如何查找DLL中特定指令的内存地址
如何查找特定指令的内存地址(用于利用写入)?如何查找DLL中特定指令的内存地址
具体而言,我正在寻找在Windows XP上user32.dll
的call ebp
指令,没有Service Pack,其地址我可以指向EIP
。我在目标上安装了Immunity Debugger和OllyDBG。
要找到一条指令,您需要找出代码,.text,节开始和结束的位置,然后加载DLL并执行班轮搜索,直到找到指令。
这里我们有两个call ebp
指令的测试DLL:
// test.c
// gcc -Wall -shared test.c -o test.dll
#include <stdio.h>
__declspec(dllexport) void test(void) {
asm("call *%ebp");
puts("test");
asm("call *%ebp");
}
编译并在OllyDbg中加载DLL,然后单击CTRL + ˚F和搜索CALL EBP
:
6BEC125A |. FFD5 CALL EBP
6BEC125C |. C70424 6430EC6> MOV DWORD PTR SS:[ESP],test.6BEC3064 ; |ASCII "test"
6BEC1263 |. E8 74060000 CALL <JMP.&msvcrt.puts> ; \puts
6BEC1268 |. FFD5 CALL EBP
你看到第一条指令的地址是0x6bec125a
第二条在0x6bec1268
。请记住这个,call ebp
的操作码是0xff 0xd5
。
现在我们需要找到的代码的边界,你可以使用objdump的使用-h
:
> objdump --headers test.dll
test.dll: file format pei-i386
Sections:
Idx Name Size VMA LMA File off Algn
0 .text 00000984 6bec1000 6bec1000 00000600 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE, DATA
1 .data 00000008 6bec2000 6bec2000 00001000 2**2
CONTENTS, ALLOC, LOAD, DATA
2 .rdata 0000011c 6bec3000 6bec3000 00001200 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
....
>
的代码开始在VMA,虚拟内存地址,0x6bec1000
其尺寸为0x984
,所以它在结束0x6bec1000
+ 0x984
= 0x6bec1984
为:
0x6bec1000
....
what is between are the DLL instructions
....
0x6bec1984
我希望是清楚为止。
如果我们要编写我们call ebp
扫描仪,我们需要做的流动:
- 阅读PE的信息,并得到执行部分信息,通常
.text
,找到它的相对地址和它的虚拟大小。 - 使用LoadLibrary加载DLL,它将返回DLL的基地址。
- 代码段开头的虚拟地址是:DLL基地址+代码段virtualAddress,它在DLL基地址+代码段virtualAddress + VirtualSize结束。
- 现在我们准备遍历代码并寻找
0xff 0xd5
,call ebp
的操作码,简单的班轮搜索。
下面是一个简单的实现:
// findopcode.c
// gcc -Wall findopcode.c -o findopcode
#include <windows.h>
#include <stdio.h>
#include <string.h>
int main(int argc, char **argv) {
const char opcode[] = {0xff, 0xd5}; // The opcode of `call ebp'
FILE *dllFile;
HMODULE dllHandle;
IMAGE_DOS_HEADER dosHeader;
IMAGE_NT_HEADERS NtHeaders;
IMAGE_SECTION_HEADER sectionHeader;
unsigned int i;
unsigned char *starAddr;
unsigned char *endAddr;
if(argc < 2) {
printf("usage: %s [DLL]\n", argv[0]);
return -1;
}
if((dllFile = fopen(argv[1], "rb")) == NULL) {
perror("[!] Error");
return -1;
}
// Read the basic PE headers
fread(&dosHeader, sizeof(dosHeader), 1, dllFile);
fseek(dllFile, dosHeader.e_lfanew, SEEK_SET);
fread(&NtHeaders, sizeof(NtHeaders), 1, dllFile);
// Search for the executable section, .text section.
for(i = 0 ; i < NtHeaders.FileHeader.NumberOfSections ; i++) {
fread(§ionHeader, sizeof(sectionHeader), 1, dllFile);
// If we found a section that contains executable code,
// we found our code setion.
if((sectionHeader.Characteristics & IMAGE_SCN_CNT_CODE) != 0) {
printf("[*] Code section: `%s'\n", sectionHeader.Name);
break;
}
}
fclose(dllFile);
// Load the DLL to get it's base address
if((dllHandle = LoadLibraryA(argv[1])) == NULL) {
printf("[!] Error: loading the DLL, 0x%.8x\n", (unsigned int) GetLastError());
return -1;
}
// The code start at : base address + code virtual address
starAddr = (unsigned char *) dllHandle + sectionHeader.VirtualAddress;
// It ends at : base address + code virtual address + virtual size
endAddr = (unsigned char *) starAddr + sectionHeader.Misc.VirtualSize;
printf("[*] Base address : 0x%.8x\n", (unsigned int) dllHandle);
printf("[*] Start address: 0x%.8x\n", (unsigned int) starAddr);
printf("[*] End address : 0x%.8x\n", (unsigned int) endAddr);
// Simple liner search, when ever we find `0xff 0xd5' we print that address
for(endAddr -= sizeof(opcode) ; starAddr < endAddr ; starAddr++) {
if(memcmp(&opcode, (void *) starAddr, sizeof(opcode)) == 0) {
printf("[*] Found `call ebp` at: 0x%.8x\n", (unsigned int) starAddr);
}
}
FreeLibrary(dllHandle);
return 0;
}
编译并与该DLL测试:
> gcc -Wall findopcode.c -o findopcode
> findopcode.exe test.dll
[*] Code section: `.text'
[*] Base address : 0x6bec0000
[*] Start address: 0x6bec1000
[*] End address : 0x6bec1984
[*] Found `call ebp` at: 0x6bec125a
[*] Found `call ebp` at: 0x6bec1268
>
它工作得很好,让我们尝试user32.dll
:
> findopcode.exe \Windows\System32\user32.dll
[*] Code section: `.text'
[*] Base address : 0x75680000
[*] Start address: 0x75681000
[*] End address : 0x756e86ef
[*] Found `call ebp` at: 0x756b49b5
>
我只找到一个call ebp
a t 0x756b49b5
。请注意,你的方式要检查,如果你有一个读访问您使用IsBadReadPtrmemcmp
阅读前:
if(IsBadReadPtr(starAddr, sizeof(opcode)) == 0 &&
memcmp(&opcode, (void *) starAddr, sizeof(opcode)) == 0) {
所以如果你击出了一些面积一些奇怪的访问计划不会失败。
哇!优秀的答案。非常有用和信息丰富。非常感谢! –
好,DLL是重定位(和_are being_搬迁),这样你就永远只能找到一个地址相对于模块的基本地址在这样的可靠的方式。 – Damon
@Damon对于所有现代操作系统都是如此,但对于Windows XP,没有ASLR,因此DLL的内存中位置在操作系统版本和SP版本之间非常一致。 –
我甚至没有想到ASLR,但这当然是另一个问题。我正在考虑常规发生的正常DLL重新绑定。所有的DLL通常都有相同的基地址(虽然可以告诉链接器选择一个随机的地址,但是这会使地址空间更加分裂),并且在加载时重新分页。第一个DLL通常是kernel32,加载到它的原始地址。然后它通常是NLS,然后是所有其他DLL(包括user32),所有这些都被重新定位。他们可能每次都会以相同的地址结束,但谁知道。 – Damon