驅動開發:內核PE結構VA與FOA轉換

来源:https://www.cnblogs.com/LyShark/archive/2023/06/02/17143960.html
-Advertisement-
Play Games

本章將繼續探索內核中解析PE文件的相關內容,PE文件中FOA與VA,RVA之間的轉換也是很重要的,所謂的FOA是文件中的地址,VA則是記憶體裝入後的虛擬地址,RVA是記憶體基址與當前地址的相對偏移,本章還是需要用到`《驅動開發:內核解析PE結構導出表》`中所封裝的`KernelMapFile()`映射函... ...


本章將繼續探索內核中解析PE文件的相關內容,PE文件中FOA與VA,RVA之間的轉換也是很重要的,所謂的FOA是文件中的地址,VA則是記憶體裝入後的虛擬地址,RVA是記憶體基址與當前地址的相對偏移,本章還是需要用到《驅動開發:內核解析PE結構導出表》中所封裝的KernelMapFile()映射函數,在映射後對其PE格式進行相應的解析,並實現轉換函數。

首先先來演示一下記憶體VA地址與FOA地址互相轉換的方式,通過使用WinHEX打開一個二進位文件,打開後我們只需要關註如下藍色註釋為映像建議裝入基址,黃色註釋為映像裝入後的RVA偏移。

通過上方的截圖結合PE文件結構圖我們可得知0000158B為映像裝入記憶體後的RVA偏移,緊隨其後的00400000則是映像的建議裝入基址,為什麼是建議而不是絕對?別急後面慢來來解釋。

通過上方的已知條件我們就可以計算出程式實際裝入記憶體後的入口地址了,公式如下:
VA(實際裝入地址) = ImageBase(基址) + RVA(偏移) => 00400000 + 0000158B = 0040158B

找到了程式的OEP以後,接著我們來判斷一下這個0040158B屬於那個節區,以.text節區為例,下圖我們通過觀察區段可知,第一處橙色位置00000B44 (節區尺寸),第二處紫色位置00001000 (節區RVA),第三處00000C00 (文件對齊尺寸),第四處00000400 (文件中的偏移),第五處60000020 (節區屬性)

得到了上方text節的相關數據,我們就可以判斷程式的OEP到底落在了那個節區中,這裡以.text節為例子,計算公式如下:

虛擬地址開始位置:節區基地址 + 節區RVA => 00400000 + 00001000 = 00401000
虛擬地址結束位置:text節地址 + 節區尺寸 => 00401000 + 00000B44 = 00401B44

經過計算得知 .text 節所在區間(401000 - 401B44) 你的裝入VA地址0040158B只要在區間裡面就證明在本節區中,此處的VA地址是在401000 - 401B44區間內的,則說明它屬於.text節。

經過上面的公式計算我們知道了程式的OEP位置是落在了.text節,此時你興緻勃勃的打開x64DBG想去驗證一下公式是否計算正確不料,這地址根本不是400000開頭啊,這是什麼鬼?

上圖中出現的這種情況就是關於隨機基址的問題,在新版的VS編譯器上存在一個選項是否要啟用隨機基址(預設啟用),至於這個隨機基址的作用,猜測可能是為了防止緩衝區溢出之類的爛七八糟的東西。

為了方便我們調試,我們需要手動幹掉它,其對應到PE文件中的結構為 IMAGE_NT_HEADERS -> IMAGE_OPTIONAL_HEADER -> DllCharacteristics 相對於PE頭的偏移為90位元組,只需要修改這個標誌即可,修改方式 x64:6081 改 2081 相對於 x86:4081 改 0081 以X86程式為例,修改後如下圖所示。

經過上面對標誌位的修改,程式再次載入就能夠停在0040158B的位置,也就是程式的OEP,接下來我們將通過公式計算出該OEP對應到文件中的位置。

.text(節首地址) = ImageBase + 節區RVA => 00400000 + 00001000 = 00401000
VA(虛擬地址) = ImageBase + RVA(偏移) => 00400000 + 0000158B = 0040158B
RVA(相對偏移) = VA - (.text節首地址) => 0040158B - 00401000 = 58B
FOA(文件偏移) = RVA + .text節對應到文件中的偏移 => 58B + 400 = 98B

經過公式的計算,我們找到了虛擬地址0040158B對應到文件中的位置是98B,通過WinHEX定位過去,即可看到OEP處的機器碼指令了。

接著我們來計算一下.text節區的結束地址,通過文件的偏移加上文件對齊尺寸即可得到.text節的結束地址400+C00= 1000,那麼我們主要就在文件偏移為(98B - 1000)在該區間中找空白的地方,此處我找到了在文件偏移為1000之前的位置有一段空白區域,如下圖:

接著我麽通過公式計算一下文件偏移為0xF43的位置,其對應到VA虛擬地址是多少,公式如下:

.text(節首地址) = ImageBase + 節區RVA => 00400000 + 00001000 = 00401000
VPK(實際大小) = (text節首地址 - ImageBase) - 實際偏移 => 401000-400000-400 = C00
VA(虛擬地址) = FOA(.text節) + ImageBase + VPK => F43+400000+C00 = 401B43

計算後直接X64DBG跳轉過去,我們從00401B44的位置向下全部填充為90(nop),然後直接保存文件。

再次使用WinHEX查看文件偏移為0xF43的位置,會發現已經全部替換成了90指令,說明計算正確。

到此文件偏移與虛擬偏移的轉換就結束了,那麼這些功能該如何實現呢,接下來將以此實現這些轉換細節。

FOA轉換為VA: 首先來實現將FOA地址轉換為VA地址,這段代碼實現起來很簡單,如下所示,此處將dwFOA地址0x84EC00轉換為對應記憶體的虛擬地址。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hFile = NULL;
	HANDLE hSection = NULL;
	PVOID pBaseAddress = NULL;
	UNICODE_STRING FileName = { 0 };

	// 初始化字元串
	RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntoskrnl.exe");

	// 記憶體映射文件
	status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);
	if (!NT_SUCCESS(status))
	{
		return 0;
	}

	// 獲取PE頭數據集
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNtHeaders);
	PIMAGE_FILE_HEADER pFileHeader = &pNtHeaders->FileHeader;

	DWORD64 dwFOA = 0x84EC00;

	DWORD64 ImageBase = pNtHeaders->OptionalHeader.ImageBase;
	DWORD NumberOfSectinsCount = pNtHeaders->FileHeader.NumberOfSections;
	DbgPrint("鏡像基址 = %p | 節表數量 = %d \n", ImageBase, NumberOfSectinsCount);

	for (int each = 0; each < NumberOfSectinsCount; each++)
	{
		DWORD64 PointerRawStart = pSection[each].PointerToRawData;                                // 文件偏移開始位置
		DWORD64 PointerRawEnds = pSection[each].PointerToRawData + pSection[each].SizeOfRawData;  // 文件偏移結束位置
		// DbgPrint("文件開始偏移 = %p | 文件結束偏移 = %p \n", PointerRawStart, PointerRawEnds);

		if (dwFOA >= PointerRawStart && dwFOA <= PointerRawEnds)
		{
			DWORD64 RVA = pSection[each].VirtualAddress + (dwFOA - pSection[each].PointerToRawData);     // 計算出RVA
			DWORD64 VA = RVA + pNtHeaders->OptionalHeader.ImageBase;                                     // 計算出VA
			DbgPrint("FOA偏移 [ %p ] --> 對應VA地址 [ %p ] \n", dwFOA, VA);
		}
	}

	ZwUnmapViewOfSection(NtCurrentProcess(), pBaseAddress);
	ZwClose(hSection);
	ZwClose(hFile);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

運行效果如下所示,此處之所以出現兩個結果是因為沒有及時返回,一般我們取第一個結果就是最準確的;

VA轉換為FOA: 將VA記憶體地址轉換為FOA文件偏移,代碼與如上基本保持一致。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hFile = NULL;
	HANDLE hSection = NULL;
	PVOID pBaseAddress = NULL;
	UNICODE_STRING FileName = { 0 };

	// 初始化字元串
	RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntoskrnl.exe");

	// 記憶體映射文件
	status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);
	if (!NT_SUCCESS(status))
	{
		return 0;
	}

	// 獲取PE頭數據集
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNtHeaders);
	PIMAGE_FILE_HEADER pFileHeader = &pNtHeaders->FileHeader;

	DWORD64 dwVA = 0x00007FF6D3389200;
	DWORD64 ImageBase = pNtHeaders->OptionalHeader.ImageBase;
	DWORD NumberOfSectinsCount = pNtHeaders->FileHeader.NumberOfSections;
	DbgPrint("鏡像基址 = %p | 節表數量 = %d \n", ImageBase, NumberOfSectinsCount);

	for (DWORD each = 0; each < NumberOfSectinsCount; each++)
	{
		DWORD Section_Start = ImageBase + pSection[each].VirtualAddress;                                  // 獲取節的開始地址
		DWORD Section_Ends = ImageBase + pSection[each].VirtualAddress + pSection[each].Misc.VirtualSize; // 獲取節的結束地址

		DbgPrint("Section開始地址 = %p | Section結束地址 = %p \n", Section_Start, Section_Ends);

		if (dwVA >= Section_Start && dwVA <= Section_Ends)
		{
			DWORD RVA = dwVA - pNtHeaders->OptionalHeader.ImageBase;                                    // 計算RVA
			DWORD FOA = pSection[each].PointerToRawData + (RVA - pSection[each].VirtualAddress);       // 計算FOA
			
			DbgPrint("VA偏移 [ %p ] --> 對應FOA地址 [ %p ] \n", dwVA, FOA);
		}
	}

	ZwUnmapViewOfSection(NtCurrentProcess(), pBaseAddress);
	ZwClose(hSection);
	ZwClose(hFile);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

運行效果如下所示,此處沒有出現想要的結果是因為我們當前的VA記憶體地址並非實際裝載地址,僅僅是PE磁碟中的地址,此處如果換成記憶體中的PE則可以提取出正確的結果;

RVA轉換為FOA: 將相對偏移地址轉換為FOA文件偏移地址,此處僅僅只是多了一步pNtHeaders->OptionalHeader.ImageBase + dwRVARVA轉換為VA的過程其轉換結果與VA轉FOA一致。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hFile = NULL;
	HANDLE hSection = NULL;
	PVOID pBaseAddress = NULL;
	UNICODE_STRING FileName = { 0 };

	// 初始化字元串
	RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntoskrnl.exe");

	// 記憶體映射文件
	status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);
	if (!NT_SUCCESS(status))
	{
		return 0;
	}

	// 獲取PE頭數據集
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNtHeaders);
	PIMAGE_FILE_HEADER pFileHeader = &pNtHeaders->FileHeader;

	DWORD64 dwRVA = 0x89200;
	DWORD64 ImageBase = pNtHeaders->OptionalHeader.ImageBase;
	DWORD NumberOfSectinsCount = pNtHeaders->FileHeader.NumberOfSections;
	DbgPrint("鏡像基址 = %p | 節表數量 = %d \n", ImageBase, NumberOfSectinsCount);

	for (DWORD each = 0; each < NumberOfSectinsCount; each++)
	{
		DWORD Section_Start = pSection[each].VirtualAddress;                                  // 計算RVA開始位置
		DWORD Section_Ends = pSection[each].VirtualAddress + pSection[each].Misc.VirtualSize; // 計算RVA結束位置

		if (dwRVA >= Section_Start && dwRVA <= Section_Ends)
		{
			DWORD VA = pNtHeaders->OptionalHeader.ImageBase + dwRVA;                                  // 得到VA地址
			DWORD FOA = pSection[each].PointerToRawData + (dwRVA - pSection[each].VirtualAddress);    // 得到FOA
			DbgPrint("RVA偏移 [ %p ] --> 對應FOA地址 [ %p ] \n", dwRVA, FOA);
		}
	}

	ZwUnmapViewOfSection(NtCurrentProcess(), pBaseAddress);
	ZwClose(hSection);
	ZwClose(hFile);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

運行效果如下所示;

文章作者:lyshark (王瑞)
文章出處:https://www.cnblogs.com/LyShark/p/17143960.html
本博客中的文章,轉載請註明出處。
您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • > 本文首發於公眾號:Hunter後端 > 原文鏈接:[celery筆記二之建立celery項目、配置及幾種載入方式](https://mp.weixin.qq.com/s/KZjuypZ-e9EHi7XkKXt0Xg) 接下來我們創建一個 celery 項目,文件夾及目錄如下: ```python ...
  • **原文鏈接:** [為什麼說 Go 語言字元串是不可變的?](https://mp.weixin.qq.com/s/AOb6AjKwyTwLeAUou0AU-Q) 最近有讀者留言說,平時在寫代碼的過程中,是會對字元串進行修改的,但網上都說 Go 語言字元串是不可變的,這是為什麼呢? 這個問題本身並 ...
  • aliases: [] tags : " " summary: [基於TCP/IP和UDP協議的Java Socket網路通信編程] author : [yaenli] notekey: [20230512-143738] # Socket 網路模型 Socket編程是在TCP/IP、UDP協議上的 ...
  • # Rust Web 全棧開發之增加教師管理功能 ## 增加教師管理功能 ### 目標 #### Actix HTTP Server #### Actix App - Routes - GET /teachers - GET / teachers /{teacher_id} - POST /teac ...
  • ## 教程簡介 Google Charts 是一個純粹的基於JavaScript的圖表庫,旨在通過添加互動式圖表功能來增強Web應用程式.它支持各種圖表.在Chrome,Firefox,Safari,Internet Explorer(IE)等標準瀏覽器中使用SVG繪製圖表.在傳統的IE 6中,VM ...
  • ## 教程簡介 Excel是辦公室自動化中非常重要的一款軟體,Excel函數則是Excel中的內置函數。Excel函數共包含11類,分別是資料庫函數、日期與時間函數、工程函數、財務函數、信息函數、邏輯函數、查詢和引用函數、數學和三角函數、統計函數、文本函數以及用戶自定義函數。 熟練且高效的使用Exc ...
  • 前端組件 <hd-flex> <el-dialog v-model="isUploadDialog" width="50%" lock-scroll=false> <el-upload class="upload-demo" drag :action="url" :on-success="succe ...
  • 基於java的酒店管理系統設計與實現,酒店訂票系統,酒店預訂系統,酒店信息管理系統,app訂房系統設計與實現; ...
一周排行
    -Advertisement-
    Play Games
  • 下麵是一個標準的IDistributedCache用例: public class SomeService(IDistributedCache cache) { public async Task<SomeInformation> GetSomeInformationAsync (string na ...
  • 這個庫提供了在啟動期間實例化已註冊的單例,而不是在首次使用它時實例化。 單例通常在首次使用時創建,這可能會導致響應傳入請求的延遲高於平時。在註冊時創建實例有助於防止第一次Request請求的SLA 以往我們要在註冊的時候實例單例可能會這樣寫: //註冊: services.AddSingleton< ...
  • 最近公司的很多項目都要改單點登錄了,不過大部分都還沒敲定,目前立刻要做的就只有一個比較老的項目 先改一個試試手,主要目標就是最短最快實現功能 首先因為要保留原登錄方式,所以頁面上的改動就是在原來登錄頁面下加一個SSO登錄入口 用超鏈接寫的入口,頁面改造後如下圖: 其中超鏈接的 href="Staff ...
  • Like運算符很好用,特別是它所提供的其中*、?這兩種通配符,在Windows文件系統和各類項目中運用非常廣泛。 但Like運算符僅在VB中支持,在C#中,如何實現呢? 以下是關於LikeString的四種實現方式,其中第四種為Regex正則表達式實現,且在.NET Standard 2.0及以上平... ...
  • 一:背景 1. 講故事 前些天有位朋友找到我,說他們的程式記憶體會偶發性暴漲,自己分析了下是非托管記憶體問題,讓我幫忙看下怎麼回事?哈哈,看到這個dump我還是非常有興趣的,居然還有這種游戲幣自助機類型的程式,下次去大玩家看看他們出幣的機器後端是不是C#寫的?由於dump是linux上的程式,剛好win ...
  • 前言 大家好,我是老馬。很高興遇到你。 我們為 java 開發者實現了 java 版本的 nginx https://github.com/houbb/nginx4j 如果你想知道 servlet 如何處理的,可以參考我的另一個項目: 手寫從零實現簡易版 tomcat minicat 手寫 ngin ...
  • 上一次的介紹,主要圍繞如何統一去捕獲異常,以及為每一種異常添加自己的Mapper實現,並且我們知道,當在ExceptionMapper中返回非200的Response,不支持application/json的響應類型,而是寫死的text/plain類型。 Filter為二方包異常手動捕獲 參考:ht ...
  • 大家好,我是R哥。 今天分享一個爽飛了的面試輔導 case: 這個杭州兄弟空窗期 1 個月+,面試了 6 家公司 0 Offer,不知道問題出在哪,難道是杭州的 IT 崩盤了麽? 報名面試輔導後,經過一個多月的輔導打磨,現在成功入職某上市公司,漲薪 30%+,955 工作制,不咋加班,還不捲。 其他 ...
  • 引入依賴 <!--Freemarker wls--> <dependency> <groupId>org.freemarker</groupId> <artifactId>freemarker</artifactId> <version>2.3.30</version> </dependency> ...
  • 你應如何運行程式 互動式命令模式 開始一個互動式會話 一般是在操作系統命令行下輸入python,且不帶任何參數 系統路徑 如果沒有設置系統的PATH環境變數來包括Python的安裝路徑,可能需要機器上Python可執行文件的完整路徑來代替python 運行的位置:代碼位置 不要輸入的內容:提示符和註 ...