【读书笔记】《windows PE 权威指南》重定位

;--------------------------------
;动态加载功能实现
;moriarty
;2012/04/13
;--------------------------------
.386
.model flat,stdcall
option casemap:none

include windows.inc

;声明函数
_QLGetProcAddress    typedef proto     :dword, :dword

;声明函数引用
_ApiGetProcAddress     typedef     ptr     _QLGetProcAddress

_QLLoadLib     typedef        proto    :dword
_ApiLoadLib     typedef        ptr    _QLLoadLib

_QLMessageBoxA    typedef        proto    :dword, :dword, :dword
_ApiMessageBoxA    typedef        ptr    _QLMessageBoxA


;代码段
.code
szText        db    'HelloWorldPE',0
szGetProcAddr    db    'GetProcAddress',0
szLoadLib    db    'LoadLibraryA',0
szMessageBox    db    'MessageBoxA',0

user32_DLL    db    'user32.dll',0,0

;定义函数
_getProcAddress        _ApiGetProcAddress    ?
_loadLibrary        _ApiLoadLib        ?
_messageBox        _ApiMessageBoxA        ?

hKernel32Base    dd    ?
hUser32Base    dd    ?
lpGetProcAddr    dd    ?
lpLoadLib    dd    ?

;------------------------------------------
;根据kernel32.dll中的一个地址获取它的基址
;------------------------------------------
_getKernelBase    proc    _dwKernelRetAddress
    
    LOCAL    @dwRet
    pushad
    mov     @dwRet, 0
    
    mov    edi, _dwKernelRetAddress
    and    edi, 0ffff0000h
    
    .repeat
        ;找到kernel32.dll的dos头
        .if word ptr [edi] == IMAGE_DOS_SIGNATURE
            mov     esi, edi
            add    esi, [esi+003ch]
            
            ;找到kernel32.dll的pe头标示
            .if word ptr [esi] == IMAGE_NT_SIGNATURE
                mov    @dwRet, edi
                .break
            .endif
        .endif
        
        sub    edi, 010000h
        .break    .if edi < 070000000h
    .until FALSE
    
    popad
    mov     eax, @dwRet
    
    ret

_getKernelBase endp


;--------------------------------------------------------
;获取指定字符串的api函数的调用地址
;入口参数：    _hModule 为动态链接库的基址
;        _lpApi 为api函数名的首地址
;出口参数：eax为函数在虚拟地址空间中的真实地址
;--------------------------------------------------------
_getApi    proc    _hModule, _lpApi
    
    LOCAL    @ret
    LOCAL    @dwLen
    
    pushad
    mov    @ret, 0
    
    ;计算api字符串的长度 (包括最后的0在内)
    mov    edi, _lpApi
    mov    ecx, -1
    xor    al , al
    cld
    
    repnz    scasb ;比较edi与al  直到内容相同退出(即最后一个 0 时退出)
    
    mov    ecx, edi ;在repnz  比对过程中 edi 最终指向 字符串末尾的地址
    sub    ecx, _lpApi ;尾地址-首地址=字符串长度
    mov    @dwLen, ecx
    
    ;从pe文件头的数据目录表 取出导出表首地址
    mov    esi, _hModule
    add    esi, [esi+3ch] ;[esi+3ch]指向dos头的e_lfaNew字段
    
    assume    esi :ptr IMAGE_NT_HEADERS ;esi指向IMAGE_NT_HEADERS 的结构
    
    mov    esi, [esi].OptionalHeader.DataDirectory.VirtualAddress; 指向数据目标表第一项(即DataDirectory[0]导出表)
    add    esi, _hModule ;导出表的虚拟地址VA=偏移+基址
    
    assume    esi :ptr IMAGE_EXPORT_DIRECTORY ;
    
    ;查找指定名称的导出函数
    mov    ebx, [esi].AddressOfNames; 导出函数名地址 数组
    add    ebx, _hModule ;得到真实VA
    
    xor    edx, edx
    .repeat
        push     esi
        mov    edi, [ebx]
        add    edi, _hModule ;得到函数名的VA
        
        mov    esi, _lpApi
        mov    ecx, @dwLen
        repz    cmpsb    ;比较[edi]、[esi]的内容,将比对结果写入标志位，直到不相同或者ecx为0
        
        .if    ZERO? ;标志位为0 表示上面的的字符串比对 是匹配的
            pop    esi
            jmp    @F
            
        .endif
        
        pop    esi
        add    ebx, 4 ;比对 函数名地址数组的 下一项函数名
        inc    edx
    .until    edx >=  [esi].NumberOfNames
    jmp    _ret
    
@@:
    ;通过上面步骤得到的AddressOfNames的数组索引  获取函数调用的VA
    sub    ebx, [esi].AddressOfNames
    sub    ebx, _hModule    ;获得 指定函数名地址 到函数名数组首地址的偏移 
    
    shr    ebx, 1    ;偏移值 移位操作 =ebx/2 
    
    add    ebx, [esi].AddressOfNameOrdinals ;首地址+索引值   即 为指定 AddressOfNameOrdinals 的RVA
    ;指定的AddressOfNameOrdinals 的VA  
    ;注：AddressOfNameOrdinals里面存储的是AddressOfFunctions的索引
    ;AddressOfFunctions里面存储的是函数调用的地址
    add    ebx, _hModule    
    
    movzx    eax, word ptr [ebx]
    shl    eax, 2    ;根据AddressOfNameOrdinals里面的索引值*2 = AddressOfFunctions首地址的偏移量
    
    add    eax, [esi].AddressOfFunctions ;函数调用数组首地址+偏移量= 所需求的那个 函数调用地址
    add    eax, _hModule ;得到 指定函数调用的 VA
    
    mov    eax, [eax]
    add    eax, _hModule
    mov    @ret, eax
    
_ret:
    assume    esi :nothing
    popad
    mov    eax, @ret
    
    ret
_getApi endp

;------------------------------------------
;函数真正开始执行的地方
;------------------------------------------
start:
    ;取当前函数的栈顶数据
    ;函数刚开始的时候栈顶地址 一定存在于kernel32.dll地址空间内
    ;正合适以此寻找kernel32.dll的基址
    mov    eax, dword ptr [esp]
    push    eax
    call    @F
@@:
    pop    ebx
    sub    ebx, @B ;重定位功能：ebx存储基址
    
    pop    eax
    
    ;获取kernel32.dll的基址
    invoke    _getKernelBase,eax
    mov    [ebx + offset hKernel32Base], eax
    
    ;从基地址出发搜索GetProcAddress函数的地址
    mov    eax, offset szGetProcAddr
    add    eax, ebx ;eax存储的是 加了基址之后的szGetProcAddr的绝对地址VA
    
    mov    edi, offset hKernel32Base
    mov    ecx, [edi + ebx]
    
    ;调用函数  获取GetProcAddress的调用地址
    invoke    _getApi, ecx, eax
    
    mov    [ebx + offset lpGetProcAddr], eax
    
    ;将GetProcAddress的真实调用地址 存入_getProcAddress变量中
    mov    [ebx + offset _getProcAddress], eax
    
    ;下面使用GetProcAddress函数的基址 调用该函数的功能
    ;参数1：获取  LoadLibraryA 函数名字符串的地址
    mov    eax, offset szLoadLib
    add    eax, ebx
    
    ;参数2：获取 Kernel32.dll的基址
    mov    edi, offset hKernel32Base
    mov    ecx, [edi + ebx] 
    
    ;获取GetProcAddress的函数调用地址
    mov    edx, offset _getProcAddress
    add    edx, ebx
    
    ;调用函数GetProcAddress  获取LoadLibraryA的调用地址
    ;GetProcAddress hKernel32Base,LoadLibraryA
    push    eax
    push    ecx
    call    dword ptr [edx]
    
    ;将函数LoadLibraryA的调用地址存入_loadLibrary变量
    mov    [ebx + offset _loadLibrary], eax
    
    ;使用LoadLibrary载入user32.dll
    ;参数1：获取user32.dll字符串的地址
    mov    eax, offset user32_DLL
    add    eax, ebx
    
    ;函数LoadLibrary的调用地址
    mov    edi, offset _loadLibrary
    mov    edx, [ebx + edi]
    
    ;调用函数LoadLibraryA
    ;LoadLibraryA "user32.dll"
    push    eax
    call    edx
    
    ;保存user32.dll的基址
    mov    [ebx + offset hUser32Base], eax
    
    ;获取MessageBoxA的函数调用地址
    ;参数1：MessageBoxA函数名的地址
    mov    eax, offset szMessageBox
    add    eax, ebx
    
    ;参数2：user32.dll的基址
    mov     edi, offset hUser32Base
    mov    ecx, [edi + ebx]
    
    ;参数3：GetProcAddress地址
    mov    edx, offset _getProcAddress
    add    edx, ebx
    
    ;模仿调用：GetProcAddress hUser32Base,MessageBoxA
    push    eax
    push    ecx
    call    dword ptr [edx]
    
    ;保存MessageBoxA的函数调用地址
    mov    [ebx + offset _messageBox], eax
    
    ;调用MessageBoxA这个方法
    ;参数1：字符串szText
    mov    eax, offset szText
    add    eax, ebx
    
    ;参数2：函数MessageBoxA的地址
    mov    edx, offset _messageBox
    add    edx, ebx
    
    ;模仿调用MessageBoxA NULL, addr szText,Null,MB_OK
    push     MB_OK
    push     NULL
    push     eax
    push     NULL
    call    dword ptr [edx]
     
    ret
    
    end start