欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > DOCX文档下载  

    修改进程常量的几种方法.docx

    • 资源ID:5013289       资源大小:513.12KB        全文页数:8页
    • 资源格式: DOCX        下载积分:15金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要15金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    修改进程常量的几种方法.docx

    1. 引言本文笔者在研究某著名软件的安全性时,碰到要修改进程中只读数据段(.rdata冲的常量 值的场景。笔者将这方的方法技巧及相关的经验向广大读者朋友进行分享,同时由于笔者技术水平有限,本文中若有错误恳请不吝赐教)。图-1修改常量值的程序代码修改常量值,为避免编译t昔误,直 接修改内存而不能Kffio为了简单的说明问题,笔者使用delph 1写了一个小示例程序(其实,使用什么语言并不 重要,本示例程序只是为了分析问题,并验证问题解决思路是否正确,从严格意义来说该示 例也有许多不严谨之处,例如因为编译器不同对字符串常量的处理也是不同的,但这些细节 问题我们暂时可以忽略),在本示例程序中,声明了一个全局常量,在程序中动态修该常量 值,看看运行下过如何。write Log (1 =改p Co list := 0G_Name 1;write Log (1常的地址:twrite Log ('' t G_Narn& ;.一 wrj匕已Lou L)F始 普竦'艳”址日 Naiumm肖+,'wri teLog C m-恐可而T日段示倒稗L HH1 KEl Mfil *LMB LJ-25 Q9 06】 LA03 L3:咨网 «411 LCr&5 L3 £5方仙相 LCHJ3; L3 5 ® 细5 LCrOi l3.S_® 44tl"*a3H!iit: ®iee 盾M配 Ibmllllthii it 00Mt TklEHNW! H H«s 夺值 ¥ *(Aec*xx -vialitidn *L *ldr*xxtn no did* ' Bfi it aiWmo. kkb' Kritt of tjd>dr*ii. UHE£04修改常量值报写内存措误作杆差.眼墨谨同黄却遂鲂IS布充,姓和TFft丈*抵雷史EW击 QQ: 7Q75W12.图-2运行程序修改常量值报写内存错误如图-2所示,运行示例程序修改常量值,会报写内存错误。当然,本示例只是修改本进 程中的常量值,在实际的生产环境没有太大的实际意义,笔者使用该示例只是聚焦问题本质, 简化实际场景。在软件安全研究领域,经常需要修改第三方进程注入常量的只读数据中的数 据,分析思路和方法是相同的,笔者接下来,将围绕该示例对报错原因进行深入分析,并且 给出该问题的解决方法。2. 问题分析本小节笔者对在进程运行期间修改常量值报写内存错误的原因进行分析。笔者曾看到过 一篇博客博客,其作者认为常量的只是在编译期间进行检查其值是否发生变化,在运行期间 常量的值是可以修改的。这个观点是错误的(至少来说是不准确的)。在程序运行期间常量 的值也是不可以修改的,那么这是如何做到的呢?在进程中一般都含有三个S(section),代码段(.text),数据段(.data),只读数据段(.rdata), 段的名称会因为编译器不同而有差异,微软的C,C+编译器一般将代码段命名为".text”,数 据段名为“.data”,只读数据段命名为''.rdata”。Borlad的pascal和C+编译器将代码段名 为”CODE”,数据段命名为"DATA”,只读数据段名为”.rdata”。代码段(.text)的访问控制属性是可执行,可读,不可写的。数据段的访问控制属性是可 读写。只读数据段(.rdata)中的访问控制属性是只读的,资源文件,动态链接库导入表,常量 一般都存储在该段。如果本进程或者外部进程中的代码尝试写不可读内存,则会触发异常。 常量具体存储在哪个数据段,会因编译器的不同而有差异,但其所在段的访问控制属性应该 是不可写的。该结论的分析过程如下。2.1使用CE查看示例程序中全局变量内存在图-2示例程序运行的日志中可以得知全局常量G_Name的内存地址为0x00452700, 使用CE(Cheat Engine是一款内存分析、修改的工具,和IDA,OD并称为逆向分析的三剑 客)查看到全局变量G_Name所在页的基地址为0x0045200,内区页的访问控制属性是可执 行/只读,故写内存操作会触发异常。那么,全局量G_Name在哪个段(Section)呢?根据其 访问控制属性来看其应该是在代码段,该推论是否正确呢?图-3使用CE查看示例程序内存2.2分析示例程序的PE头在PE文件头中会对程序的段信息详细的描述,如图-4和图-5所示,使用UE打开示 例程序RDataSectionDemo.exe所呈现PE文件头。关于PE文件结构细节,本文不再展开叙 述,后续如果时间允许,笔者会写一篇专本关于PE文件分析的文章。如图-4所示,在PE文件的IMAGE_NT_HEADER中可以看出示例程序共分为8个段。如 图-5所示可看出这8个段分别为CODE段、DATA段、BSS段、.idata段、.tls段、.rdata 段-reloc段、.rsrc段。每个段头40字节,包括段名,段大小,段RAV地址,段属性信息。 笔者不再对每个段进行一一分析,重点分析代码段(CODE,在其它编译器编译的目标程序中 通常叫.text)。如图-5所示,代码段的RAV地址0x00001000,根据该地址加上exe的基地址 0x00400000(默认是该基地址,在程序编译时可以设置为不同的值)计算出代码段的虚拟基 地址(VA)是0x00401000。代码段的大小(未页对齐)0x00052054,win32默认的内存页 的大小4K,内存页对齐后大小为0x00053000,据此可以推算出代码段的虚拟地址(VA)的范 围是 0x004010000x00454000o同样如图-5所示,可以看出代码段的属性为0x60000020=0x40000000 or 0x20000000 or 0x00000020。其中 0x40000000 表示据段可读,0x20000000 表示段可执行,0x0000002 表示段中包含代码。根据2.1节所分析的全局变量的地址(虚拟地址VA)为0x00452700可以的得出全局常量G_Name是在代码段(CODE段)中的结论,同时根据段属性的分析也佐证了这一点。由于代码段访问控制属性是可执行/只读,所以在修改全局常量的值时会触发异常。OODOOCi5DhOODOOOeDhOQDOQO-3DhOEgCHiQhDQDOQOvDh DggOhOQDOQOOOhOOQCimDhOODOOCl2DhOODQQjbDhoomo-cohODDOQOdDhjijDOGOSDhggg眼ClDDOQClaDhdDDOai&DhOODQQllDh0000013DhODDOOLDhOODOOKDhoom 1$ oh0DDO01£DhoODdonchoomieoh0DDOO19DhO-OQiOOlaOhODQGaihDhooDoaiaDhQODOOldDhoomsooh。心OODOQ22Dh 00 0(*0 2 3 Oh aDD0aS4|-|h:ia32.,57IMAGE NT HEADER00ODCODE.IMAGE_NT HEADER 宿移 gdxOOOOOlOO; This psograiL 旬ug;i: De ian under W段数量共8个段00 13心 g DO g ; 一 3 3 - -a a 0CID ;4:我L 北 g 知 ?£?+?DAT Aii|BB?iiaaB-演:DQQDOuuDOoatrQDDO 000DDGijDDGO ;00GODOgg00gg00GO00DO00-:0000g0-D0。g00QDg0000DO ;ODOD图-4示例程序PE文件DOS和NT_HEADER头&CKCK)210h:gg。二浊;DDaa0230hiDDGu0240h:UU'jQ'J230h: ODOaijSSOh:: DOOOOSaQh: 000002b0hf OOOQOiScOh!00ll02duh: DO aaa2eoh dd 口加 gzmm k: 0000030011M <3C &000&310hE 2E g皿3汕:00u u40D5JQQ。00DDDD00。00DDDD&&0032DSg000。00DOCO00007009&&GGg00DDOCi73。00DDQDg0。叫g0*0000000DOCG0000AOg00UL00005 J00cCF砧noOD00SA.05g0000DO5G0000100-&GO0000D&00jjLCL-3 JUh; Jj j j 00iJijij34uh: DD 00 &G0GM$0h? g GO 0-00003«0h; DO 00 OOOGOSTOh s DO 00 ODijijOSOh:: DO DD ODaaosoht dd oo 000 a 03a0h; W 00 flflaaaabOh: OD 00no 耳"&口 og00 OQ g 心。00 00 00 00 DO 00 00 00 0。 D& && iji> QO 00 DO Oij DO oa CO g OQ 00 g W g 00 Cl-Ct £iCl 心心 心0*50jgcmDOCH:gocoqgg00g000-0-g00000000000004)OD0-0-0。00DOOO00ijijoogqqqqooggOQ00OO口口NCiD口口QDG-O&OD D 5 & o o-J E fl- D & DD D D- 0 & D0 4 0-0000 2 0-000000 0 Q ooaq 0 Q o嚣酬馆曰5区旺HEADERM £iCi D & g s 图-5示例程序PE文件段头3. 改变段属性的方法通过第2节的分析,我们已经清楚的知道,为什么在程序运行期间修改常量值会触发异 常的原因。那么有没有方法可以绕过该限制,使得程序运行期间可以修改常量值呢?答案时 肯定的,并且方法有多种,笔者在本文中重点介绍两种方法。3.1静态修改PE文件段属性在第2节的图-5中,我们得知代码段的属性0x60000020=0x40000000 or 0x20000000 or 0x00000020,该值属性值控制了代码段是只读的。那么我们能否通过修改代码段的属性 值赋予其读写属性呢。0x80000000表示段可写,我们将代码段属性修改0xE0000020=0x80000000 or 0x40000000 or 0x20000000 or 0x00000020。如图-6所示,修改示例程序PE文件中数据段属性赋予可写属性,将其另存为新的示例程序(exe)。OOOO-OlfOhGOODOSODhC00Da22DJlQOODD24DhL00j, 2 5JUD00D02tl!DhG000 02331000D02dhDhCOO jo: 2 b jhgg。心 hQ00jC2djiloooimmh0000030011ijOOSjClljh000003部h.id.a.ta7代码段属性修改为 :OnE0OOOD2O 赋予 i可写属性 at上 s9 a I. X "P-i reloc.rare图-6 修改代码段属性运行修改过代码段属性的示例程序,不出所料,在程序运行期间可以动态修改常量值了,运行结果如图-7所示。中与.rda财段示ffl好同 |蛔刍有程头陪 |仙 tfi .2CE1-L0-D4 00 KEl-LO-m 00 21321-10-04 CO 2tE!l-LO-01 CO°骨或舞髀G Bui t-g; imNHmdds is ¥4.1UIII*III1+I仁者E明由*部瓦炊1牛圭全方皿*驴2视卫可广左爰厅肴费?漓京而CjQ; 707134332,图-7修改代码段属性后运行结果在现实的生产环境中,通过该方法修改段属性,使常量值在运行期间可以修改有很大的 局限性。为什么这么说呢?因为软件病毒和反病毒,调试于与调试双方一直进行斗志斗勇, 激烈的较量,这也促进了软件技术的发展。在生产环境中软件都会加壳,而且有很多的先进 的壳能到容易加壳但去壳却是不可逆的(关于加壳与脱壳的技术细节笔者在本文中不再展开 叙述)。在实际的生产环境中应用一旦加壳,该方法就很难实施,是否有别的方法可以起到 同样的作用呢?这就是笔者要介绍的第二种方法,在程序运行期间动态修改数据段的属性。3.2动态修改虚拟内存访问控制属性在程序运行期间动态修改常量值的方法有很多种,例如修改CR0寄存器停用内存禁用 内存保护模式,或者通过DML修改虚拟内存的访问控制属性,DML表地址存储在CR3寄存 器。这两种方法都需要有系统内核权限(R0),也就是需要开发驱动程序才能达到该目的。另 外这两种方法很底层,不同的操作系统,32位和64位等相差都比较大,所以笔者不建议使 用该方法。有一种简单易行的方法也可以达到该目的,使用VirtualQuery查询要修改的变量所在的 虚拟内存页,然后通过调用VirtualProtect来修改目标内存页的访问控制属性,这样即可实 现我们的目标。关于这两个函数的细节笔者在此不再赘述,直接贴出相关的代码片段如下图 所示。739 ia n 1215 1£ 17 ia19 20 21 222 3 24pxc>cedure Tf rmMain -btnLClick (Sendsr; TOb ject看;:臂辑氐心CEi查询萼串常量所在的虚拟内存页pConst :. Pointer;/rH&m I info : TNemoryBs sicln faimat ion;/Sbegxn/=m G AddrmiBiB; y/G Addrm;B;B 字符串卷"ftG Wame由地址ViEtuAlQupryrMQmlnfOy/SiNQOf (TtfemoryBaiS idnfoEMRlsiGn. ;jcRet 7if cRet O SizeOt TKemoryBasicIntcnnstiortJ_t-henbeginwritqLog (1 J4|Virtii*IQuery 'fc !< - %d-%s' p GetLastErrar ?SysElrrorMescage (GetLastError);Exit:end;bRet.:二 Vi r t ua IPr ot e ct ( rM-emln f o t Ba s eAdd res s , rfrCemlnfo - ReqionSiza HPAGE_EXECUTE_WRITECOPY, dwOldProtect);'IE b?.eT then writeLogf 设置虚拟内存保护屈性成功-'elaewriteLogl 1 ' n ;l h/r:-.、扩居I'l :!;.: %d- =is ' r tlistErrc r rSys re re ssaqe(t L a sError >) r»顷箱J修改虚拟内舂页访问控制属性图-8修改虚拟内存页访问属性图-9修改虚拟内存访页问控制属性运行效果4. 关于作者作者长期从事逆向和软件安全方面的研究,长期税控业务领域的工作,成果包含税控 数据采集,开票等。欢迎和广大软件安全技术爱好者及税控业务爱好者进行经验交流,QQ:叫3 2

    注意事项

    本文(修改进程常量的几种方法.docx)为本站会员(牧羊曲112)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    展开