LyShark

摘要： APC（Asynchronous Procedure Call）异步过程调用是一种`Windows`操作系统的核心机制，它允许在进程上下文中执行用户定义的函数，而无需创建线程或等待OS执行完成。该机制适用于一些频繁的、短暂的或非常细微的操作，例如改变线程优先级或通知线程处理任务。在`APC机制`中，当某些事件发生时（例如文件IO，网络IO或定时器触发），这些事件将被操作系统添加到一个`APC队列`中，该队列绑定到执行线程。在下一次发生`ALERTABLE`的事件时（例如调用SleepEx或SignalObjectAndWait时），OS将弹出`APC函数`并在执行线程上下文中调用该函数，并在执行完毕后恢复线程执行。 阅读全文

摘要： 动态链接库注入技术是一种特殊的技术，它允许在运行的进程中注入DLL动态链接库，从而改变目标进程的行为。DLL注入的实现方式有许多，典型的实现方式为远程线程注入，该注入方式的注入原理是利用了`Windows`系统中提供的`CreateRemoteThread()`这个API函数,该函数第四个参数是准备运行的线程，我们将`LoadLibrary()`函数填入其中，这样就可以执行远程进程中的`LoadLibrary()`函数，进而将我们自己准备的DLL加载到远程进程空间中执行，DLL在被装载后则会自动执行初始化部分。 阅读全文

摘要： 在可执行文件PE文件结构中，通常我们需要用到地址转换相关知识，PE文件针对地址的规范有三种，其中就包括了`VA`，`RVA`，`FOA`三种，这三种该地址之间的灵活转换也是非常有用的，本节将介绍这些地址范围如何通过编程的方式实现转换。VA（Virtual Address，虚拟地址）：它是在进程的虚拟地址空间中的地址，用于在运行时访问内存中的数据和代码。VA是相对于进程基址的偏移量。在不同的进程中，相同的VA可能映射到不同的物理地址。RVA（Relative Virtual Address，相对虚拟地址）：它是相对于模块基址（Module Base Address）的偏移量，用于定位模块内部的数据和代码。RVA是相对于模块基址的偏移量，通过将模块基址和RVA相加，可以计算出相应的VA。FOA（File Offset Address，文件偏移地址）：它是相对于文件起始位置的偏移量，用于定位可执行文件中的数据和代码在文件中的位置。通过将文件偏移地址和节表中的指定节的起始位置相加，可以计算出相应的FOA。 阅读全文

摘要： 代码加密功能的实现原理，首先通过创建一个新的`.hack`区段，并对该区段进行初始化，接着我们向此区段内写入一段具有动态解密功能的`ShellCode`汇编指令集，并将程序入口地址修正为`ShellCode`地址位置处，当解密功能被运行后则可释放加密的`.text`节，此时再通过一个`JMP`指令跳转到原始`OEP`位置，则可继续执行解密后的区段。 阅读全文

摘要： 本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell植入技术。该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。字节注入功能调用`WritePEShellCode`函数，该函数的主要作用是接受用户传入的一个文件位置，并可以将一段通过`Metasploit`工具生成的有效载荷注入到特定文件偏移位置处。 阅读全文

摘要： 在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理，以便操作系统和加载器可以正确加载和执行程序。 阅读全文

摘要： Relocation（重定位）是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中，由于程序中使用了各种全局变量和函数，这些变量和函数的地址还没有确定，因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时，这些相对地址需要被修正为实际的绝对地址，这个过程就是重定位。在Windows操作系统中，程序被加载到内存中运行时，需要将程序中的各种内存地址进行重定位，以使程序能够正确地运行。Windows系统使用PE（Portable Executable）文件格式来存储可执行程序，其中包括重定位信息。当程序被加载到内存中时，系统会解析这些重定位信息，并将程序中的各种内存地址进行重定位。 阅读全文

摘要： 在Windows PE中，资源是指可执行文件中存放的一些固定不变的数据集合，例如图标、对话框、字符串、位图、版本信息等。PE文件中每个资源都会被分配对应的唯一资源ID，以便在运行时能够方便地查找和调用它们。PE文件中的资源都被组织成一个树形结构，其中最顶层为根节点（Root），下一级为资源类型（Type），再下一级为资源名称（Name），最终是实际的资源内容。PIMAGE_RESOURCE_DIRECTORY是Windows PE可执行文件中的一个结构类型，用于描述资源（Resource）的树形结构，其中包括了每个资源的类型（Type）、名称（Name）和语言（Language），以及指向下一级PE资源目录的地址和相关信息等。 阅读全文

摘要： 脱壳修复是指在进行加壳保护后的二进制程序脱壳操作后，由于加壳操作的不同，有些程序的导入表可能会受到影响，导致脱壳后程序无法正常运行。因此，需要进行修复操作，将脱壳前的导入表覆盖到脱壳后的程序中，以使程序恢复正常运行。一般情况下，导入表被分为IAT（Import Address Table，导入地址表）和INT（Import Name Table，导入名称表）两个部分，其中IAT存储着导入函数的地址，而INT存储着导入函数的名称。在脱壳修复中，一般是通过将脱壳前和脱壳后的输入表进行对比，找出IAT和INT表中不一致的地方，然后将脱壳前的输入表覆盖到脱壳后的程序中，以完成修复操作。 阅读全文

摘要： 重定位表（Relocation Table）是Windows PE可执行文件中的一部分，主要记录了与地址相关的信息，它在程序加载和运行时被用来修改程序代码中的地址的值，因为程序在不同的内存地址中加载时，程序中使用到的地址也会受到影响，因此需要重定位表这个数据结构来完成这些地址值的修正。当程序需要被加载到不同的内存地址时，相关的地址值需要进行修正，否则程序运行会出现异常。而重定位表就是记录了在程序加载时需要修正的地址值的相关信息，包括修正地址的位置、需要修正的字节数、需要修正的地址的类型等。重定位表中的每个记录都称为一项（entry），每个entry包含了需要修正的地址值的详细信息，通常是以可变长度数据的形式存储在一个或多个叫做重定位块（relocation block）的数据结构中。 阅读全文

摘要： 导出表（Export Table）是Windows可执行文件中的一个结构，记录了可执行文件中某些函数或变量的名称和地址，这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入，再根据DLL文件中函数的导出信息对可执行文件的导入表(IAT)进行修正。 阅读全文

摘要： 导入表（Import Table）是Windows可执行文件中的一部分，它记录了程序所需调用的外部函数（或API）的名称，以及这些函数在哪些动态链接库（DLL）中可以找到。在Win32编程中我们会经常用到导入函数，导入函数就是程序调用其执行代码又不在程序中的函数，这些函数通常是系统提供给我们的API，在调用者程序中只保留一些函数信息，包括函数名机器所在DLL路径。当程序需要调用某个函数时，它必须知道该函数的名称和所在的DLL文件名，并将DLL文件加载到进程的内存中。导入表就是告诉程序这些信息的重要数据结构。一般来说导入表的数据结构如下： 阅读全文

摘要： 节表（Section Table）是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构，它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息，是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为`IMAGE_SECTION_HEADER`，它记录了一个段的各种属性信息和在文件中的位置和大小等信息，一个文件可以由多个`IMAGE_SECTION_HEADER`构成。在执行PE文件的时候，Windows 并不在一开始就将整个文件读入内存，PE装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系，只有真正执行到某个内存页中的指令或者访问页中的数据时，这个页面才会被从磁盘提交到内存中，这种机制极大的节约了内存资源，使文件的装入速度和文件的大小没有太多的关系。 阅读全文

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置，就是真正的PE文件头的位置，该文件头是由`IMAGE_NT_HEADERS`结构定义的，IMAGE_NT_HEADERS是PE文件格式的一部分，它包含了PE头和可选头的信息，用于描述PE文件的结构和属性。 阅读全文

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。 阅读全文

摘要： 在正常情况下，要想使用`GetProcAddress`函数，需要首先调用`LoadLibraryA`函数获取到`kernel32.dll`动态链接库的内存地址，接着在调用`GetProcAddress`函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址，但在有时这个函数会被保护起来，导致我们无法直接调用该函数获取到特定函数的内存地址，此时就需要自己编写实现`LoadLibrary`以及`GetProcAddress`函数，该功能的实现需要依赖于`PEB`线程环境块，通过线程环境块可遍历出`kernel32.dll`模块的入口地址，接着就可以在该模块中寻找`GetProcAddress`函数入口地址，当找到该入口地址后即可直接调用实现动态定位功能。 阅读全文

摘要： PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等，本次的目标是手工修改或增加节区，并给特定可执行程序插入一段`ShellCode`代码，实现程序运行自动反弹一个Shell会话。 阅读全文

摘要： 在`Windows`操作系统中，动态链接库`DLL`是一种可重用的代码库，它允许多个程序共享同一份代码，从而节省系统资源。在程序运行时，如果需要使用某个库中的函数或变量，就会通过链接库来实现。而在`Windows`系统中，两个最基础的链接库就是`Ntdll.dll`和`Kernel32.dll`。Ntdll.dll是Windows系统内核提供的一个非常重要的动态链接库，包含了大量的系统核心函数，如文件操作、进程和线程管理、内存操作等等。在进程启动时，操作系统会先加载`Ntdll.dll`，并将其映射到该进程的地址空间中。由于`Ntdll.dll`是如此重要，所以任何对其的劫持都是无效的。这也是为什么说在应用层下，无论什么程序都无法修改或替换`Ntdll.dll`的原因。 阅读全文

摘要： 在笔者前几篇文章中我们一直在探讨如何利用`Metasploit`这个渗透工具生成`ShellCode`以及如何将ShellCode注入到特定进程内，本章我们将自己实现一个正向`ShellCode`Shell，当进程被注入后，则我们可以通过利用NC等工具连接到被注入进程内，并以对方的权限及身份执行命令，该功能有利于于Shell的隐藏。本章的内容其原理与`《运用C语言编写ShellCode代码》`中所使用的原理保持一致，通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell，本章节内容对`Metasploit`工具生成的Shell原理的理解能够起到促进作用。 阅读全文

摘要： ShellCode 的格式化与注入功能在实战应用中也尤为重要，格式化`Shellcode`是指将其转换为可执行的二进制格式，使其能够在内存中运行。注入`Shellcode`是指将格式化的`Shellcode`注入到另一个进程的内存中，以便在该进程中执行，此类功能也可算作`ShellCode`技术的延申功能。 阅读全文

摘要： 动态解密执行技术可以对抗杀软的磁盘特征查杀。其原理是将程序代码段中的代码进行加密，然后将加密后的代码回写到原始位置。当程序运行时，将动态解密加密代码，并将解密后的代码回写到原始位置，从而实现内存加载。这种技术可以有效地规避杀软的特征码查杀，因为加密后的代码通常不会被标记为恶意代码。 阅读全文

摘要： 在笔者前几篇文章中，我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能，但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底，还需要写出更多的指令集，这对于普通人来说是非常困难的，当然除了通过汇编来实现`ShellCode`的编写以外，使用C同样可以实现编写，在多数情况下读者可以直接使用C开发，只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。 阅读全文

摘要： 在之前的文章中，我们实现了一个正向的匿名管道`ShellCode`后门，为了保证文章的简洁易懂并没有增加针对调用函数的动态定位功能，此类方法在更换系统后则由于地址变化导致我们的后门无法正常使用，接下来将实现通过PEB获取`GetProcAddrees`函数地址，并根据该函数实现所需其他函数的地址自定位功能，通过枚举内存导出表的方式自动实现定位所需函数的动态地址，从而实现后门的通用性。 阅读全文

摘要： Boost ASIO（Asynchronous I/O）是一个用于异步I/O操作的C++库，该框架提供了一种方便的方式来处理网络通信、多线程编程和异步操作。特别适用于网络应用程序的开发，从基本的网络通信到复杂的异步操作，如远程控制程序、高并发服务器等都可以使用该框架。该框架的优势在于其允许处理多个并发连接，而不必创建一个线程来管理每个连接。最重要的是ASIO是一个跨平台库，可以运行在任何支持C++的平台下。本章笔者将介绍如何通过ASIO框架实现一个简单的异步网络套接字应用程序，该程序支持对Socket套接字的存储，默认将套接字放入到一个Map容器内，当需要使用时只需要将套接字在容器内取出并实现通信，客户端下线时则自动从Map容器内移除，通过对本章知识的学习读者可以很容易的构建一个跨平台的简单远控功能。 阅读全文

摘要： 本文将介绍如何将`CMD`绑定到双向管道上，这是一种常用的黑客反弹技巧，可以让用户在命令行界面下与其他程序进行交互，我们将从创建管道、启动进程、传输数据等方面对这个功能进行详细讲解。此外，本文还将通过使用汇编语言一步步来实现这个可被注入的`ShellCode`后门，并以此提高代码通用性。最终，我们将通过一个实际的漏洞攻击场景来展示如何利用这个后门实现内存注入攻击。 阅读全文