DLL注入之修改PE静态注入

0x00 前言

我们要注入的的力量功能是下载baidu首页数据。代码如下：

#include "stdio.h"

#include"stdio.h"

#include "windows.h"

#include "shlobj.h"

#include "Wininet.h"

#include "tchar.h"

#pragma comment(lib, "Wininet.lib")

#define DEF_BUF_SIZE            (4096)

#define DEF_URL                 L"http://www.baidu.com/index.html"

#define DEF_INDEX_FILE          L"index.html"

HWND g_hWnd = NULL;

#ifdef __cplusplus

extern "C" {

#endif

__declspec(dllexport) void dummy()

{

return;

}

#ifdef __cplusplus

}

#endif

BOOL DownloadURL(LPCTSTR szURL, LPCTSTR szFile)

{

BOOL            bRet = FALSE;

HINTERNET     hInternet = NULL, hURL = NULL;

BYTE            pBuf[DEF_BUF_SIZE] = {0,};

DWORD           dwBytesRead = 0;

FILE            *pFile = NULL;

errno_t         err = 0;

hInternet = InternetOpen(L"ReverseCore",

INTERNET_OPEN_TYPE_PRECONFIG,

NULL,

NULL,

0);

if( NULL == hInternet )

{

OutputDebugString(L"InternetOpen() failed!");

return FALSE;

}

hURL = InternetOpenUrl(hInternet,

szURL,

NULL,

0,

INTERNET_FLAG_RELOAD,

0);

if( NULL == hURL )

{

OutputDebugString(L"InternetOpenUrl() failed!");

goto _DownloadURL_EXIT;

}

if( err = _tfopen_s(&pFile, szFile, L"wt") )

{

OutputDebugString(L"fopen() failed!");

goto _DownloadURL_EXIT;

}

while( InternetReadFile(hURL, pBuf, DEF_BUF_SIZE, &dwBytesRead) )

{

if( !dwBytesRead )

break;

fwrite(pBuf, dwBytesRead, 1, pFile);

}

/*

_ACRTIMP size_t __cdecl fwrite(

_In_reads_bytes_(_ElementSize * _ElementCount) void const* _Buffer,

_In_                                           size_t      _ElementSize,

_In_                                           size_t      _ElementCount,

_Inout_                                        FILE*       _Stream

);

*/

bRet = TRUE;

_DownloadURL_EXIT:

if( pFile )

fclose(pFile);

if( hURL )

InternetCloseHandle(hURL);

if( hInternet )

InternetCloseHandle(hInternet);

return bRet;

}

BOOL CALLBACK EnumWindowsProc(HWND hWnd, LPARAM lParam)

{

DWORD dwPID = 0;

GetWindowThreadProcessId(hWnd, &dwPID);

if( dwPID == (DWORD)lParam )

{

g_hWnd = hWnd;

return FALSE;

}

return TRUE;

}

HWND GetWindowHandleFromPID(DWORD dwPID)

{

EnumWindows(EnumWindowsProc, dwPID);

return g_hWnd;

}

BOOL DropFile(LPCTSTR wcsFile)

{

HWND            hWnd = NULL;

DWORD           dwBufSize = 0;

BYTE            *pBuf = NULL;

DROPFILES *pDrop = NULL;

char            szFile[MAX_PATH] = {0,};

HANDLE          hMem = 0;

WideCharToMultiByte(CP_ACP, 0, wcsFile, -1,

szFile, MAX_PATH, NULL, NULL);

dwBufSize = sizeof(DROPFILES) + strlen(szFile) + 1;

if( !(hMem = GlobalAlloc(GMEM_ZEROINIT, dwBufSize)) )

{

OutputDebugString(L"GlobalAlloc() failed!!!");

return FALSE;

}

pBuf = (LPBYTE)GlobalLock(hMem);

pDrop = (DROPFILES*)pBuf;

pDrop->pFiles = sizeof(DROPFILES);

strcpy_s((char*)(pBuf + sizeof(DROPFILES)), strlen(szFile)+1, szFile);

GlobalUnlock(hMem);

if( !(hWnd = GetWindowHandleFromPID(GetCurrentProcessId())) )

{

OutputDebugString(L"GetWndHandleFromPID() failed!!!");

return FALSE;

}

PostMessage(hWnd, WM_DROPFILES, (WPARAM)pBuf, NULL);

return TRUE;

}

DWORD WINAPI ThreadProc(LPVOID lParam)

{

TCHAR szPath[MAX_PATH] = {0,};

TCHAR *p = NULL;

OutputDebugString(L"ThreadProc() start...");

GetModuleFileName(NULL, szPath, sizeof(szPath));

if( p = _tcsrchr(szPath, L'\\') )

{

_tcscpy_s(p+1, wcslen(DEF_INDEX_FILE)+1, DEF_INDEX_FILE);

OutputDebugString(L"DownloadURL()");

if( DownloadURL(DEF_URL, szPath) )

{

OutputDebugString(L"DropFlie()");

DropFile(szPath);

}

}

OutputDebugString(L"ThreadProc() end...");

return 0;

}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)

{

switch( fdwReason )

{

case DLL_PROCESS_ATTACH :

CloseHandle(CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL));

break;

}

return TRUE;

}

编译生成名为myhack3.dll的released文件。如下图：

被注入的文件是一个名为TextView.exe的文件。如下图：

 0x01 修改PE文件注入思路

通过修改IID数组添加myhack3.dll，修改INT,IAT，以及字段NAME。

0x02 实施步骤

1）修改IID数组。

我们先找到IID数组所在，3ch找到PE头，值位E0,通过E0+80=160H

找到IID地址。如下图：

可知RVA为84CC大小为64h。

2）通过lordPE查找区段信息，确定84CC的FileOffset值。如下图：

通过上图区段信息可得到84CC位于.rdata区段。转换为FileOffset=84CC-6000+5200=76CC。当然也可以使用LordPE自带的位置计算器计算，如下图：

和我计算的结果一致。

使用HexWorkShop跳转至76cc处。76cc至772F处为IID数组的值。如下图：

显然，再在这个位置添加myhack的IID结构肯定已经放不下了。所以我们得将整体的IID数组搬迁至新位置。

3）确定IID数组的新位置。有三种方式一是找一块空白区域吧，二是增加最后一个节区大小，然后把IID数组搬过去。三是添加新的节区，然后把IID装进去。显然，第一种方式最省事，而且IID数组也不是很大。我们仔细分析区段信息，如下图：

显然区段.rdata磁盘中的大小为2E00而映射到内存中的大小2C56。也就是在2C56至2E00有一块大小为1AA大小的空白区域，这块区域全是用0填充的。我们选定IID数组从RAV=8C80

开始。

4）将原先IID数组的数据复制，在新地址8C80处填充。如下图：

随后在7ED0后面填写自己构造的IID结构。

5）为了方便，我们就干脆将myhack3.dll的IID的值构造在.rdata的剩余区域。

构造值在下表：（无关紧要的字段设置为0）

	RVA	RAW
INT地址	8d00	7F00
Name地址	8d10	7F10
IAN地址	8d20	7F20

一次将值填入如下图：

6）根据上表填写THUN_DATA结构，我们myhack.dll的被调用函数放置在803D处。Name处指向的IMAGE_IMPORT_BY_NAME结构的填入myhack.dll。如下图：

最后修改160处的IID入口地址和大小，改为808c和78。如下图：

至此，重构输入表完成。

7）还有一点值得特别注意的是。我们在在.rdata区段修改了IID数组，其中IAT表也会随之改变，这就要求.rdata区域能够有读写权限，不然，IAT无法重构。我们来查看.rdata的读取权限，如下图：

显然，只读。所以我们要添加写权限。我们就在原来值40000040加上写入权限值c00000000。

加完之后值为c00000040。我们将此值写入224处。

8）另存为TextView5.exe。点击运行。记得把myhack.dll放在同一文件目录，不然无法注入。打开processexploer。查看师是否注入成功。下如图：

显然已经成功注入。下图是运行后下载的index.html

0x03 另一种方法

在上面的方法中，我们注意到IAT和INT的地址写的是一样的，且而后面要更改.rdata区块的读出权限。其实我们可以另辟蹊径。用PEview再次打开修改后的文件TextView5。沃恩打开存放在.data区块的IAT表，如下图：（注意下面的图我都是切换了RVA模式）

我们可以更改上图中的IAT表的大小，增加八个字节存放myhack.dll的地址8D30。即6154存放myhack.dll函数地址。这样无需修改权限也能正常载入。

步骤如下：

1）更改myhack.dll的IID结构中的FristThunK值，使它指向地址6154。

如下图：

2）IAT表末尾6154处填入myhack3.dll函数dummy的地址8D30 。如下图：

3）更改IAT表的大小和.rdata的读取权限（恢复原来的只读权限）

如下图：

保存。运行并查看IAT的变化如下图：