今天要尝试的导出表相关编程内容是:覆盖函数地址部分的指令代码。
这种覆盖技术,是将AddressOfFunctions指向的地址空间指令字节码实施覆盖,这种技术又繁衍出两种:
暴力覆盖,即将所有的代码全部替换为新代码。新代码可能含有原来代码的全部功能,也可能不包含原有代码功能。
完美覆盖,通过构造指令,实施新代码与源代码的共存和无遗漏运行。因为完美覆盖涉及代码的重定位,相对复杂一些,今天尝试暴力覆盖。目标是我自己写了一个dll导出一个加法函数,然后我要用另一个自定义函数替换这个函数,让他直接返回0。
1.首先定义测试用的dll,以及测试用的exe。
2.找到要替换的函数的FOA,这里面是指找到_Add函数,思路是先通过PE头找到导出表,信息,根据导出表信息(RVA)计算FOA从而找到导出表在文件中的位置,然后分析导出表结构,找到导出函数列表地址(RVA),计算FOA,在计算的导出表地址处找到导出函数地址(ROA),计算FOA,这样就算是找到了函数的代码段了。细节如下如:
上图是找到了导出函数列表地址24A8.
导出函数列表地址24A8转成FOA是12A8,在这里找到了导出函数地址1010,然后继续转成FOA位410 , so 410就是该导出函数实现的代码段了。
3.接下来的事就是把自己写好的新功能函数的机器码拷贝到上面的代码段就行了,获取机器码也有个方法,就是先自己用C++写好,然后调试看反汇编,在内存里直接把翻译好的机器码整个(整个函数)拿出来就行了。
这样得到的直接返回一个0的函数的机器码是:55 8b ec 33 c0 5d c3
4.替换2找到的代码段位置,也是替换到5d c3,剩余的不够的位置用90(NOP)补齐。
5.保存文件之后再继续测试一发,发现不管给_Add()函数传什么都会直接返回0的。
去看此时加载的D.dll的Add函数再次确认下函数代码对应机器码已经被修改,同时反汇编代码的汇编解释也是错的。
最后提示一点就是这个姿势需要注意一点就是堆栈平衡问题,上面的测试其实都是基于C++dll调用的,默认是调用者负责释放参数堆栈:
而有的时候需要在函数里面去把这个函数的堆栈平衡了,这个地方要注意一下。还有就是覆盖的时候最好是把内容少的覆盖到内容多的函数里,不然的话可能会破坏掉其他的函数,如果你觉得我只要这个覆盖的函数的功能就行了,别的破坏就破坏了,这样还是不行,因为这个函数的实现有可能依赖于里面自己实现的其他函数的支持。