黑客攻击-木马免杀之PE文件

傷城~ 2022-11-28 00:49 394阅读 0赞

当你好不容易弄出来一个木马(具体可参考这里)的时候,却被杀毒软件轻易的就检测出来了,那一切岂不是白费了。Win10中的windows defender基于流量检测很容易把常见的木马程序检测出来,那怎么绕过这些检测?

对于此问题,打算开一个专题进行木马免杀的分析,先从最最重要的PE文件说起,要攻击Windows系统,如果不懂PE文件,面对杀毒软件,则只能束手就擒了。

PE文件

PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名

PE全称是Portable Execute,实际上,这种文件格式没有做到Portable Execute,只能用在Windwos。

基本结构

32位PE的基本结构如下,64位的大同小异。
在这里插入图片描述如下是qq的16进制打开后解析出相应的字段,和上图是匹配的。
在这里插入图片描述

Dos文件头和Dos块
  1. typedef struct _IMAGE_DOS_HEADER {       // DOS .EXE header
  2.     WORD   e_magic;                     // Magic number
  3.     WORD   e_cblp;                      // Bytes on last page of file
  4.     WORD   e_cp;                        // Pages in file
  5.     WORD   e_crlc;                      // Relocations
  6.     WORD   e_cparhdr;                   // Size of header in paragraphs
  7.     WORD   e_minalloc;                  // Minimum extra paragraphs needed
  8.     WORD   e_maxalloc;                  // Maximum extra paragraphs needed
  9.     WORD   e_ss;                        // Initial (relative) SS value
  10.     WORD   e_sp;                        // Initial SP value
  11.     WORD   e_csum;                      // Checksum
  12.     WORD   e_ip;                        // Initial IP value
  13.     WORD   e_cs;                        // Initial (relative) CS value
  14.     WORD   e_lfarlc;                    // File address of relocation table
  15.     WORD   e_ovno;                      // Overlay number
  16.     WORD   e_res[4];                    // Reserved words
  17.     WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
  18.     WORD   e_oeminfo;                   // OEM information; e_oemid specific
  19.     WORD   e_res2[10];                  // Reserved words
  20.     LONG   e_lfanew;                    // File address of new exe header
  21.   } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

对于PE文件来说,有用的是最后一个字段,这个字段指出了真正的PE头在文件中的位置。
在这里插入图片描述

PE文件头

  1. typedef struct _IMAGE_NT_HEADERS { 
  2.     DWORD Signature;
  3.     IMAGE_FILE_HEADER FileHeader;
  4.     IMAGE_OPTIONAL_HEADER32 OptionalHeader;
  5. } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature是00004550h,也就是字符’P’和’E’。对于OptionalHeader尽管按照字面的理解是可选的,实际上在每一个PE文件中都是需要的。
在这里插入图片描述每个结构体的具体信息如下:

  1. IMAGE_FILE_HEADER 在这里插入图片描述最后一个字段Characteristics代表文件的属性。如果是PE文件,这个字段的值是010fh,如果是dll文件,这个字段的值是210eh。

  2. IMAGE_OPTIONAL_HEADER32 在这里插入图片描述

    • AddressOfEntryPoint指出文件被执行时的入口地址,这个地址是RVA(稍后会介绍)。如果像在程序运行前执行一段程序,那么可以把这个入口地址指向你想执行的程序。
    • ImageBase指出文件优先载入的地址,一般exe默认优先装入的地址是400000h,而dll是10000000h
    • SectionAlignment指定了节被装入内存后的对齐单位,FileAlignment指定了节存储在磁盘文件时的对齐单位
    • DataDirectory 在这里插入图片描述很重要的结构,由16个相同的IMAGE_DATA_DIRECTORY结构组成。其中有导入表、导出表、资源表数据块。

节表和节

Windows装载器在装载DOS部分,PE文件头部分和节表头部分不进行任何处理,而装载节的时候根据节的属性做不同的处理。下图展示了PE文件到内存的映射。
在这里插入图片描述

  1. 节表 在这里插入图片描述

    • VirtualAddress指出节被装载到内存后的偏移位置
    • PointerToRawData指出节在磁盘文件中所处的位置

RVA和文件偏移的转换

RVA应该时PE文件相关最重要的概念了,导入表导出表等的定位都需要用到RVA。

在这里插入图片描述
下图展示了RVA的含义:
在这里插入图片描述
相关计算:
在这里插入图片描述

msf中巧妙调用ReflectiveLoader

在msf中,反射dll注入使用的非常普遍。这段代码后续会详细讲解,这是msf远程控制最核心的一段代码,“小马”(stager)拉”大马”(stage)得以实现,基于的就是这段代码。

  1. def asm_invoke_dll(opts={ })
  2.     asm = %Q^
  3.         ; prologue
  4.           dec ebp               ; 'M'
  5.           pop edx               ; 'Z'
  6.           call $+5              ; call next instruction
  7.           pop ebx               ; get the current location (+7 bytes)
  8.           push edx              ; restore edx
  9.           inc ebp               ; restore ebp
  10.           push ebp              ; save ebp for later
  11.           mov ebp, esp          ; set up a new stack frame
  12.         ; Invoke ReflectiveLoader()
  13.           ; add the offset to ReflectiveLoader() (0x????????)
  14.           add ebx, #{ "0x%.8x" % (opts[:rdi_offset] - 7)}
  15.           call ebx              ; invoke ReflectiveLoader()
  16.         ; Invoke DllMain(hInstance, DLL_METASPLOIT_ATTACH, config_ptr)
  17.           push edi              ; push the socket handle
  18.           push 4                ; indicate that we have attached
  19.           push eax              ; push some arbitrary value for hInstance
  20.           mov ebx, eax          ; save DllMain for another call
  21.           call ebx              ; call DllMain(hInstance, DLL_METASPLOIT_ATTACH, socket)
  22.         ; Invoke DllMain(hInstance, DLL_METASPLOIT_DETACH, exitfunk)
  23.           ; push the exitfunk value onto the stack
  24.           push #{ "0x%.8x" % Msf::Payload::Windows.exit_types[opts[:exitfunk]]}
  25.           push 5                ; indicate that we have detached
  26.           push eax              ; push some arbitrary value for hInstance
  27.           call ebx              ; call DllMain(hInstance, DLL_METASPLOIT_DETACH, exitfunk)
  28.     ^
  29.   end

其中 add ebx, #{"0x%.8x" % (opts[:rdi_offset] - 7)} 用来获取ReflectiveLoader的虚拟地址。rdi_offset获取的是ReflectiveLoader的RVA地址。这段代码翻译过来就是ebx-7 = 基址,然后再加上RVA就得到了ReflectiveLoader的虚拟地址。

公众号

更多内容,欢迎关注我的公众号:无情剑客。
在这里插入图片描述

发表评论

表情:
评论列表 (有 0 条评论,394人围观)

还没有评论,来说两句吧...

相关阅读

    相关 木马(绕过软)

    仅用于学习交流 免杀是一个渗透测试中最苦恼的环节,也是一个需要学习很久的部分。 利用kali生成的木马存在的问题就是无法避免市面上大多数的杀软,及时利用kali自带的免

    骑猪看日落骑猪看日落/ 0/ 146 阅读

    相关 黑客攻击-木马程序(3)

    声明:禁止用作非法目的,谢绝一切形式的转载。 当你在登陆某个网站的时候,当你在用ftp登陆传输文件的时候,你的密码可能已经被嗅探到了。黑客利用网络嗅探可以获取大量有用的信息。

    淩亂°似流年淩亂°似流年/ 0/ 182 阅读

    相关 黑客攻击-木马程序(2)

    声明:本篇内容禁止用作非法目的,谢绝一切形式的转载 当你在登陆电脑的时候,当你在登陆淘宝的时候,当你在登陆微信的时候,你的输入可能正在被记录,然后电脑的登陆密码、微信帐号密码

    傷城~傷城~/ 0/ 261 阅读

    相关 黑客攻击-木马程序(1)

    声明:禁止用作非法目的,谢绝一切形式的转载。 当你在无意间点击一个链接后,当你在不明情况安装一个程序时,当你忍不住点击一个美女图片的时候,你的设备可能就此沦陷了,成为了黑客眼

    曾经终败给现在曾经终败给现在/ 0/ 199 阅读