windows 可执行文件分析
windows可执行文件是什么?
是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。
注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。
如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不存在自动运行能力。而仅仅是,调用了CreateProcessW函数来启动这个可执行文件。如下,是桌面上,双击或右键打开一个记事本软件,堆栈情况,如下
- CPU Stack
- Address Value ASCII Comments
- 0007DFE8 ; RETURN from kernel32.CreateProcessW to SHELL32.7D5DA1F8
- 0007DFEC ; ApplicationName = "C:\Documents and Settings\heyueyi\桌面\notepad.exe"
- 0007DFF0 ; CommandLine = ""C:\Documents and Settings\heyueyi\桌面\notepad.exe" "
- 0007DFF4 ; pProcessSecurity = NULL
- 0007DFF8 ; pThreadSecurity = NULL
- 0007DFFC ; InheritHandles = FALSE
- 0007E000 0; CreationFlags = CREATE_NEW_CONSOLE|CREATE_UNICODE_ENVIRONMENT|CREATE_DEFAULT_ERROR_MODE
- 0007E004 ; pEnvironment = NULL
- 0007E008 ; CurrentDirectory = "C:\Documents and Settings\heyueyi\桌面"
- 0007E00C ; pStartupInfo = 00135FB0 -> STARTUPINFOW {Size=68., Reserved1=NULL, Desktop=NULL, Title=NULL, X=0, Y=0, Width=0, Height=0, XCountChars=0, YCountChars=0, FillAttribute=0, Flags=STARTF_USESHOWWINDOW|400, ShowWindow=SW_SHOWNORMAL, Reserved2=0, Reserved3=NULL,
- 0007E010 ; pProcessInformation = 00135FFC -> PROCESS_INFORMATION {hProcess=NULL, hThread=NULL, ProcessID=0, ThreadID=0}
这个还和注册表是相关的,exefile在注册表中的选项(exefile是后缀是exe的文件,如txt,那它的打开方式, 就会出现在,txtfile里)
这就是exe文件默认双击右键打开的方式。使用了命令行。“"%1" %*”,也就是,第一个参数,就是可执行文件,也是就是其本身。如果,将其改为"c:\WINDOWS\NOTEPAD.EXE" %1,那就是,使用notepad,打开那个程序。(这也是一种病毒启动的一种方式)。
将以下代码,编译成可执行文件
- #include "stdio.h"
- #include "windows.h"
- BOOL LineProcess(char *LineCmd)//通过命令驱动程序
- {
- STARTUPINFO si;
- PROCESS_INFORMATION pi;
- memset(&si,0,sizeof(STARTUPINFO));
- si.cb = sizeof(STARTUPINFO);
- si.dwFlags = STARTF_USESHOWWINDOW;
- si.wShowWindow = SW_SHOW;
- return CreateProcess(NULL,LineCmd,NULL,NULL,FALSE,0,NULL,NULL,&si,&pi);
- }
- void main(int argc,char *argv[])
- {
- int i = 1;
- char LineCmd[500]={0};
- if(argc>1)
- {
- printf("%s\n",argv[i]);
- strcat(LineCmd,"\"");
- strcat(LineCmd,argv[i]);
- strcat(LineCmd,"\" ");
- }
- for (i = 2 ; i < argc ; ++i)
- {
- printf("%s\n",argv[i]);
- strcat(LineCmd,argv[i]);
- strcat(LineCmd," ");
- }
- if(strlen(LineCmd)>0)
- LineProcess(LineCmd);
- printf("启动了,我的程序!!");
- system("pause");
- }
接着,将上面的注册表中的,""%1" %*"改为"e:\workplace\Debug\1.exe" "%1" %*
这样就可以,达到后台启动的目的。当你,双击或右键打开一个可执行文件时(通常是exe后缀的文件 或其快捷键),它就会先运行,我的程序,然后,通过我的程序,来运行,其它的程序了。
所以,在正常情况下,(没有做系统修改),在桌面打开的程序的父进程是:explorer。
同样,我可以,把txt作为可执行文件后缀,就是可以将,txtfile,中的open/command中的默认值改为:“%1” %*。这样你的,所有txt就是咱们“所谓”的可执行文件。将一个exe文件改成后缀是txt,双击或右键打开,一样是可以运行。当然,你直接打开的是一个文本的话,它就会提示你,不是一个有效的应用程序。
说了这么多,就是想说明,文件名与是否是可执行文件没有什么必然的关系。从上总结,与CreateProcessW或CreateProcessA这两API关系紧密。(W与A的区别在于,unicode 与assic)。
接下来,来讨论一下,CreateProcessW(A)如果,是一个完整路径,那它就会对,些文件进行,判断是不是,cmd或bat(这俩虽说理论上不是可执行,但在window是脚本,也是可以执行的,所以双击或右键打开这后缀文件也会运行)。
前期工作会对createprocess传来的,参数,进行分析。例如:程序路径(名),如果,仅是一个文件名,那就要,使用SearchPathW()查打这个文件。得到完成路径后,判断是 不是PE文件,如果不是那就判断后缀是不是cmd或bat(这俩种类型理论上不是可执行,但在window是脚本,也是可以执行的,所以双击或右键打开这后缀文件也会运行)。
主要运行API下:
NtOpenFile //打开那个文件
NtCreateSection//使用NTOpenFile上的返回的句柄,创建一个section.注:以前,很多杀毒软件,就是hook它来,监视进程的启动.
NtCreateProcessEx//使用上面的section,创建一个进程,但是这个是无法运行的。只是创建进程一些结构:PEB、EPROCESS等,在这里,就有父进程参数。
RtlCreateProcessParameters//为进程创建环境,命令行就会在此
NTCreateThread//为进程创建线程,到这里了,才能运行。
以上只是,简单的步骤。
1、修改注册表,exefile 中有open/command中的默认选项,来达到隐藏启动效果
2、Hook API NtCreateSection,能达到监控程序的启动。如果,想禁用,那就让其返回不成功。
3、Hook API NtCreateProcessEx,可以修改父进程句柄,来达到一定的欺骗性。(具有一定的免杀效果,仅限xp系统,在win7下不行,因为,在win7具有一个权限继承特性,如果在win7能改的话,那么,就很容易提权,所以,win7下不行。)