zoukankan      html  css  js  c++  java
  • 【读书笔记】《windows PE 权威指南》重定位

      1 ;--------------------------------
      2 ;动态加载功能实现
      3 ;moriarty
      4 ;2012/04/13
      5 ;--------------------------------
      6 .386
      7 .model flat,stdcall
      8 option casemap:none
      9 
     10 include windows.inc
     11 
     12 ;声明函数
     13 _QLGetProcAddress    typedef proto     :dword, :dword
     14 
     15 ;声明函数引用
     16 _ApiGetProcAddress     typedef     ptr     _QLGetProcAddress
     17 
     18 _QLLoadLib     typedef        proto    :dword
     19 _ApiLoadLib     typedef        ptr    _QLLoadLib
     20 
     21 _QLMessageBoxA    typedef        proto    :dword, :dword, :dword
     22 _ApiMessageBoxA    typedef        ptr    _QLMessageBoxA
     23 
     24 
     25 ;代码段
     26 .code
     27 szText        db    'HelloWorldPE',0
     28 szGetProcAddr    db    'GetProcAddress',0
     29 szLoadLib    db    'LoadLibraryA',0
     30 szMessageBox    db    'MessageBoxA',0
     31 
     32 user32_DLL    db    'user32.dll',0,0
     33 
     34 ;定义函数
     35 _getProcAddress        _ApiGetProcAddress    ?
     36 _loadLibrary        _ApiLoadLib        ?
     37 _messageBox        _ApiMessageBoxA        ?
     38 
     39 hKernel32Base    dd    ?
     40 hUser32Base    dd    ?
     41 lpGetProcAddr    dd    ?
     42 lpLoadLib    dd    ?
     43 
     44 ;------------------------------------------
     45 ;根据kernel32.dll中的一个地址获取它的基址
     46 ;------------------------------------------
     47 _getKernelBase    proc    _dwKernelRetAddress
     48     
     49     LOCAL    @dwRet
     50     pushad
     51     mov     @dwRet, 0
     52     
     53     mov    edi, _dwKernelRetAddress
     54     and    edi, 0ffff0000h
     55     
     56     .repeat
     57         ;找到kernel32.dll的dos头
     58         .if word ptr [edi] == IMAGE_DOS_SIGNATURE
     59             mov     esi, edi
     60             add    esi, [esi+003ch]
     61             
     62             ;找到kernel32.dll的pe头标示
     63             .if word ptr [esi] == IMAGE_NT_SIGNATURE
     64                 mov    @dwRet, edi
     65                 .break
     66             .endif
     67         .endif
     68         
     69         sub    edi, 010000h
     70         .break    .if edi < 070000000h
     71     .until FALSE
     72     
     73     popad
     74     mov     eax, @dwRet
     75     
     76     ret
     77 
     78 _getKernelBase endp
     79 
     80 
     81 ;--------------------------------------------------------
     82 ;获取指定字符串的api函数的调用地址
     83 ;入口参数:    _hModule 为动态链接库的基址
     84 ;        _lpApi 为api函数名的首地址
     85 ;出口参数:eax为函数在虚拟地址空间中的真实地址
     86 ;--------------------------------------------------------
     87 _getApi    proc    _hModule, _lpApi
     88     
     89     LOCAL    @ret
     90     LOCAL    @dwLen
     91     
     92     pushad
     93     mov    @ret, 0
     94     
     95     ;计算api字符串的长度 (包括最后的0在内)
     96     mov    edi, _lpApi
     97     mov    ecx, -1
     98     xor    al , al
     99     cld
    100     
    101     repnz    scasb ;比较edi与al  直到内容相同退出(即最后一个 0 时退出)
    102     
    103     mov    ecx, edi ;在repnz  比对过程中 edi 最终指向 字符串末尾的地址
    104     sub    ecx, _lpApi ;尾地址-首地址=字符串长度
    105     mov    @dwLen, ecx
    106     
    107     ;从pe文件头的数据目录表 取出导出表首地址
    108     mov    esi, _hModule
    109     add    esi, [esi+3ch] ;[esi+3ch]指向dos头的e_lfaNew字段
    110     
    111     assume    esi :ptr IMAGE_NT_HEADERS ;esi指向IMAGE_NT_HEADERS 的结构
    112     
    113     mov    esi, [esi].OptionalHeader.DataDirectory.VirtualAddress; 指向数据目标表第一项(即DataDirectory[0]导出表)
    114     add    esi, _hModule ;导出表的虚拟地址VA=偏移+基址
    115     
    116     assume    esi :ptr IMAGE_EXPORT_DIRECTORY ;
    117     
    118     ;查找指定名称的导出函数
    119     mov    ebx, [esi].AddressOfNames; 导出函数名地址 数组
    120     add    ebx, _hModule ;得到真实VA
    121     
    122     xor    edx, edx
    123     .repeat
    124         push     esi
    125         mov    edi, [ebx]
    126         add    edi, _hModule ;得到函数名的VA
    127         
    128         mov    esi, _lpApi
    129         mov    ecx, @dwLen
    130         repz    cmpsb    ;比较[edi]、[esi]的内容,将比对结果写入标志位,直到不相同或者ecx为0
    131         
    132         .if    ZERO? ;标志位为0 表示上面的的字符串比对 是匹配的
    133             pop    esi
    134             jmp    @F
    135             
    136         .endif
    137         
    138         pop    esi
    139         add    ebx, 4 ;比对 函数名地址数组的 下一项函数名
    140         inc    edx
    141     .until    edx >=  [esi].NumberOfNames
    142     jmp    _ret
    143     
    144 @@:
    145     ;通过上面步骤得到的AddressOfNames的数组索引  获取函数调用的VA
    146     sub    ebx, [esi].AddressOfNames
    147     sub    ebx, _hModule    ;获得 指定函数名地址 到函数名数组首地址的偏移 
    148     
    149     shr    ebx, 1    ;偏移值 移位操作 =ebx/2 
    150     
    151     add    ebx, [esi].AddressOfNameOrdinals ;首地址+索引值   即 为指定 AddressOfNameOrdinals 的RVA
    152     ;指定的AddressOfNameOrdinals 的VA  
    153     ;注:AddressOfNameOrdinals里面存储的是AddressOfFunctions的索引
    154     ;AddressOfFunctions里面存储的是函数调用的地址
    155     add    ebx, _hModule    
    156     
    157     movzx    eax, word ptr [ebx]
    158     shl    eax, 2    ;根据AddressOfNameOrdinals里面的索引值*2 = AddressOfFunctions首地址的偏移量
    159     
    160     add    eax, [esi].AddressOfFunctions ;函数调用数组首地址+偏移量= 所需求的那个 函数调用地址
    161     add    eax, _hModule ;得到 指定函数调用的 VA
    162     
    163     mov    eax, [eax]
    164     add    eax, _hModule
    165     mov    @ret, eax
    166     
    167 _ret:
    168     assume    esi :nothing
    169     popad
    170     mov    eax, @ret
    171     
    172     ret
    173 _getApi endp
    174 
    175 ;------------------------------------------
    176 ;函数真正开始执行的地方
    177 ;------------------------------------------
    178 start:
    179     ;取当前函数的栈顶数据
    180     ;函数刚开始的时候栈顶地址 一定存在于kernel32.dll地址空间内
    181     ;正合适以此寻找kernel32.dll的基址
    182     mov    eax, dword ptr [esp]
    183     push    eax
    184     call    @F
    185 @@:
    186     pop    ebx
    187     sub    ebx, @B ;重定位功能:ebx存储基址
    188     
    189     pop    eax
    190     
    191     ;获取kernel32.dll的基址
    192     invoke    _getKernelBase,eax
    193     mov    [ebx + offset hKernel32Base], eax
    194     
    195     ;从基地址出发搜索GetProcAddress函数的地址
    196     mov    eax, offset szGetProcAddr
    197     add    eax, ebx ;eax存储的是 加了基址之后的szGetProcAddr的绝对地址VA
    198     
    199     mov    edi, offset hKernel32Base
    200     mov    ecx, [edi + ebx]
    201     
    202     ;调用函数  获取GetProcAddress的调用地址
    203     invoke    _getApi, ecx, eax
    204     
    205     mov    [ebx + offset lpGetProcAddr], eax
    206     
    207     ;将GetProcAddress的真实调用地址 存入_getProcAddress变量中
    208     mov    [ebx + offset _getProcAddress], eax
    209     
    210     ;下面使用GetProcAddress函数的基址 调用该函数的功能
    211     ;参数1:获取  LoadLibraryA 函数名字符串的地址
    212     mov    eax, offset szLoadLib
    213     add    eax, ebx
    214     
    215     ;参数2:获取 Kernel32.dll的基址
    216     mov    edi, offset hKernel32Base
    217     mov    ecx, [edi + ebx] 
    218     
    219     ;获取GetProcAddress的函数调用地址
    220     mov    edx, offset _getProcAddress
    221     add    edx, ebx
    222     
    223     ;调用函数GetProcAddress  获取LoadLibraryA的调用地址
    224     ;GetProcAddress hKernel32Base,LoadLibraryA
    225     push    eax
    226     push    ecx
    227     call    dword ptr [edx]
    228     
    229     ;将函数LoadLibraryA的调用地址存入_loadLibrary变量
    230     mov    [ebx + offset _loadLibrary], eax
    231     
    232     ;使用LoadLibrary载入user32.dll
    233     ;参数1:获取user32.dll字符串的地址
    234     mov    eax, offset user32_DLL
    235     add    eax, ebx
    236     
    237     ;函数LoadLibrary的调用地址
    238     mov    edi, offset _loadLibrary
    239     mov    edx, [ebx + edi]
    240     
    241     ;调用函数LoadLibraryA
    242     ;LoadLibraryA "user32.dll"
    243     push    eax
    244     call    edx
    245     
    246     ;保存user32.dll的基址
    247     mov    [ebx + offset hUser32Base], eax
    248     
    249     ;获取MessageBoxA的函数调用地址
    250     ;参数1:MessageBoxA函数名的地址
    251     mov    eax, offset szMessageBox
    252     add    eax, ebx
    253     
    254     ;参数2:user32.dll的基址
    255     mov     edi, offset hUser32Base
    256     mov    ecx, [edi + ebx]
    257     
    258     ;参数3:GetProcAddress地址
    259     mov    edx, offset _getProcAddress
    260     add    edx, ebx
    261     
    262     ;模仿调用:GetProcAddress hUser32Base,MessageBoxA
    263     push    eax
    264     push    ecx
    265     call    dword ptr [edx]
    266     
    267     ;保存MessageBoxA的函数调用地址
    268     mov    [ebx + offset _messageBox], eax
    269     
    270     ;调用MessageBoxA这个方法
    271     ;参数1:字符串szText
    272     mov    eax, offset szText
    273     add    eax, ebx
    274     
    275     ;参数2:函数MessageBoxA的地址
    276     mov    edx, offset _messageBox
    277     add    edx, ebx
    278     
    279     ;模仿调用MessageBoxA NULL, addr szText,Null,MB_OK
    280     push     MB_OK
    281     push     NULL
    282     push     eax
    283     push     NULL
    284     call    dword ptr [edx]
    285      
    286     ret
    287     
    288     end start
    289     
    290     
    291         
  • 相关阅读:
    Qt5信号与槽新写法
    Qt获取当前时间
    奇妙的enum class,enum struct组合
    vs2010+qt4编译出现error LNK2001: 无法解析的外部符号 "public: virtual struct QMetaObject等错误
    QTreewidget的使用
    Qt各版本,VS插件下载地址
    Qt按钮设置透明
    Qt全局坐标和相对坐标
    QTableWidget
    c++11中thread join和detach的区别
  • 原文地址:https://www.cnblogs.com/moriarty/p/2451806.html
Copyright © 2011-2022 走看看