如何区分DLL的PE头中的导入函数和导入全局变量?

我正在写一个小工具,它应该能够检查一个感兴趣的任意进程,并检查它的静态链接函数是否有任何一个是 蹦床. (安 蹦床的例子 可能是 微软绕道 对一个进程的影响)。)

为此,我解析了 PE头 的目标进程,并检索其所有导入的DLLs和其中的所有导入函数,然后我可以比较磁盘上的DLLs和目标进程内存中加载的DLLs。那么我可以将磁盘上的DLL和目标进程内存中加载的DLL进行以下比较。

A. 中的条目。Import Address Table 对于每个导入的函数。

B. 每个函数的机器代码的前N个字节。

如果以上任何一项不匹配,这将很肯定地意味着一个 trampoline 被应用到一个特定的函数(或WinAPI)上。

这很好用,除了一种情况,即目标进程可以导入全局变量而不是函数。例如 _acmdln 就是这样的全局变量。你仍然可以在 msvcrt.dll 并将其作为全局变量使用。

//I'm not sure why you'd want to do it this way,
//but it will give you the current command line.
//So just to prove the concept ...
HMODULE hMod = ::GetModuleHandle(L"msvcrt.dll");
char* pVar = (char*)::GetProcAddress(hMod, "_acmdln");
char* pCmdLine = pVar ? *(char**)pVar : NULL;

所以,这对我的蹦床检查工具来说意味着 我需要区分导入的函数(WinAPI)和全局变量。有什么办法吗?

PS. 如果我不这么做,我上面说的算法会把全局变量的 “代码字节 “当作函数来比较,而全局变量只是一个指向命令行的指针,肯定会有不同,然后标记为蹦蹦跳跳的函数。

PS2. 不完全是我的代码,但类似的解析PE头的方法可以是 在此找到. (搜索 DumpImports 函数来提取DLL导入。)

解决方案:

全局变量将在.data部分而不是.text部分,此外,如果不是函数,该部分将没有执行权限。 因此你可以利用这两个特点来进行过滤。

给TA打赏
共{{data.count}}人
人已打赏
未分类

如何在javascript中把2D嵌套数组转换成2D单数组?

2022-9-7 21:50:45

未分类

jQuery if语句,语法

2022-9-7 22:00:15

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索