1、認識Import表
著者: [yAtEs] [[email protected]]
譯者:hying[CCG]
標(biāo)題:PE輸入表說明
例子:下載
有很多介紹PE文件的文章,但是我打算寫一篇關(guān)于輸入表的文章,因為它對于破解很有用。
我想解釋它的最好的方法是舉一個例子,你可以跟著我逐步深入,一步一步的思考,最后你將完全明白,我選擇了一個我剛下載下來的小程序,它是用TASM編譯的,有一個比較小的輸入表,所以我想它應(yīng)該是個不錯的范例。
好了,讓我們開始吧。首先我們得找到輸入表,它的地址放在PE文件頭偏移80處,所以我們用16進制編輯器打開我們的EXE文件,我們先得找到PE文件頭的起始點,這很簡單,因為它總是以PE00開始,我們可以在偏移100處找到它。在一般的WIN32程序中文件頭偏移被放在文件0X3C處,在那我們通常可看到00 01 00 00,由于數(shù)據(jù)存儲時是低位在前,高位在后的,所以翻轉(zhuǎn)過來實際就是00000100,就象前面我們說的。接下來我們就可以在PE文件中找到我們的輸入表,100+80=180在偏移180處我們看到0030 0000,翻轉(zhuǎn)一下,它其實應(yīng)該是00003000,這說明輸入表在內(nèi)存3000處,我們必須把它轉(zhuǎn)換成文件偏移。
一般來說,輸入表總是在某個段的起始處,我們可以用PE編輯器來查看虛擬偏移,尋找3000并由此發(fā)現(xiàn)原始偏移。很簡單的。打開我們看到:
-CODE 00001000 00001000 00000200 00000600
-DATA 00001000 00002000 00000200 00000800
.idata 00001000 00003000 00000200 00000A00
.reloc 00001000 00004000 00000200 00000C00
找一下,我們就發(fā)現(xiàn).idata段的虛擬偏移是3000,原始偏移是A00,3000-A00=2600,我們要記住2600,以便以后轉(zhuǎn)換其它的偏移。如果你沒找到輸入表的虛擬偏移,那么就找一下最接近的段。
來到偏移A00處,我們就看到被稱為IMAGE_IMPORT_DESCRIPTORs(IID)的東東,它用5個字段表示每一個被調(diào)用DLL的信息,最后以Null結(jié)束。
**************************************************************************
(IID) IMAGE_IMPORT_DESCRIPTOR的結(jié)構(gòu)包含如下5個字段:
OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk
OriginalFirstThunk
該字段是指向一32位以00結(jié)束的RVA偏移地址串,此地址串中每個地址描述一個輸入函數(shù),它在輸入表中的順序是不變的。
TimeDateStamp
一個32位的時間標(biāo)志,有特殊的用處。
ForwarderChain
輸入函數(shù)列表的32位索引。
Name
DLL文件名(一個以00結(jié)束的ASCII字符串)的32位RVA地址。
FirstThunk
該字段是指向一32位以00結(jié)束的RVA偏移地址串,此地址串中每個地址描述一個輸入函數(shù),它在輸入表中的順序是可變的。
**************************************************************************
好了,你有沒有理解?讓我們看看我們有多少IID,它們從偏移A00處開始
3C30 0000 / 0000 0000 / 0000 0000 / 8C30 0000 / 6430 0000
{OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk}
5C30 0000 / 0000 0000 / 0000 0000 / 9930 0000 / 8430 0000
{OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk}
0000 0000 / 0000 0000 / 0000 0000 / 0000 0000 / 0000 0000
每三分之一是個分界,我們知道每個IID包含了一個DLL的調(diào)用信息,現(xiàn)在我們有2個IID,所以我們估計這個程序調(diào)用了2個DLL。甚至我可以打賭,你能推測出我們將能找到什么。
每個IID的第四個字段表示的是名字,通過它我們可以知道被調(diào)用的函數(shù)名。第一個IID的名字字段是8C30 0000,翻轉(zhuǎn)過來也就是地址0000308C,將它減去2600可以得到原始偏移,308C-2600=A8C,來到文件偏移A8C處,我們看到了什么?啊哈!原來調(diào)用的是KERNEL32.dll。
好了,接下來我們就要去找出KERNEL32.dll中被調(diào)用的函數(shù)。回到第一個IID。
FirstThunk字段包含了被調(diào)用的函數(shù)名的標(biāo)志,OriginalFirstThunk僅僅是FirstThunk的備份,甚至有的程序根本沒有,所以我們通常看FirstThunk,它在程序運行時被初始化。
KERNEL32.dll的FirstThunk字段值是6430 0000,翻轉(zhuǎn)過來也就是地址00003064,減去2600得A64,在偏移A64處就是我們的IMAGE_THUNK_DATA,它存儲的是一串地址,以一串00結(jié)束。如下:
A430 0000/B230 0000/C030 0000/CE30 0000/DE30 0000/EA30 0000/F630 0000/0000 0000
通常在一個完整的程序里都將有這些。我們現(xiàn)在有了7個函數(shù)調(diào)用,讓我們來看其中的兩個:
DE30 0000翻轉(zhuǎn)后是30DE,減去2600后等于ADE,看在偏移ADE處的字符串是ReadFile,
EA30 0000翻轉(zhuǎn)后是30EA,減去2600后等于AEA,看在偏移AEA處的字符串是WriteFile,
你可能注意到了,在函數(shù)名前還有2個這字節(jié)的00,它是被作為一個提示。
很簡單吧,你可以自己來試一下。回到A00,看第二個DLL的調(diào)用
5C30 0000 / 0000 0000 / 0000 0000 / 9930 0000 / 8430 0000
{OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk}
先找它的DLL文件名。9930翻轉(zhuǎn)為3099-2600 =A99,在偏移A99處找到USER32.dll。再看FirstThunk字段值:8430翻轉(zhuǎn)為3084-2600=A84,偏移A84處保存的地址為08310000,翻轉(zhuǎn)后3108-2600=B08,偏移B08處字符串為MessageBoxA。明白了吧,接下來你就可以把這些用在你自己的EXE文件上了。
摘要:
在PE文件頭+80偏移處存放著輸入表的地址,輸入表包含了DLL被調(diào)用的每個函數(shù)的函數(shù)名和FirstThunk,通常還有Forward Chain和TimeStamp。
當(dāng)運行程序時系統(tǒng)調(diào)用GetProcAddress,將函數(shù)名作為參數(shù),換取真正的函數(shù)入口地址,并在內(nèi)存中寫入輸入表。當(dāng)你對一個程序脫殼時你可能注意到你有了一個已經(jīng)初始化的FirstThunk。例如,在我的WIN98上,函數(shù)GetProcAddress的入口地址是AE6DF7BF,在98上,所有的KERNEL32.dll函數(shù)調(diào)用地址看上去地址都象:xxxxF7BF,如果你在輸入表中看到這些,你可以利用orignal thunk重建它,或者重建這個PE程序。
好了,我已經(jīng)告訴你它們是如何工作的,我不是專家,如果你發(fā)現(xiàn)什么錯誤,請告訴我。
2、Import表的重建
標(biāo)題:重建 PE 文件的輸入表
原著:TiTi/BLiZZARD
翻譯:Sun Bird [CCG]
日期:2000年5月24日
1. 前言
=======
大家好 :) 我之所以寫這篇短文,是由于我在 Dump 時發(fā)現(xiàn),很多加壓、加密軟件都使
得輸入表(Import Table)不可用,所以 Dump 出的可執(zhí)行文件必須要重建輸入表。而在普
通的講授 Win32 匯編的站點上我沒有找到這樣的介紹,所以如果你對此感興趣,那么這篇
短文對你會有些幫助。
例如,為了讓從內(nèi)存中 Dump 出的經(jīng) PETite v2.1 壓縮過的可執(zhí)行文件正常運行,必
須重建輸入表。(對于 ASPack、PEPack、PESentry……也同樣)這就是所有 Dump 軟件都
具備重建輸入表功能的原因(例如 G-RoM/UCF 制作的 Phoenix Engine(ProcDump 內(nèi)含),
或者由 Virogen/PC 和我制作的 PE Rebuilder)。
鑒于這個問題十分特殊,而且比較復(fù)雜,所以我假定你已經(jīng)了解了 PE 文件結(jié)構(gòu)。(你
需要閱讀有關(guān) PE 文件的文檔)
2. 預(yù)備知識
===========
首先是一些關(guān)于輸入表和 RVA/VA 的簡介。
輸入表的相對虛擬地址(RVA)儲存在 PE 文件頭部的相應(yīng)目錄入口(它的偏移量為
[ PE 文件頭偏移量+80h ])。由于是虛擬偏移量,所以它和文件輸入表中的偏移量(VA)
是不匹配的(除非文件純粹是剛剛從內(nèi)存中 Dump 出來的)。于是我們首先要做的事情是,
找到 PE 文件的輸入表,將 RVA 轉(zhuǎn)換為相應(yīng)的 VA。為此,我們可以采用不同的辦法:你可
以自行編制軟件來分析塊(Sections)目錄并計算 VA,但最簡單的辦法是使用專門為此設(shè)
計的應(yīng)用程序接口(API)。這個 API 包括在 IMAGEHLP.DLL(Win9X 和 NT 系統(tǒng)都使用的
一個庫)中,名為 ImageRvaToVa。下面是對它的描述(完整的內(nèi)容詳見 MSDN 庫):
# LPVOID ImageRvaToVa(
# IN PIMAGE_NT_HEADERS NtHeaders
# IN LPVOID Base
# IN DWORD Rva
# IN OUT PIMAGE_SECTION_HEADER *LastRvaSection
#);
#
# 參數(shù):
#
# NtHeaders
#
# 指示一個 IMAGE_NT_HEADERS 結(jié)構(gòu)。通過調(diào)用 ImageNtHeader 函數(shù)可以獲得這個結(jié)構(gòu)。
#
# Base
#
# 指定通過調(diào)用 MapViewOfFile 函數(shù)映射入內(nèi)存的一個映象的基址(Base Address)。
#
# Rva
#
# 指定相對虛擬地址的位置。
#
# LastRvaSection
#
# 指向一個指定的最終 RVA 塊的 IMAGE_SECTION_HEADER 結(jié)構(gòu)。這是一個可選參數(shù)。當(dāng)被
#指定時,它指向一個變量,該變量包含指定映象的最后塊值,以便將 RVA 轉(zhuǎn)換為 VA。
就這么簡單。你只需要將 PE 文件映射入內(nèi)存,然后調(diào)用這個函數(shù)就能夠得到輸入表的正
確 VA。
注意,下面我會忽略所有的 RVA/VA 注釋,但是,當(dāng)你對重建的 PE 文件進行讀出或?qū)懭?br/>RVAs 操作時,不要忘記它們之間的轉(zhuǎn)換。
3. 完整說明
===========
這里是一個完整改變輸入表的例子(這個 PE 文件的輸入表已經(jīng)被 PETite v2.1 壓縮過,
并且是直接從內(nèi)存中 Dump 出來的):
我們用“`”表示 00,用“-”表示非字符串
0000C1E8h : 00 00 00 00 00 00 00 00 00 00 00 00 BA C2 00 00 ````````````----
0000C1F8h : 38 C2 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ----````````````
0000C208h : C5 C2 00 00 44 C2 00 00 00 00 00 00 00 00 00 00 --------````````
0000C218h : 00 00 00 00 D2 C2 00 00 54 C2 00 00 00 00 00 00 ````--------````
0000C228h : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ````````````````
0000C238h : 7F 89 E7 77 4C BC E8 77 00 00 00 00 E6 9F F1 77 --------````----
0000C248h : 1A 38 F1 77 10 40 F1 77 00 00 00 00 4F 1E D8 77 --------````----
0000C258h : 00 00 00 00 00 00 4D 65 73 73 61 67 65 42 6F 78 ``````MessageBox
0000C268h : 41 00 00 00 77 73 70 72 69 6E 74 66 41 00 00 00 A```wsprintfA```
0000C278h : 45 78 69 74 50 72 6F 63 65 73 73 00 00 00 4C 6F ExitProcess```Lo
0000C288h : 61 64 4C 69 62 72 61 72 79 41 00 00 00 00 47 65 adLibraryA````Ge
0000C298h : 74 50 72 6F 63 41 64 64 72 65 73 73 00 00 00 00 tProcAddress````
0000C2A8h : 47 65 74 4F 70 65 6E 46 69 6C 65 4E 61 6D 65 41 GetOpenFileNameA
0000C2B8h : 00 00 55 53 45 52 33 32 2E 64 6C 6C 00 4B 45 52 ``USER32.dll`KER
0000C2C8h : 4E 45 4C 33 32 2E 64 6C 6C 00 63 6F 6D 64 6C 67 NEL32.dll`comdlg
0000C2D8h : 33 32 2E 64 6C 6C 00 00 00 00 00 00 00 00 00 00 32.dll``````````
正如你看到的,這個輸入表被分成三個主要部分:
- C1E8h - C237h:IMAGE_IMPORT_DESCRIPTOR 結(jié)構(gòu)部分,對應(yīng)著每一個需要輸入的動態(tài)
鏈接庫(DLL)。這部分以關(guān)鍵字 00 結(jié)束。
IMAGE_IMPORT_DESCRIPTOR struct
OriginalFirstThunk dd 0 ;原拆分 IAT 的 RVA
TimeDateStamp dd 0 ;沒有使用
ForwarderChain dd 0 ;沒有使用
Name dd 0 ;DLL 名字符串的 RVA
FirstThunk dd 0 ;IAT 部分的 RVA
IMAGE_IMPORT_DESCRIPTOR ends
- C238h - C25Bh:這部分雙字(DWord) 稱作“IAT”,由 IMAGE_IMPORT_DESCRIPTOR
結(jié)構(gòu)中的 FirstThunk 部分指明。這部分每一個 DWord 對應(yīng)一個輸入函數(shù)。
- C25Ch - C2DDh : 這里是輸入函數(shù)和 DLL 文件的名稱。問題是,這些是沒有規(guī)定順序
的:有時候 DLL 文件在函數(shù)前面,有時候正好相反,另外一些時候它們混在一起。
輸入表的簡介
------------
OriginalFirstThunk 是 IAT 的一部分,它是 PE 文件引導(dǎo)時首先要搜索的。如果存在,PE
文件的引導(dǎo)部分將使用它來糾正在 FirstThunk IAT 部分的問題。當(dāng)調(diào)入內(nèi)存后,F(xiàn)irstThunk
的每一個 Dword (包含有函數(shù)名字符串的 RVA),將被 RVA 替換為函數(shù)的真實地址(當(dāng)調(diào)用這
些函數(shù)時,它們調(diào)入內(nèi)存的位置將被執(zhí)行)。所以,只要 OriginalFirstThunk 沒有被改變,基
本上這里不存在輸入表的問題。 下面來看我們的問題
------------------
好了,經(jīng)過簡單描述后,下面來看我們的問題。如果你試圖運行包含上面顯示的輸入表的可
執(zhí)行文件,它不會被調(diào)入,Windows 會顯示一個錯誤信息。為什么?很簡單,因為
OriginalFirstThunk 被刪除了。事實上,你應(yīng)該注意到,在這個輸入表的每一個IMAGE_IMPORT_DESCRIPTOR 結(jié)構(gòu),OriginalFirstThunk 的內(nèi)容都是 00000000h。嗯,所以我們
可以推測出,當(dāng)我們運行這個可執(zhí)行程序時,PE 文件的引導(dǎo)部分試圖從 FirstThunk 部分獲得
輸入函數(shù)的名字。但是,正象你注意到的,這部分根本沒有包含函數(shù)名字符串的 RVA,但是函數(shù)
地址的 RVA 在內(nèi)存中。
我們需要怎么做
--------------
現(xiàn)在,為了讓這個可執(zhí)行文件運行,我們需要重建 FirstThunk 部分的內(nèi)容,讓它們指向我
們在輸入表第三部分看到的函數(shù)名字符串。這不是一項很困難的任務(wù),但是,我們需要知道哪個
IAT 對應(yīng)哪個函數(shù),而函數(shù)字符串和 FirstThunk 內(nèi)容并不采用同樣的存儲方法。所以,對于每
一個 IAT,我們需要驗證它對應(yīng)的是哪個函數(shù)名(事實上,根據(jù) IMAGE_IMPORT_
DESCRIPTOR.Name DWord 我們已經(jīng)有了 DLL 名稱,這些并沒有被改變)。
如何驗證每一個函數(shù)
------------------
正向我們上面所見到的,在內(nèi)存中,每一個被破壞的 IAT 都有一個函數(shù)地址的 RVA。這些
地址并沒有被破壞,所以,我們只要重新找回指向錯誤 IAT 的函數(shù)地址,把它們指向函數(shù)名字
符串。
為此,在 Kernel32.dll 中有一個非常有用的 API:GetProcAddress。它允許你得到給定函
數(shù)的地址。這里是它的描述:
GetProcAddress(
HMODULE hModule // DLL 模塊的句柄
LPCSTR lpProcName // 函數(shù)名
);
所以,對于每一個被破壞的 IAT,在 GetProcAddress 返回我們尋找的函數(shù)地址之前,只需
要分析包含在輸入表第三部分的所有函數(shù)名。
- hModule 參數(shù)是 DLL 模塊的句柄(也就是說,模塊映象在內(nèi)存中的基址),我們可以通
過 GetModuleHandleA API 得到:
HMODULE GetModuleHandle(
LPCTSTR lpModuleName // 返回模塊名地址句柄
);
(lpModuleName 只需要指向我們從 IMAGE_IMPORT_DESCRIPTOR.Name 部分得到的 DLL 文件
名字符串)
- lpProcName 僅指向函數(shù)名字符串。
注意,有時候函數(shù)是按序號輸入的。這些序號是在每個 [ 函數(shù)名偏移量-2 ] 處的單字(WORDS)。
所以,你在分析程序時需要檢查函數(shù)是按名稱還是按序號輸入的。
使用上面輸入表的實例
--------------------
針對上面輸入表的例子,我將說明如何修復(fù)第一個輸入 DLL 的第一個輸入函數(shù)。
1. 我們來看第一個 IMAGE_IMPORT_DESCRIPTOR 結(jié)構(gòu)部分(C1E8h),.Name 部分(C1E4h,指向
C1BAh)指出了 DLL 名。我們看到,那是 USER32.dll。
2. 我們來看 .FirstThunk 部分,它們指向 IAT 部分;每個對應(yīng)一個這個 DLL(user32.dll)的
輸入函數(shù)。在這里是 C1F8h,指向 C238h。所以,在 C238h,我們可以修復(fù)被破壞的 IATs。(你
會注意到,這個 IAT 部分包含二個 DWords,所以,這個 DLL 有二個函數(shù)輸入)
3. 我們得到了第一個被破壞的 IAT。它的值是 77E7897Fh。這是函數(shù)在內(nèi)存中的地址。
4. 對每一個輸入表第三部分中的函數(shù),我們調(diào)用 GetProcAddress API。當(dāng)該 API 返回 7E7897Fh
時就意味著,我們到達了正確的函數(shù)。所以我們讓被破壞的 IAT 指向正確函數(shù)名(在本例中為 'wsprintfA')。
5. 現(xiàn)在我們只需要將 IAT 指向:偏移量(函數(shù)名字符串)-2。為什么是 -2 ?因為有時候使用了
函數(shù)序列。
所以在本例中,我們改變地址 C238h,讓它指向 C26Ah(以代替 77E7897Fh)。
6. 就這樣,這個函數(shù)被修復(fù)了,下面你只需要對所有的 IATs 重復(fù)這個過程就可以了。
后記
----
我描述的是一般的操作過程。當(dāng)然只有在 DLLs 被正常調(diào)入內(nèi)存后才能夠這樣做。對于其他情
況,你需要將它們調(diào)入,或者你需要仔細研究它們的輸出表才能找到正確的函數(shù)地址。
3、IceDump和NticeDump使用
IceDump和NticeDump是一款配合SoftICE擴展其內(nèi)存操作的工具,IceDump支持Windows 9x、Windows Millennium系統(tǒng),NticeDump支持Windows NT/2000。它們的出現(xiàn),使SoftICE如虎添翼,TRW2000的許多特色功能在SoftICE里也可實現(xiàn)了。
1.Icedump操作簡介
運行IceDump前,首先要確定SoftICE版本號,按Ctrl+D切換到SoftICE下命令:VER,查看版本號。然后在相應(yīng)SoftICE版本號目錄下運行icedump.exe文件,它會調(diào)用自身的VXD文件,裝載成功出現(xiàn)圖7.16所示畫面。如果發(fā)現(xiàn)SoftICE沒運行或版本不符,就拒絕運行。 如果想從內(nèi)存中卸載它,可以在DOS下鍵入"icedump u"。
1)/DUMP <起始地址> [<長度> <文件名>]
抓取內(nèi)存中的數(shù)據(jù)到文件里,類似TRW2000中的W命令。<文件名>參數(shù)可以指定盤符和路徑,當(dāng)在Ring-0下還原時最好清除還原區(qū)域內(nèi)的全部斷點,否則會給SoftICE帶來不必要麻煩。(這一點在所有的IceDump命令里都應(yīng)該值得注意)
在Win32系統(tǒng)下讀者可能會想到用/BHRAMA或/PEDUMP從內(nèi)存內(nèi)中重建一個可用的PE鏡像。請看下面關(guān)于/OPTION命令的說明。
注意: IceDump 6.015以前類似的命令是PAGEIN D <address> [<length> <200456124836.htm>]
2)/LOAD <地址> <長度> <文件名>
把<文件>指定長度的字節(jié)內(nèi)容調(diào)入到內(nèi)存中的<地址>處。與/DUMP的作用相反,同樣需要注意的是不要設(shè)置斷點。
3)/BHRAMA <Bhrama dumper server 窗口名>
用Procdump的Bhrama(由G-Rom出品的著名脫殼工具)來初始化dumping。用戶必須提供窗口的名稱,可以從標(biāo)題條找到它。為了使工作簡單化,可以在winice.dat里設(shè)置F3鍵:
F3="/BHRAMA ProcDump32 - Dumper Server;"
4) /TRACEX <low EIP> [<high EIP>]
控制跟蹤器并退出SoftICE。注意該命令只能用于跟蹤當(dāng)前線程,如果要跟蹤其它線程,請使用/TRACE命令。
/TRACEX <low EIP>: 跟蹤當(dāng)前線程。注意,如果跟蹤當(dāng)前線程彈出SoftICE窗口后想繼續(xù)跟蹤,必須使用/TRACEX命令,否則跟蹤器會失去對當(dāng)前線程的控制。
當(dāng)線程的EIP到達<low EIP>時,跟蹤停止并彈出SoftICE窗口。這也要求EIP真正可以到達,否則SoftICE不會彈出。
/TRACEX <low EIP> <high EIP> 跟蹤當(dāng)前線程,注意事項同上。
當(dāng)線程的EIP到達<low EIP>與<high EIP>之間的區(qū)域內(nèi)時停止并彈出SoftICE窗口。注意這里沒有作<low EIP>和<high EIP>的邊界檢查,所以錯誤的參數(shù)地址會使SoftICE不能中斷。
5) /SCREENDUMP [<文件名>]
把SoftICE屏幕內(nèi)容保存到一個文件中。注意該功能只支持通用顯示驅(qū)動模式。這個命令的用法類似于/DUMP,如果沒有指定<文件名>,IceDump將在模式0、1、2、3和4中切換。
模式1:默認模式,將以ASCII格式輸出。
模式0:字節(jié)屬性也將被抓取。
模式2:可以把屏幕內(nèi)容保存成一個HTML文件。
模式3:會把屏幕內(nèi)容保存成LaTeX格式的文件。
模式4 :把屏幕內(nèi)容保存為EPS (encapsulated Postscript)格式。
2.NticeDump操作簡介
Nticedump遠不如IceDump功能強大,并且Nticedump裝載方式不同于IceDump,它是通過給SoftICE打補丁來實現(xiàn)0特權(quán)級控制權(quán)的,這是因為在Windows 2000上,要切換到0特權(quán)級不象Windows9x那么容易了。
要打補丁的文件是/WINNT/SYSTEM32/DRIVERS/Ntice.sys,在Nticedump目錄里有一補丁工具ntid.exe,把安裝目錄下相應(yīng)SoftICE版本的Icedump文件與ntid.exe一同復(fù)制到/WINNT/SYSTEM32/DRIVERS/目錄下,然后運行ntid.exe程序就能正確補丁Ntice.sys。這樣Nticedump和SoftICE就完全結(jié)合了。
1) 抓取內(nèi)存數(shù)據(jù):PAGEIN D 基地址 長度 文件名
例: PAGEIN D 400000 512 /??/C:/memory.dmp
注意: 在NT輸入輸出管理系統(tǒng)中,象"C:/memory.dmp"不是合法路徑。"/??/C:/200456124836.htm.dmp"是在C盤根目錄下創(chuàng)建"200456124836.htm.dmp"文件。
2) 抓取進程: PAGEIN B <Bhrama窗口名>
例: PAGEIN B ProcDump32 - Dumper Server
3) 導(dǎo)入文件: PAGEIN L 基地址 長度 文件名
Example: PAGEIN L 400000 512 /??/C:/memory.dmp
4) 幫助: PAGEIN 例: PAGEIN
4、Import REConstructor使用
Import REConstructor可以從雜亂的IAT中重建一個新的Import表(例如加殼軟件等),它可以重建Import表的描述符、IAT和所有的ASCII函數(shù)名。用它配合手動脫殼,可以脫UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack ASProtect等殼。該工具位于:光盤/tools/PE tools/Rebuilders/Import REConstructor。
在運行Import REConstructor之前,必須滿足如下條件:
1) 目標(biāo)文件己完全被Dump到另一文件;
2) 目標(biāo)文件必須正在運行中;
3) 事先要找到真正的入口點(OEP);
4) 最好加載IceDump,這樣建立的輸入表較少存在跨平臺的問題。
步驟如下:
(1)找被脫殼的入口點(OEP);
(2)完全Dump目標(biāo)文件;
(3)運行Import REConstructor和需要脫殼的應(yīng)用程序;
(4)在Import REConstructor下拉列表框中選擇應(yīng)用程序進程;
(5)在左下角填上應(yīng)用程序的真正入口點偏移(OEP);
(6)按"IAT AutoSearch"按鈕,讓其自動檢測IAT位置, 出現(xiàn)"Found address which may be in the Original IAT.Try 'Get Import'"對話框,這表示輸入的OEP發(fā)揮作用了。
(7)按"Get Import"按鈕,讓其分析IAT結(jié)構(gòu)得到基本信息;
(8)如發(fā)現(xiàn)某個DLL顯示"valid :NO" ,按"Show Invalids"按鈕將分析所有的無效信息,在Imported Function Found欄中點擊鼠標(biāo)右鍵,選擇"Trace Level1 (Disasm)",再按"Show Invalids"按鈕。如果成功,可以看到所有的DLL都為"valid:YES"字樣;
(9)再次刷新"Show Invalids"按鈕查看結(jié)果,如仍有無效的地址,繼續(xù)手動用右鍵的Level 2或3修復(fù);
(10)如還是出錯,可以利用"Invalidate function(s)"、"Delete thunk(s)"、編輯Import表(雙擊函數(shù))等功能手動修復(fù)。
(11)開始修復(fù)已脫殼的程序。選擇Add new section (缺省是選上的) 來為Dump出來的文件加一個Section(雖然文件比較大,但避免了許多不必要的麻煩) 。
(12)按"Fix Dump"按鈕,并選擇剛在(2)步Dump出來的文件,在此不必要備份。如修復(fù)的文件名是"Dump.exe",它將創(chuàng)建一個"Dump_.exe",此外OEP也被修正。
(13)生成的文件可以跨平臺運行。
1、ASProtect v0.95保護
教程寫作: 看雪
技術(shù)指導(dǎo):D.boy 和RuFeng
寫作日期:2000年5月30日
目標(biāo)程序:ShowDep 4.0 beta 1
程序大小:Showdep.exe 為177K
程序下載:ShowDep 4.0
使用工具:Softice 4.05; ProcDump 1.6.2 Final; FrogsICE v0.43;Icedump 6.016
首先忠心感謝D.boy 和RuFeng的熱心幫助,是在他們的幫助下,我才對PE文件有一定程度的了解。我把從他們那里吸取的經(jīng)驗總結(jié)了一篇文章,希望對大家有所幫助。為了使初學(xué)者能更好理解這文章,本人盡量寫的仔細點。
一、Import表的一些理論知識
在你看這篇文章之前你應(yīng)對PE文件的結(jié)構(gòu)有一定了解否則請先看看PE介紹.
1、現(xiàn)在不少軟件脫殼后Import表被損壞或地址發(fā)生改變,需要我們手動找到正確的Import表來替換被破壞的Import表,并修正Import表的地址,程序才能正確執(zhí)行。
程序裝載時需要裝載很多函數(shù)和DLL文件這時程序需要判定目標(biāo)函數(shù)的地址并將該函數(shù)插補到該執(zhí)行文件的映像中,所需要的信息都是放在PE文件的Import表,PE文件中的每一個輸入函數(shù)都明確的列于該表中。 一般來說Import表是存放在程序的.idata塊,它一般包含其他外來DLL的函數(shù)及數(shù)據(jù)信息。但也有不少程序的Import表不存在idata塊中,給我們判斷Import表的地址造成困難,但不要著急,只要了解Import表的結(jié)構(gòu)你就能迅速定位Import表的地址。
2、Import表以一個IMAGE_IMPORT_DESCRIPTOR數(shù)組開始。每一個被PE文件隱式連結(jié)進來的DLL都有一個IMAGE_IMPORT_DESCRIPTOR。在這個數(shù)組中,沒有字段指出該結(jié)構(gòu)數(shù)組的項數(shù),但它的最后一個單元是NULL,可以由此計數(shù)算出該數(shù)組的項數(shù)。IMAGE_IMPORT_DESCRIPTOR的格式如下:
image_import_descriptors結(jié)構(gòu):
IMAGE_IMPORT_DESCRIPTOR struct
riginalFirstThunk dd 0 該字段是一個指針數(shù)組的RVA偏移。其中每一個指針都指向一IMAGE_IMPORT_BY_NAME結(jié)構(gòu)
TimeDateStamp dd 0 時間及日期標(biāo)志,在這可以忽略
ForwarderChain dd 0 正向鏈結(jié)索引,在這可以忽略
Name dd 0 以NULL結(jié)尾的ASCII字符的RVA地址,該字符串包含輸入的DLL名,比如"Kernel32.dll" 或"USER32.DLL" (關(guān)鍵!,我們定位Import表的依據(jù))
FirstThunk dd 0 該字段是在Image_thunk_data聯(lián)合結(jié)構(gòu)中的RVA偏移。大多數(shù)情況下,Image_thunk_data是指IMAGE_IMPORT_BY_NAME結(jié)構(gòu)的指針。如果不是一個指針的話,那它就是該功能在DLL中的序號。
IMAGE_IMPORT_DESCRIPTOR ends
3、為了使大家更好理解,我們以ShowDep 4.0 beta的Import表為例,ShowDep 4.0用 ASProtect 加殼,用prodump 分析,發(fā)現(xiàn)沒有idata段。 脫殼大師D.boy很成功分析出該軟件的Import表:import rav 0042D104,size 00001470 ;Image Base(基址)=00400000。
該軟件的Import表的image_import_descriptors結(jié)構(gòu)如下:
-----SHOWDEP!.rdata+1104--------------------------dword-------------PROT---(0)--
0030:0042D104 ①0002D23C ②00000000 ③00000000 ④0002DA8A <............... ^
0030:0042D114 ⑤0002C070 ⑥0002D43C ⑦00000000 ⑦00000000 p...<........... v
(圖一)
為了解釋方便,我在每個數(shù)據(jù)前加了序號。上圖就是一個典型的Import表開始處的image_import_descriptors結(jié)構(gòu),Import表就是以這個數(shù)組開始的一段連續(xù)內(nèi)存空間,在這里大小是1470的連續(xù)空間。各項數(shù)據(jù)含義如下:
IMAGE_IMPORT_DESCRIPTOR struct
riginalFirstThunk dd 0 ①0002D23C
TimeDateStamp dd 0 ②00000000
ForwarderChain dd 0 ③00000000
Name dd 0 ④0002DA8A(關(guān)鍵!,我們定位Import表的依據(jù))
FirstThunk dd 0 ⑤0002C070
IMAGE_IMPORT_DESCRIPTOR ends
現(xiàn)在我們將image_import_descriptors結(jié)構(gòu)中每項的地址均顯示分析一下:
① Name選項(我們定位Import表地址就是以此為依據(jù)的)
在這例Name項值為:④0002DA8A
下命令DD 42DA8A (顯示內(nèi)存地址42DA8A的數(shù)據(jù),其中42DA8A=④0002DA8A+Image Base(基址))
-----SHOWDEP!.rdata+1A8A--------------------------dword-------------PROT---(0)--
0030:0042DA8A 4E52454B 32334C45 4C4C442E 019A0000 KERNEL32.DLL.... ^
0030:0042DA9A 64616F4C 73727543 0041726F 6F4C01AB LoadCursorA...Lo v
(圖二)
想必大家己睜大眼睛了,發(fā)現(xiàn)什么有價值的東西?對,就是KERNEL32.DLL!就是我們的突破口。
Import表裝載的基本原理是:根據(jù)Import表的指示找到外部模塊的文件名,再使用Win32 API函數(shù)GetModuleHandleA獲得該模塊在內(nèi)存中的句柄。如果沒在內(nèi)存中就使用LoadLibraryA API調(diào)用裝入該模塊。隨后使用獲得的模塊句柄調(diào)用Win32 API函數(shù)GetProcAddress 獲得該模塊中Import表指定功能的實際地址,加上裝入基址,并且填入Import表的FirstThunk所指的IMAGE_IMPORT_BY_NAME結(jié)構(gòu)指針數(shù)組中,完成該模塊的一個功能的人工裝入填寫。循環(huán)調(diào)用函數(shù)GetProcAddress以獲得其他功能調(diào)用的地址,加上裝入基址,并填入之,以完成一個外部模塊的裝入。再循環(huán)上述過程對其他模塊進行裝入。
因此我們可以從函數(shù)LoadLibraryA入手,該函數(shù)會裝入外部模塊,我們監(jiān)視這函數(shù)的入口參數(shù)是否為KERNEL32.DLL,以此來確定Import表的狀況。即確定 image_import_descriptors結(jié)構(gòu)中的name選項。
函數(shù)LoadLibrary:
HINSTANCE LoadLibrary(
LPCTSTR lpLibFileName // 執(zhí)行模塊的文件名和地址
);
只要函數(shù)LoadLibrary參數(shù)的模塊名為KERNEL32.DLL,就會出現(xiàn)圖二的情況,這時KERNEL32.DLL地址為0042DA8A。因此image_import_descriptors結(jié)構(gòu)中name為0042DA8A―400000=2DA8A,這時利用S命令在內(nèi)存中查找字條串002DA8A,就可確定import表的地址。
(到這里我們就能確定Import表的地址了,下面幾項可幫助我們大家更好理解Import表)
②riginalFirstThunk項
在這里riginalFirstThunk項值為:①0002D23C
下命令DD 42D23C (顯示內(nèi)存地址42D23C的數(shù)據(jù),其中42DA8A=①0002D23C+Image Base(基址))
-----SHOWDEP!.rdata+123C--------------------------dword-------------PROT---(0)--
0030:0042D23C 0002D798 0002D7A8 0002D7BE 0002D782 ................ ^
0030:0042D24C 0002D7CC 0002D7E0 0002D7F6 0002D80A ................ ^
0030:0042D25C 0002D81C 0002D830 0002D840 0002D854 [email protected]... v
0030:0042D26C 0002D868 0002D87C 0002D890 0002D8A0 h...|........... v
(圖三)
圖三是一個指針數(shù)組,其中每一個指針都指向一IMAGE_IMPORT_BY_NAME結(jié)構(gòu)。
我們以第一個指針0002D798為例,顯示它所指的IMAGE_IMPORT_BY_NAME結(jié)構(gòu).
下命令:dd 42d798(注意:0002D798+Image Base(基址))
-----SHOWDEP!.rdata+1798--------------------------dword-------------PROT---(0)--
0030:0042D798 6547011B 636F4C74 69546C61 0000656D ..GetLocalTime.. ^
0030:0042D7A8 6F430025 6E69746E 65446575 45677562 %.ContinueDebugE ^
0030:0042D7B8 746E6576 022B0000 65736552 65764574 vent..+.ResetEve v
0030:0042D7C8 0000746E 615702CB 6F467469 62654472 nt....WaitForDeb v
(圖四)
③FirstThunk項
在這例,F(xiàn)irstThunk項的值為:⑤0002C070
下命令dd 42c070 (注意:0002c070+Image Base(基址)):
-----SHOWDEP!.rdata+0070--------------------------dword-------------PROT---(0)--
0030:0042C070 0002D798 0002D7A8 0002D7BE 0002D782 ................ ^
0030:0042C080 0002D7CC 0002D7E0 0002D7F6 0002D80A ................ ^
0030:0042C090 0002D81C 0002D830 0002D840 0002D854 [email protected]... v
0030:0042C0A0 0002D868 0002D87C 0002D890 0002D8A0 h...|........... v
(圖五)
圖五是一個指針數(shù)組(Image_thunk_data聯(lián)合結(jié)構(gòu)),大多數(shù)情況下,Image_thunk_data是指IMAGE_IMPORT_BY_NAME結(jié)構(gòu)的指針。如果不是一個指針的話,那它就是該功能在DLL中的序號。不知你發(fā)現(xiàn)沒有,圖五的數(shù)據(jù)和圖三完全相同,原因就是這個。
二、確定Import表的地址和大小并修正Import表
通過上面的講解,想必大家對Import表己比較熟悉了吧,現(xiàn)在以脫ShowDep 4.0 beta 1的殼為例,講解定位Import表的位置和大小的幾種方法。
方法一:通過idata來確定Import表的位置
大部分加殼程序的塊表中都有.idata這一項,.idata包含其他外來DLL的函數(shù)及數(shù)據(jù)信息,也就是說Import表的起始地址就是.idata的地址。如是這種情況,脫殼就簡單多了。
先dump取正確的Import表(假設(shè)取名為idata.bin),然后在解壓入口點full dump取整個程序(假設(shè)取名為dump.exe)用 Procdump打開dump.exe文件, 察看.idata Section. 記下Raw Size和 Raw Offset的值。用HexWorkshop打開dump.exe 將idata.bin拷貝/粘貼到 dump.exe(粘貼位置為Raw Offset 大小為Raw Size). 再修正Entry Point和Import表的地址(此值就是.idata的RVA)
方法二:沒.idata一項,利用bpx loadlibrarya來判斷Import表的位置
由于ShowDep 4.0 beta 1沒.idata一項,因此要確定Import表的位置和大小較困難,步驟如下:
①分析ShowDep 4.0 beta 1的文件PE頭
運行 Procdump,點擊pe-editor按鈕,選中ShowDep.exe文件:
Size of image : 000A0000 ; 這個PE文件執(zhí)行時分配的內(nèi)存空間。
Image Base : 00400000 ; 基址
②確定Import表的地址
a.先裝載Icedump
在這用Icedump 6.016版本,其命令操作形式完全和以前的版本不同。先在Icedump目錄里運行相應(yīng)SOFTICE版本的icedump.exe(我用的SOFTICE是4.05版,因此在win9x/405目錄下運行icedump.exe),如Icedump裝載成功,Icedump會返回如下信息:
icedump v6.0.1.6 for winice v4.05 loader
icedump unloaded
icedump loaded ←出現(xiàn)這句話表示Icedump裝載成功
C:>
(圖六)
b.再裝載FrogsICE
由于ShowDep能檢測到SOFTICE的存在,因此裝載Frogsice就可躲過。在我機子里:FrogsICE 1.00 Final和Icedump不能很好兼容工作,因此我將FrogsICE換成版本v0.43,hehe..它們配合的很好。雙擊FPloader.exe文件即可裝載成功。
OK到此你的SOFTICE的功能己大大加強里。
這時試試運行ShowDep,這時屏幕將藍屏給你一菜單選項,告知ShowDep發(fā)現(xiàn)了SOFTICE,是否欺騙它,這時你按ESC按鈕,程序即可正常運行。(注:我的SOFTICE用icepath打過補丁)
c、攔截函數(shù)loadlibararya
下命令:bpx loadlibrarya do "dd esp->4"
(注:在TRW2000下實現(xiàn)同樣功能的命令是: bpx loadlibrarya do "dd *(esp+4)"
這個命令就是當(dāng)攔截loadlibararya函數(shù)時,顯示其入口參數(shù)的在內(nèi)存的值,如:
0137:00710242 PUSH EAX
0137:00710243 CALL [loadlibarary] ;當(dāng)調(diào)用此函數(shù)將中斷,并顯示push參數(shù)的值,在這里即:d eax
ok斷點設(shè)置好后,運行ShowDep程序,將中斷,此時按F5一直到數(shù)據(jù)窗口顯示為:KERNEL32.DLL字符。在我win97系統(tǒng)下,只要按兩下F5即可看到如下情況:
-----SHOWDEP!.rdata+1A8A--------------------------dword-------------PROT---(0)--
0030:0042DA8A 4E52454B 32334C45 4C4C442E 019A0000 KERNEL32.DLL.... ^
0030:0042DA9A 64616F4C 73727543 0041726F 6F4C01AB LoadCursorA...Lo v
(圖六)
hehe...看看圖六和圖三是不是一樣啊!其中前面的地址0042DA8A就是關(guān)鍵。
0042DA8A就是image_import_descriptors結(jié)構(gòu)中的name項的值,因為該結(jié)構(gòu)如下:
0030:0042D104 0002D23C 00000000 00000000 0002DA8A <............... ^
0030:0042D114 0002C070 0002D43C 00000000 00000000 p...<........... v
因此這時我要在數(shù)據(jù)窗口向前查找字符串0002DA8A(0002DA8A=0042DA8A-基址):
下命令:S DS:400000 L FFFFFFFF 8A DA 02 00
(注:在TRW2000下實現(xiàn)同樣功能的命令是: S 30:0 L FFFFFFFF 8A DA 02 00)(用上面的好象不行但愿新版能改進)
結(jié)果如下:
-----SHOWDEP!.rdata+1100--------------------------dword-------------PROT---(0)--
013F:0042D100 0042B385 0002D23C 00000000 00000000 ..B.<........... ^
013F:0042D110 0002DA8A 0002C070 0002D43C 00000000 ....p...<....... v
(圖七)
仔細比較圖七和圖一,發(fā)現(xiàn)這就是Import表的IMAGE_IMPORT_DESCRIPTOR數(shù)組。
如你看不習(xí)慣,可再下命令: D 42D110-C 這樣就可顯示和圖一一樣的畫面了。
這樣就可確定Import表的地址是2D104=0042D104―400000(基址)
③確定Import表的大小
現(xiàn)己將Import表的起始地址確定了:RVA=42D104。只要確定Import表的尾部就可計算出其大小,Import表在內(nèi)存里是連續(xù)存放的一段數(shù)據(jù),其一般結(jié)尾處一段內(nèi)存空間都是0在此例,你開始先定位來到Import表的起始處,按ALT+↓向下翻頁(或ALT+PageDown),直到看到如下情況:
013F:0042E54A 65530262 766E4574 6E6F7269 746E656D b.SetEnvironment
013F:0042E55A 69726156 656C6261 011D0041 4C746547 VariableA...GetL
013F:0042E56A 6C61636F 666E4965 0000576F 00000000 ocaleInfoW......
013F:0042E57A 00000000 00000000 00000000 00000000 ................ v
013F:0042E58A 00000000 00000000 00000000 00000000 ................ v
(圖八)
字符串0000576F就是Import表的最后一項,其后面一位000000的地址為:42e574(其邊界就是上面紅色的W如你在SOFTICE不能確定可DUMP后在十六進制工具Hexworkshop很方便知邊界地址)
因此Import表的大小=42E574-42D104=1470
④、找入口點
