个人学习日记

关于LordPE的AntiDump

笔记
Word count: 657Reading time: 2 min
2020/06/10 Share

原由

今天在看加密解密4关于脱壳部分的过程中,下面这一段代码让我感觉迷惑。

mark

让我感到奇怪的是,为什么这么一段代码可以用来Anti Dump的。

找出答案

在我搜索资料的过程中,发现关于LordPE dump功能的一些事情。我们将一个程序dump下来,有这么几个步骤:

1
2
3
1. 在系统中找到目标进程
2. 在进程中确定进程的大小ImageSize
3. 把进程中的数据保存到文件

这里有个问题就是ImageSize是怎么获取的。在我们的PE头里的Image_Option_Header里有一个成员叫做SizeOfImage,但是这个成员在加壳程序被修改是很常见的。因此在LordPE中并不是获取这个成员来获取ImageSize的。

在LordPE中,是使用Module32Next来获取进程的基本信息,包括ImageSize。而MODULEENTRY32结构的数据是从哪里来的呢?答案是从PEB进程环境块里获取的。以下是PEB的部分结构:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
struct   _PEB (sizeof=488)
+000 byte     InheritedAddressSpace
+001 byte     ReadImageFileExecOptions
+002 byte     BeingDebugged
+003 byte     SpareBool
+004 void     *Mutant
+008 void     *ImageBaseAddress
+00c struct   _PEB_LDR_DATA *Ldr
+010 struct   _RTL_USER_PROCESS_PARAMETERS *ProcessParameters
+014 void     *SubSystemData
+018 void     *ProcessHeap
+01c void     *FastPebLock
+020 void     *FastPebLockRoutine
+024 void     *FastPebUnlockRoutine

通过偏移0xC,我们可以找到_PEB_LDR_DATA,这是_PEB_LDR_DATA的结构:

1
2
3
4
5
6
7
8
9
10
11
12
struct _PEB_LDR_DATA
{
    ULONG Length;                                           //0x0
    UCHAR Initialized;                                      //0x4
    VOID* SsHandle;                                         //0x8
    struct _LIST_ENTRY InLoadOrderModuleList;               //0xc
    struct _LIST_ENTRY InMemoryOrderModuleList;             //0x14
    struct _LIST_ENTRY InInitializationOrderModuleList;     //0x1c
    VOID* EntryInProgress;                                  //0x24
    UCHAR ShutdownInProgress;                               //0x28
    VOID* ShutdownThreadId;                                 //0x2c
};

该结构的后三个成员是指向LDR_MODULE链表结构中相应的三条双向链表头的指针,分别是按照加载顺序、在内存中的地址顺序和初始化顺序排列的模块信息结构的指针。于是通过它,我们能够访问到LDR_MODULE结构。以下是LDR_MODULE结构:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
typedef struct _LDR_MODULE {
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
PVOID BaseAddress;
PVOID EntryPoint;
ULONG SizeOfImage;                   //进程的image size // 0x20
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
SHORT LoadCount;
SHORT TlsIndex;
LIST_ENTRY HashTableEntry;
ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

可以看到,在0x20的位置,存放着程序的SizeOfImage。LordPE就是通过这样的方式来获取到程序的ImageSize的,因此我们可以通过上面几条汇编代码,来修改掉这个PEB里的值来对抗LordPE的dump。

1
2
3
4
mov eax,dword ptr fs:[30h]      // 获得PEB地址
mov eax,dword ptr ds:[eax+0ch]  // _PEB_LDR_DATA 
mov eax,dword ptr ds:[eax+0ch]  // _LDR_MODULE的首地址
mov dword ptr [eax+20h],1000h   // eax+20是保存image size的地方

使用LordPE的修正镜像大小功能,即可发现,旧镜像大小Lord PE就是使用上面Module32Next的方法获取到ImageSize的,而新镜像大小则是通过Image_Option_Header来获取到SizeOfImage的。

mark

参考资料

https://bbs.pediy.com/thread-17624.htm

Author:lracker

原文链接:http://lracker.com/notes/LordPE-AntiDump/

发表日期:June 10th 2020, 6:12:00 pm

更新日期:June 10th 2020, 6:09:05 pm

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
  1. 1. 原由
  2. 2. 找出答案
  3. 3. 参考资料
Total : 8
2022
2020
远控 笔记 键盘记录器 面试
RAT notes keylogger interview