windbg分析Kernel32.dll导出表

时间:2022-08-23 14:44:47

 

写在前面的话

继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出表结构;

对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm

零、思路说明

分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址;

I)   遍历导出名称表(下面统称为ENT),匹配到需要的函数【匹配过程中,设置一个自增的变量,这样找到后,变量里就是该函数在ENT里的下标】

II)  根据导出序号表(下面统称EOT),结合下标,找到该函数在导出地址表(EAT)里的索引

III) 然后,从EAT里取出来这个索引处的地址,就是我们要搜寻的函数的地址了;

一、分析Kernel32.dll在文件中的结构

由于是在win10_64位上进行的分析;不得不提的一点:

I)  如果程序是32位的,那么程序会链接C:\Windows\SysWOW64\kernel32.dll

II) 如果程序是64位的,那么程序会链接C:\Windows\System32\kernel32.dll

这一点,也可以通过分析基址开始80处的偏移得知;大家可以自行去分析,上篇获得基址后,db 看下内存,然后和这两个文件对比下内容就明白了;

这里,就以32位程序为例,进行分析,那么自然,我们首先需要在010里看下kernel32.dll的结构;

windbg分析Kernel32.dll导出表

windbg分析Kernel32.dll导出表

对应的文件偏移是:

windbg分析Kernel32.dll导出表

 这里,再次看下导出表的数据结构体(40Byte)

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name; // DLL的名称地址
    DWORD   Base; // 索引基数
    DWORD   NumberOfFunctions; // 函数地址表大小
    DWORD   NumberOfNames; // 函数名表大小 == 函数序号表大小
    DWORD   AddressOfFunctions;     // 函数地址表——首地址
    DWORD   AddressOfNames;         // 函数名表——首地址
    DWORD   AddressOfNameOrdinals;  // 函数序号表——首地址
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

00 00 00 00
CE 65 47 74【时间戳】
00 00      【主版本】
00 00      【次版本】 ]

B6 45 08 00【DLL名称地址】
01 00 00 00【索引基数】

3B 06 00 00【函数地址表大小】
3B 06 00 00【函数名表大小 == 函数序号表大小】

68 07 08 00【函数地址表——首地址】
54 20 08 00【函数名表——首地址】
40 39 08 00【函数序号表——首地址】

至此,我们可以得出以下几个结论:

I)   扩展头里的导入表区段偏移RVA:00080740,距离PE头位置0x168

II)  都是函数名导入

III)  EAT_Offset:80768 - 80740 = 0x28

      ENT_Offset:82054 - 80740 = 0x1914

      EOT_Offset:83940 - 80740 = 0x3200

 下面的图,可以帮助大家理解这些偏移的含义,以及如何根据这些偏移找到运行时,载入内存后的对应位置;

windbg分析Kernel32.dll导出表

0. 根据BaseAddr+0x168,我们可以找到ExportStart RVA

1. 根据BaseAddr + ExportStart_RVA + EAT/ENT/EOT_Offset就能知道真正载入内存后的EAT/ENT/EOT位置了;

二、分析Kernel32.dll在内存中的结构

根据上面的分析,其实,我们已经知道了偏移量,接下来,事情就简单了,同样的,用windbg附加打开一个进程,方法和上一篇帖子一致;

我们要做的,就是根据我们计算的偏移,算出真正的3张表的地址,并进行解析;

windbg分析Kernel32.dll导出表

ExportStart_RVA = 0x80740;

windbg分析Kernel32.dll导出表

拿一个举例,就第1个吧,RVA+基址,看下

windbg分析Kernel32.dll导出表

这个函数是AcquireSRWLockExclusive,ENT里的第0号元素;那看下EOT[0]的内容:

windbg分析Kernel32.dll导出表

EOT[0] = 0x03;也就是说,这个函数的地址,在EAT[0x3]里;那看下EAT[3]的内容:

windbg分析Kernel32.dll导出表

EAT[3] = 0x08463a,这是RVA,那么函数地址就是BaseAddr + 0x08463A = 7536463a 

 windbg分析Kernel32.dll导出表

看到这,说实话,有点怀疑人生了,这不是个字符串吗,我们不是在看EAT吗,不应该是函数地址了吗?

这里,不得不再说下Kernel32.dll的奇葩之处,它会“转发”别的dll的导出函数,就像我们在调试器中见识到的那样的导入表结构:

windbg分析Kernel32.dll导出表

为了方便大家进一步看清楚EAT的正常的真实情况,这里,就再次分析一个别的函数LoadLibraryExA,

套路也是一样,ENT->EOT->EAT,EAT里存放的是RVA,因为一个一个去在ENT里匹配LoadLibraryExA实在是太繁琐,而且,在上面的分析中,

相信大家都已经理解了ENT和EOT以及EAT的相互间的关系;这里,就直接在LoadPE里找到这个函数的RVA,我们看下:

windbg分析Kernel32.dll导出表

RVA = 159A0,然后,我们在windbg里用基址加上这个偏移,对齐进行反汇编,看下是不是和我们想的一致:

windbg分析Kernel32.dll导出表

结论得到了验证,我们也可以在调试器中,进行再次确认,Ctrl + G,输入LoadLibraryExA,如下:

windbg分析Kernel32.dll导出表

注意看那个地址,这也从侧面证明,我们对EAT的解析是成功的;

三、编写代码,实现加载user32.dll

    char srcLoadLibraryExA[] = "LoadLibraryA";
    char srcuser32[] = "user32.dll";
    int kernel32Addr = GetKernel32Base(); // 上一篇中已经写过了
    int EATAddr = 0;
    int ENTAddr = 0;
    int EOTAddr = 0;

    _asm {
        push eax;
        push ebx;
        mov eax, [kernel32Addr]; // ExportStart_RVA
        mov eax, [eax + 0x168]; // ExportStart_RVA
        add eax, kernel32Addr; // ExportStart_VA
        mov ebx, eax;
        add ebx, 0x28; // EAT
        mov EATAddr, ebx;
        mov ebx, eax;
        add ebx, 0x1914;
        mov ENTAddr, ebx; // ENT
        mov ebx, eax;
        add ebx, 0x3200;
        mov EOTAddr, ebx; // EOT
        pop ebx;
        pop eax;
    }

    _asm {
        push eax;
        push ebx;
        push ecx;
        push esi;
        push edi;
        xor ebx, ebx;
        mov eax, 0x63B;
        cld;

    _ENT_FIND:
        mov ecx, 13;
        mov esi, ENTAddr; // ENT RVA
        mov esi, [esi + 4 * ebx];
        add esi, kernel32Addr; // ENT VA
        lea edi, srcLoadLibraryExA;
        repe cmpsb;
        je _ENT_OK;
        inc ebx;
        dec eax;
        cmp eax, 0;
        jg _ENT_FIND;
        jmp _ENT_END;

    _ENT_OK:
        mov ecx, EOTAddr; // EOT Number
        mov ecx, [ecx + 2 * ebx];
        and ecx, 0xFFFF;
        mov esi, EATAddr; // EAT Address RVA
        mov esi, [esi + 4 * ecx];
        add esi, kernel32Addr; // EAT Address VA

        lea eax, srcuser32;
        push eax;
        call esi;

    _ENT_END:
        pop edi;
        pop esi;
        pop ecx;
        pop ebx;
        pop eax;
    }

至此,对Kernel32.dll的导出表解析便告一段落了;