中文字幕精品亚洲无线码,99视频在线观看精品29,亚州十八禁免费不卡在线视颖,亚洲香蕉网久久综合影视

汶上信息港

標(biāo)題: 手工構(gòu)造一個超微型的 PE 文件 [打印本頁]

作者: hbhdgpyz 時間: 2008-9-28 16:38
標(biāo)題: 手工構(gòu)造一個超微型的 PE 文件
最近構(gòu)造了一個微型的 PE 文件，下面把構(gòu)造的方法和一點(diǎn)心得寫出來和大家交流，也算是 對 PE 格式的一個復(fù)習(xí)吧。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p>
最終構(gòu)造好的文件大小是 180 字節(jié)，可以在 Win2k 下運(yùn)行，運(yùn)行后會彈出一個消息框。<o:p></o:p>
來看看最后生成的文件的內(nèi)容：<o:p></o:p>
00000000 4D 5A 00 00 50 45 00 00 4C 01 01 00 75 73 65 72 MZ..PE..L...user 00000010 33 32 2E 64 6C 6C 00 00 70 00 0F 01 0B 01 6A 00 32.dll..p.....j. 00000020 B8 8C 00 40 00 50 50 6A 00 EB 05 00 1E 00 00 00 <A href="mailto:...@.PPj">...@.PPj</A>........ 00000030 FF 15 78 00 40 00 C3 00 00 00 40 00 04 00 00 00 ..x.@.....@..... 00000040 04 00 00 00 04 00 00 00 00 00 00 00 04 00 00 00 ................ 00000050 00 00 00 00 B4 00 00 00 00 00 00 00 00 00 00 00 ................ 00000060 02 00 00 00 00 00 10 00 00 00 00 00 00 00 10 00 ................ 00000070 00 10 00 00 00 00 00 00 C4 01 00 80 00 00 00 00 ................ 00000080 00 00 00 00 9C 00 00 00 28 00 00 00 5A 54 53 B1 ........(...ZTS. 00000090 E0 D0 B4 00 B4 00 00 00 00 00 00 00 B4 00 00 00 ................ 000000A0 00 00 00 00 00 00 00 00 0C 00 00 00 78 00 00 00 ............x... 000000B0 E0 00 00 E0                                     ....            <o:p></o:p>
用 dumpbin 顯示文件結(jié)構(gòu)如下：<o:p></o:p>
FILE HEADER VALUES              14C machine (i386)                1 number of sections         72657375 time date stamp Sat Oct 26 21:21:57 2030         642E3233 file pointer to symbol table             6C6C number of symbols               70 size of optional header              10F characteristics                    Relocations stripped                    Executable                    Line numbers stripped                    Symbols stripped                    32 bit word machine<o:p></o:p>
OPTIONAL HEADER VALUES              10B magic #           106.00 linker version         40008CB8 size of code         6A505000 size of initialized data            5EB00 size of uninitialized data               1E RVA of entry point  <----           7815FF base of code           C30040 base of data           400000 image base                4 section alignment                4 file alignment             4.00 operating system version             0.00 image version             4.00 subsystem version                0 Win32 version               B4 size of image                0 size of headers                0 checksum                2 subsystem (Windows GUI)                0 DLL characteristics           100000 size of stack reserve                0 size of stack commit           100000 size of heap reserve             1000 size of heap commit                0 loader flags         800001C4 number of directories                0 [       0] RVA [size] of Export Directory               9C [      28] RVA [size] of Import Directory <----                0 [       0] RVA [size] of Resource Directory                0 [       0] RVA [size] of Exception Directory                0 [       0] RVA [size] of Certificates Directory                0 [       0] RVA [size] of Base Relocation Directory                0 [       0] RVA [size] of Debug Directory                0 [       0] RVA [size] of Architecture Directory                0 [       0] RVA [size] of Special Directory                0 [       0] RVA [size] of Thread Storage Directory                0 [       0] RVA [size] of Load Configuration Directory                0 [       0] RVA [size] of Bound Import Directory                0 [       0] RVA [size] of Import Address Table Directory                0 [       0] RVA [size] of Delay Import Directory                0 [       0] RVA [size] of Reserved Directory                0 [       0] RVA [size] of Reserved Directory<o:p></o:p>
現(xiàn)在開始具體的步驟<o:p></o:p>
1. Dos Header<o:p></o:p>
IMAGE_DOS_HEADER STRUCT  e_magic   <-- 4D 5A  ...   <-- 其他的都填 0  e_lfanew  <-- 04 00 00 00 IMAGE_DOS_HEADER ENDS<o:p></o:p>
為了把文件做得盡可能的小，所以 PE Header 準(zhǔn)備放在文件偏移 4 的地方，本來還可以 往前放，由于 Dos Header 的 e_lfanew 必須指向 PE Header 的偏移位置。當(dāng)放在偏移 4 的地方，Dos Header 的 e_lfanew 正好對應(yīng)著 PE Header 的 SectionAlignment， 我們只需要把 SectionAlignment 設(shè)為 4 就可以達(dá)到兩個目的。<o:p></o:p>
2. PE Header<o:p></o:p>
IMAGE_NT_HEADERS STRUCT  Signature   <-- 50 45 00 00  FileHeader  OptionalHeader IMAGE_NT_HEADERS ENDS<o:p></o:p>
下面打了 * 標(biāo)志的意味著不能隨便填數(shù)據(jù)，具體的數(shù)據(jù)可以參考上面 dumpbin 顯示的數(shù) 據(jù)。凡是沒有打 * 標(biāo)志的可以填入任意數(shù)據(jù)，我們的代碼就準(zhǔn)備塞在這些結(jié)構(gòu)里面。<o:p></o:p>
IMAGE_FILE_HEADER STRUCT  Machine    *  NumberOfSections  *  TimeDateStamp  PointerToSymbolTable  NumberOfSymbols  SizeOfOptionalHeader  *  Characteristics   * IMAGE_FILE_HEADER ENDS<o:p></o:p>
IMAGE_OPTIONAL_HEADER32 STRUCT  Magic    *  MajorLinkerVersion  MinorLinkerVersion  SizeOfCode  SizeOfInitializedData  SizeOfUninitializedData  AddressOfEntryPoint  *  BaseOfCode  BaseOfData  ImageBase   *  SectionAlignment  *  FileAlignment   *  MajorOperatingSystemVersion *  MinorOperatingSystemVersion *  MajorImageVersion  *  MinorImageVersion  *  MajorSubsystemVersion  *  MinorSubsystemVersion  *  Win32VersionValue  *  SizeOfImage   *  SizeOfHeaders   *  CheckSum  Subsystem   *  DllCharacteristics  *  SizeOfStackReserve  *  SizeOfStackCommit  *  SizeOfHeapReserve  *  SizeOfHeapCommit  *  LoaderFlags  NumberOfRvaAndSizes  *  DataDirectory IMAGE_OPTIONAL_HEADER32 ENDS<o:p></o:p>
對于 DataDirectory 中不需要的成員可以不要，只留下 Export Directory 和 Import Directory。<o:p></o:p>
整個 PE Header 的大小為 88h 字節(jié)，其中 Optional Header 的大小為 70h 字節(jié)。<o:p></o:p>
3. Section Table<o:p></o:p>
IMAGE_SECTION_HEADER STRUCT     Name1    <-- ZTS 編寫     union Misc         PhysicalAddress         VirtualSize   <-- B4 00 00 00     ends     VirtualAddress   <-- 00 00 00 00     SizeOfRawData   <-- B4 00 00 00     PointerToRawData   <-- 00 00 00 00     PointerToRelocations  <-- 00 00 00 00     PointerToLinenumbers  <-- 00 00 00 00     NumberOfRelocations   <-- 00 00     NumberOfLinenumbers   <-- 00 00     Characteristics   <-- E0 00 00 E0 IMAGE_SECTION_HEADER ENDS<o:p></o:p>
整個文件的內(nèi)容就是節(jié)的內(nèi)容，最后文件的全部內(nèi)容會被完整的映射到 400000h 的地址處。<o:p></o:p>
因?yàn)橛成涞絻?nèi)存中后文件的內(nèi)容后面都是 0，所以相當(dāng)于節(jié)表以一個全 0 元素結(jié)束。<o:p></o:p>
4. Import<o:p></o:p>
文件只需要從 user32.dll 中輸入一個函數(shù) MessageBoxA，所以輸入表中有一個非 0 成員 和一個結(jié)束的全 0 成員。就因?yàn)橐ＷC有一個全 0 成員來結(jié)束輸入表，所以也把輸入表放 在文件的末尾，和節(jié)的情況一樣，當(dāng)文件被映射到內(nèi)存中后，文件后面的內(nèi)容都是 0，就相當(dāng) 于有一個全 0 成員。<o:p></o:p>
一個輸入表成員的大小是 20 字節(jié)，在節(jié)表當(dāng)中找出沒有被利用的域用來放輸入表，找到了從 SizeOfRawData 開始的位置。輸入表中的 OriginalFirstThunk ，TimeDateStamp 和 ForwarderChain 都是沒用的域，不用管他們是什么值，所以不會因?yàn)樵诠?jié)表中插入輸入表而 改變節(jié)表中有用的域：SizeOfRawData 和 PointerToRawData 。<o:p></o:p>
還有的就是 Name 和 FirstThunk 啦，在文件中找到偏移 0Ch 的地方寫入 user32.dll，然 后把 Name 指向偏移 0Ch，這個偏移就是文件頭中 TimeDateStamp 的偏移位置。在文件中再 找到一個偏移位置 78h 來放 IAT，然后把 FirstThunk 指向偏移 78h，這個偏移是文件頭中 NumberOfRvaAndSizes 的偏移位置。在上面雖然說了 NumberOfRvaAndSizes 域不能隨便填 數(shù)據(jù)（打了 * 標(biāo)志），但這個域只要不填 2 以下的值就可以，所以我們可以利用。<o:p></o:p>
填好的樣子如下：<o:p></o:p>
00000070                         C4 01 00 80 00 00 00 00 ................ 00000080 00000090                                     B4 00 00 00 ................ 000000A0 00 00 00 00 00 00 00 00 0C 00 00 00 78 00 00 00 ............x...<o:p></o:p>
為了減少文件的大小，輸入 MessageBoxA 函數(shù)是通過序號的方式引入的。<o:p></o:p>
手工寫好輸入表之后把輸入表的偏移和大小填到 DataDirectory 數(shù)組的 Import Directory 成員中去，偏移為 9Ch，大小為 28h。<o:p></o:p>
5. 代碼<o:p></o:p>
所有準(zhǔn)備工作做完就開始寫代碼，代碼也需要從文件頭中間找沒用的域來存放。找找文件頭發(fā)現(xiàn) 還有兩個地方?jīng)]有被使用，一個是 MajorLinkerVersion 開始的 14 個字節(jié)，偏移為 1Eh，另 一個是 BaseOfCode 開始的 8 個字節(jié)，偏移為 30h。<o:p></o:p>
需要的代碼寫好就是下面的樣子：<o:p></o:p>
0000001E: 6A00            push        0 00000020: B88C004000      mov         eax,40008C 00000025: 50              push        eax 00000026: 50              push        eax 00000027: 6A00            push        0 00000029: EB05            jmp         000000030<o:p></o:p>
00000030: FF1578004000    call        dword ptr [00400078] 00000036: C3              ret<o:p></o:p>
把代碼對應(yīng)的 16 進(jìn)制值填到偏移 1Eh 和 30h 處就行了。<o:p></o:p>
保存文件，所有的工作就結(jié)束了。最后把注意事項(xiàng)再總結(jié)一下：<o:p></o:p>
1. 如果 FileAlignment 小于 200h，則要求 FileAlignment == SectionAlignment >= 2<o:p></o:p>
2. 如果 FileAlignment 小于 200h，則要求 VirtualAddress == PointerToRawData<o:p></o:p>
3. VirtualSize <= SizeOfRawData<o:p></o:p>
4. SizeOfHeaders < SizeOfImage<o:p></o:p>
5. NumberOfRvaAndSizes >= 2 數(shù)據(jù)目錄結(jié)構(gòu)的數(shù)量要求不小于 2<o:p></o:p>
6. 節(jié)表和輸入表都要求有一個結(jié)束的全 0 成員<o:p></o:p>
 胡亂寫了一點(diǎn)，希望不會浪費(fèi)大家太多時間，如果有錯誤還望各位大俠指點(diǎn)指點(diǎn)，也好讓象我這 樣的菜鳥能多學(xué)一些東西。<o:p></o:p>

歡迎光臨汶上信息港 (http://huihexinxi.com.cn/)