, pThunk, 4);

            if(dwAPI==API_voffset)

            {

               memcpy(pThunk, &NEW_voffset, 4);

               return 0;

            }

            //----------------------------------------

            pThunk+=4;

            pHintName+=4;

            pimage_thunk_data++;

         }

      }

      pimage_import_descriptor++;

   }

   //----------------------------------------

   return -1;

}

 

 

         （9）、重定向中的额外内存由VirtualProtectEx()分配，在此只是生成代码，并把它写到新的空间中。

 

DWORD dwRedirectMem = (DWORD)VirtualAllocEx(

                      hProcess,

                      NULL,

                      0x01D000,

                      MEM_COMMIT,

                      PAGE_EXECUTE_READWRITE);

 

...

 

PCHAR pLdr;

DWORD Ldr_rsize;

GetLdrCode(pLdr, Ldr_rsize);

 

WriteProcessMemory( hProcess,

                   (LPVOID)(dwRedirectMem),

                   pLdr,

                   Ldr_rsize,

                   &dwBytes);

 

 

         （10）、额外的内存中是加载代码，它显示一个消息框。

 

void GetLdrCode(PCHAR &pLdr, DWORD &rsize)

{

   HMODULE     hModule;

   DWORD       dwMessageBox;

 

   PCHAR       ch_temp;

   DWORD       dwCodeSize;

   ch_temp=(PCHAR)DWORD(ReturnToBytePtr(DynLoader,

      DYN_LOADER_START_MAGIC))+4;

   dwCodeSize=DWORD(ReturnToBytePtr(DynLoader,

      DYN_LOADER_END_MAGIC))-DWORD(ch_temp);

   rsize= dwCodeSize;

   pLdr = (PCHAR)GlobalAlloc(GMEM_FIXED | GMEM_ZEROINIT, dwCodeSize);

   memcpy(pLdr, ch_temp, dwCodeSize);

 

   ch_temp=(PCHAR)ReturnToBytePtr(pLdr,

      DYN_LOADER_START_DATA1);

 

   hModule = LoadLibrary("User32.dll");

   dwMessageBox= (DWORD)GetProcAddress(hModule, "MessageBoxA");

   memcpy(ch_temp+4, &dwMessageBox, 4);

}

 

   ...

_ShellAbout_NewCode:

_local_0:

   pushad    //在堆栈中保存寄存器上下文

   call _local_1

_local_1:

   pop ebp

   sub ebp,offset _local_1    //取得ebp基址

   push MB_OK | MB_ICONINFORMATION

   lea eax,[ebp+_p_szCaption]

   push eax

   lea eax,[ebp+_p_szText]

   push eax

   push NULL

   mov eax, [ebp+_p_MessageBox]

   call eax

   // MessageBox(NULL, szText, szCaption,

   /             MB_OK | MB_ICONINFORMATION) ;

   popad    //从堆栈中恢复第一个寄存器上下文

   ret 10h

   ...

 

 

         （11）、在修改之后，可执行映像就写到内存中了，记得在写之前，不要忘了把内存设为完全访问。

 

VirtualProtectEx( hProcess,

                 (LPVOID)(dwImageBase),

                   pimage_nt_headers->

                  OptionalHeader.SizeOfImage,

                  PAGE_EXECUTE_READWRITE,

                  &OldProtect);

 

WriteProcessMemory( hProcess,

                   (LPVOID)(dwImageBase),

                    pMem,

                    pimage_nt_headers->

                    OptionalHeader.SizeOfImage,

                    &dwBytes);

 

         VirtualProtectEx()设置页访问为PAGE_EXECUTE_READWRITE保护类型，当使用WriteProcessMemory()且可执行页中有PAGE_EXECUTE时，必须有PAGE_READWRITE访问权限。

 

 

         （12）、现在，可以释放前面挂起的进程了，点击“关于”菜单，将会看到如图12所示的界面。

 

ResumeThread(hThread);

 

 

图12：ShellAbout() thunk的运行时注入

 

 

         6 、对程序的挂钩

         利用此方法，可挂钩所有Windows控件并过滤API，也就是通常所说的用户级rootkit，下面就来看一下对Yahoo Messenger的挂钩是怎样实现的。

 

         （1）、使用FindWindow()通过类名取得Yahoo Messenger的句柄。

 

HWND hWnd = FindWindow("YahooBuddyMain", NULL);

 

         （2）、用前面描述的方法实现对进程的注入。

 

         （3）、在GetDlgItemText()的导入thunk上进行注入，以过滤它的参数。

 

UINT GetDlgItemText( HWND hDlg,

                     int nIDDlgItem,

                     LPTSTR lpString,

                     int nMaxCount);

 

         （4）、比较对话框ID、nIDDlgItem，以确定当前哪个项目在使用，找到之后，对原始GetDlgItemText()进行挂钩。

 

CHAR pYahooID[127];

CHAR pPassword[127];

 

switch(nIDDlgItem)

{

case 211:     // Yahoo ID

   //

   GetDlgItemText(hDlg, nIDDlgItem, pYahooID, 127);

   // ...

   //

   GetDlgItemText(hDlg, nIDDlgItem, lpString, nMaxCount);

   break;

 

case 212:     //密码

   //

   GetDlgItemText(hDlg, nIDDlgItem, pPassword, 127);

   // ...

   //

   GetDlgItemText(hDlg, nIDDlgItem, lpString, nMaxCount);

   break;

 

default:

   //

   GetDlgItemText(hDlg, nIDDlgItem, lpString, nMaxCount);

}

 

 

图13：对Yahoo Messenger的挂钩

 

 

         7 、结论

         导入表是Windows可执行文件中非常重要的部分，相关知识可助于理解程序在运行时，是怎样请求某个API的。你也可重定向导入表到当前进程的另一个可执行内存中，通过自己的PE加载器防止别人对程序进行逆向工程，或者仅是挂钩API函数；也可从外部在运行时挂起某个进程从而修改它的导入表。更进一步来说，在理解了这个概念之后，还可以创建自己的虚拟机，在Windows或Liunx内部的一个单独环境中，运行Windows可执行文件，也就是说，甚至可以不需要Windows就能运行Windows EXE文件了。