LyShark

摘要： InlineHook 是一种计算机安全编程技术，其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数（也可以称为回调函数）来截获程序执行的各种事件，并在事件发生前或后进行自定义处理，从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、开发等领域。本章将重点讲解Hook是如何实现的，并手动封装实现自己的Hook挂钩模板。 阅读全文

摘要： InlineHook 是一种计算机安全编程技术，其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数（也可以称为回调函数）来截获程序执行的各种事件，并在事件发生前或后进行自定义处理，从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、等领域。本章将重点讲解Hook是如何实现的，并手动封装实现自己的Hook挂钩模板。首先我们来探索一下Hook技术是如何实现的，如下图所示是一个简单的弹窗程序，当读者点击测试弹窗按钮时则会弹出一个`MessageBox`提示窗口，本次实现目标很简单，通过向目标内注入一个DLL库，实现Hook挂钩住`MessageBox`弹窗，从而实现去除弹窗的目的； 阅读全文

摘要： SetWindowHookEx 是`Windows`系统的一个函数，可用于让一个应用程序安装全局钩子，但读者需要格外注意该方法安装的钩子会由操作系统注入到所有可执行进程内，虽然该注入方式可以用于绕过游戏保护实现注入，但由于其属于全局注入所以所有的进程都会受到影响，而如果想要解决这个问题，则需要在`DllMain()`也就是动态链接库开头位置进行判断，如果是我们所需操作的进程则执行该DLL模块内的功能，如果不是则自动跳过不执行任何操作即可实现指定进程的注入方式。 阅读全文

摘要： Session是`Windows`系统的一个安全特性，该特性引入了针对用户体验提高的安全机制，即拆分Session 0和用户会话，这种拆分`Session 0`和`Session 1`的机制对于提高安全性非常有用，这是因为将桌面服务进程，驱动程序以及其他系统级服务取消了与用户会话的关联，从而限制了攻击者可用的攻击面。由于`DLL`注入在`Session 0`中的注入机制不同于在用户会话中的注入机制，因此需要特别的考虑和处理。如果需要执行DLL注入，必须使用`过度级别安全`机制解决`Session 0`上下文问题，并且在设计安全方案时，必须考虑`Session 0`和`Session 1`之间的区别。 阅读全文

摘要： APC（Asynchronous Procedure Call）异步过程调用是一种`Windows`操作系统的核心机制，它允许在进程上下文中执行用户定义的函数，而无需创建线程或等待OS执行完成。该机制适用于一些频繁的、短暂的或非常细微的操作，例如改变线程优先级或通知线程处理任务。在`APC机制`中，当某些事件发生时（例如文件IO，网络IO或定时器触发），这些事件将被操作系统添加到一个`APC队列`中，该队列绑定到执行线程。在下一次发生`ALERTABLE`的事件时（例如调用SleepEx或SignalObjectAndWait时），OS将弹出`APC函数`并在执行线程上下文中调用该函数，并在执行完毕后恢复线程执行。 阅读全文

摘要： 动态链接库注入技术是一种特殊的技术，它允许在运行的进程中注入DLL动态链接库，从而改变目标进程的行为。DLL注入的实现方式有许多，典型的实现方式为远程线程注入，该注入方式的注入原理是利用了`Windows`系统中提供的`CreateRemoteThread()`这个API函数,该函数第四个参数是准备运行的线程，我们将`LoadLibrary()`函数填入其中，这样就可以执行远程进程中的`LoadLibrary()`函数，进而将我们自己准备的DLL加载到远程进程空间中执行，DLL在被装载后则会自动执行初始化部分。 阅读全文

摘要： 在可执行文件PE文件结构中，通常我们需要用到地址转换相关知识，PE文件针对地址的规范有三种，其中就包括了`VA`，`RVA`，`FOA`三种，这三种该地址之间的灵活转换也是非常有用的，本节将介绍这些地址范围如何通过编程的方式实现转换。VA（Virtual Address，虚拟地址）：它是在进程的虚拟地址空间中的地址，用于在运行时访问内存中的数据和代码。VA是相对于进程基址的偏移量。在不同的进程中，相同的VA可能映射到不同的物理地址。RVA（Relative Virtual Address，相对虚拟地址）：它是相对于模块基址（Module Base Address）的偏移量，用于定位模块内部的数据和代码。RVA是相对于模块基址的偏移量，通过将模块基址和RVA相加，可以计算出相应的VA。FOA（File Offset Address，文件偏移地址）：它是相对于文件起始位置的偏移量，用于定位可执行文件中的数据和代码在文件中的位置。通过将文件偏移地址和节表中的指定节的起始位置相加，可以计算出相应的FOA。 阅读全文

摘要： 代码加密功能的实现原理，首先通过创建一个新的`.hack`区段，并对该区段进行初始化，接着我们向此区段内写入一段具有动态解密功能的`ShellCode`汇编指令集，并将程序入口地址修正为`ShellCode`地址位置处，当解密功能被运行后则可释放加密的`.text`节，此时再通过一个`JMP`指令跳转到原始`OEP`位置，则可继续执行解密后的区段。 阅读全文

摘要： 本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell植入技术。该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。字节注入功能调用`WritePEShellCode`函数，该函数的主要作用是接受用户传入的一个文件位置，并可以将一段通过`Metasploit`工具生成的有效载荷注入到特定文件偏移位置处。 阅读全文

摘要： 在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理，以便操作系统和加载器可以正确加载和执行程序。 阅读全文

摘要： Relocation（重定位）是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中，由于程序中使用了各种全局变量和函数，这些变量和函数的地址还没有确定，因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时，这些相对地址需要被修正为实际的绝对地址，这个过程就是重定位。在Windows操作系统中，程序被加载到内存中运行时，需要将程序中的各种内存地址进行重定位，以使程序能够正确地运行。Windows系统使用PE（Portable Executable）文件格式来存储可执行程序，其中包括重定位信息。当程序被加载到内存中时，系统会解析这些重定位信息，并将程序中的各种内存地址进行重定位。 阅读全文

摘要： 在Windows PE中，资源是指可执行文件中存放的一些固定不变的数据集合，例如图标、对话框、字符串、位图、版本信息等。PE文件中每个资源都会被分配对应的唯一资源ID，以便在运行时能够方便地查找和调用它们。PE文件中的资源都被组织成一个树形结构，其中最顶层为根节点（Root），下一级为资源类型（Type），再下一级为资源名称（Name），最终是实际的资源内容。PIMAGE_RESOURCE_DIRECTORY是Windows PE可执行文件中的一个结构类型，用于描述资源（Resource）的树形结构，其中包括了每个资源的类型（Type）、名称（Name）和语言（Language），以及指向下一级PE资源目录的地址和相关信息等。 阅读全文

摘要： 脱壳修复是指在进行加壳保护后的二进制程序脱壳操作后，由于加壳操作的不同，有些程序的导入表可能会受到影响，导致脱壳后程序无法正常运行。因此，需要进行修复操作，将脱壳前的导入表覆盖到脱壳后的程序中，以使程序恢复正常运行。一般情况下，导入表被分为IAT（Import Address Table，导入地址表）和INT（Import Name Table，导入名称表）两个部分，其中IAT存储着导入函数的地址，而INT存储着导入函数的名称。在脱壳修复中，一般是通过将脱壳前和脱壳后的输入表进行对比，找出IAT和INT表中不一致的地方，然后将脱壳前的输入表覆盖到脱壳后的程序中，以完成修复操作。 阅读全文

摘要： 重定位表（Relocation Table）是Windows PE可执行文件中的一部分，主要记录了与地址相关的信息，它在程序加载和运行时被用来修改程序代码中的地址的值，因为程序在不同的内存地址中加载时，程序中使用到的地址也会受到影响，因此需要重定位表这个数据结构来完成这些地址值的修正。当程序需要被加载到不同的内存地址时，相关的地址值需要进行修正，否则程序运行会出现异常。而重定位表就是记录了在程序加载时需要修正的地址值的相关信息，包括修正地址的位置、需要修正的字节数、需要修正的地址的类型等。重定位表中的每个记录都称为一项（entry），每个entry包含了需要修正的地址值的详细信息，通常是以可变长度数据的形式存储在一个或多个叫做重定位块（relocation block）的数据结构中。 阅读全文

摘要： 导出表（Export Table）是Windows可执行文件中的一个结构，记录了可执行文件中某些函数或变量的名称和地址，这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入，再根据DLL文件中函数的导出信息对可执行文件的导入表(IAT)进行修正。 阅读全文

摘要： 导入表（Import Table）是Windows可执行文件中的一部分，它记录了程序所需调用的外部函数（或API）的名称，以及这些函数在哪些动态链接库（DLL）中可以找到。在Win32编程中我们会经常用到导入函数，导入函数就是程序调用其执行代码又不在程序中的函数，这些函数通常是系统提供给我们的API，在调用者程序中只保留一些函数信息，包括函数名机器所在DLL路径。当程序需要调用某个函数时，它必须知道该函数的名称和所在的DLL文件名，并将DLL文件加载到进程的内存中。导入表就是告诉程序这些信息的重要数据结构。一般来说导入表的数据结构如下： 阅读全文

摘要： 节表（Section Table）是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构，它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息，是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为`IMAGE_SECTION_HEADER`，它记录了一个段的各种属性信息和在文件中的位置和大小等信息，一个文件可以由多个`IMAGE_SECTION_HEADER`构成。在执行PE文件的时候，Windows 并不在一开始就将整个文件读入内存，PE装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系，只有真正执行到某个内存页中的指令或者访问页中的数据时，这个页面才会被从磁盘提交到内存中，这种机制极大的节约了内存资源，使文件的装入速度和文件的大小没有太多的关系。 阅读全文

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置，就是真正的PE文件头的位置，该文件头是由`IMAGE_NT_HEADERS`结构定义的，IMAGE_NT_HEADERS是PE文件格式的一部分，它包含了PE头和可选头的信息，用于描述PE文件的结构和属性。 阅读全文

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。 阅读全文

摘要： 在正常情况下，要想使用`GetProcAddress`函数，需要首先调用`LoadLibraryA`函数获取到`kernel32.dll`动态链接库的内存地址，接着在调用`GetProcAddress`函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址，但在有时这个函数会被保护起来，导致我们无法直接调用该函数获取到特定函数的内存地址，此时就需要自己编写实现`LoadLibrary`以及`GetProcAddress`函数，该功能的实现需要依赖于`PEB`线程环境块，通过线程环境块可遍历出`kernel32.dll`模块的入口地址，接着就可以在该模块中寻找`GetProcAddress`函数入口地址，当找到该入口地址后即可直接调用实现动态定位功能。 阅读全文

摘要： PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等，本次的目标是手工修改或增加节区，并给特定可执行程序插入一段`ShellCode`代码，实现程序运行自动反弹一个Shell会话。 阅读全文

摘要： 在`Windows`操作系统中，动态链接库`DLL`是一种可重用的代码库，它允许多个程序共享同一份代码，从而节省系统资源。在程序运行时，如果需要使用某个库中的函数或变量，就会通过链接库来实现。而在`Windows`系统中，两个最基础的链接库就是`Ntdll.dll`和`Kernel32.dll`。Ntdll.dll是Windows系统内核提供的一个非常重要的动态链接库，包含了大量的系统核心函数，如文件操作、进程和线程管理、内存操作等等。在进程启动时，操作系统会先加载`Ntdll.dll`，并将其映射到该进程的地址空间中。由于`Ntdll.dll`是如此重要，所以任何对其的劫持都是无效的。这也是为什么说在应用层下，无论什么程序都无法修改或替换`Ntdll.dll`的原因。 阅读全文

摘要： 在笔者前几篇文章中我们一直在探讨如何利用`Metasploit`这个渗透工具生成`ShellCode`以及如何将ShellCode注入到特定进程内，本章我们将自己实现一个正向`ShellCode`Shell，当进程被注入后，则我们可以通过利用NC等工具连接到被注入进程内，并以对方的权限及身份执行命令，该功能有利于于Shell的隐藏。本章的内容其原理与`《运用C语言编写ShellCode代码》`中所使用的原理保持一致，通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell，本章节内容对`Metasploit`工具生成的Shell原理的理解能够起到促进作用。 阅读全文

摘要： ShellCode 的格式化与注入功能在实战应用中也尤为重要，格式化`Shellcode`是指将其转换为可执行的二进制格式，使其能够在内存中运行。注入`Shellcode`是指将格式化的`Shellcode`注入到另一个进程的内存中，以便在该进程中执行，此类功能也可算作`ShellCode`技术的延申功能。 阅读全文

摘要： 动态解密执行技术可以对抗杀软的磁盘特征查杀。其原理是将程序代码段中的代码进行加密，然后将加密后的代码回写到原始位置。当程序运行时，将动态解密加密代码，并将解密后的代码回写到原始位置，从而实现内存加载。这种技术可以有效地规避杀软的特征码查杀，因为加密后的代码通常不会被标记为恶意代码。 阅读全文