Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的,与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构,才能Hook,接下来将具体分析 IAT Hook 的实现原理,并编写一个DLL注入文件,实现 IAT Hook 废话不多说先来给大家补补课。
在早些年系统中运行的都是DOS应用,所以DOS头结构就是在那个年代产生的,那时候还没有PE结构的概念,不过软件行业发展到今天DOS头部分的功能已经无意义了,但为了最大的兼容性微软还是保留了DOS文件头,有些软件在识别程序是不是可执行文件的时候通常会读取PE文件的前两个字节来判断是不是MZ。
上图就是PE文件中的DOS部分,典型的DOS开头ASCII字符串MZ幻数,MZ是Mark Zbikowski的缩写,Mark Zbikowski是MS-DOS的主要开发者之一,很显然这个人给微软做出了巨大的贡献。
在DOS格式部分我们只需要关注标红部分,标红部分是一个偏移值000000F8h该偏移值指向了PE文件中的标绿部分00004550指向PE字符串的位置,此外标黄部分为DOS提示信息,当我们在DOS模式下执行一个可执行文件时会弹出This program cannot be run in DOS mode.提示信息。
上图中在PE字符串开头位置向后偏移1字节,就能看到黄色的014C此处代表的是机器类别的十六进制表示形式,在向后偏移1个字节是紫色的0006代表的是程序中的区段数,继续向后偏移1字节会看到蓝色的5DB93874此处是一个时间戳,代表的是自1970年1月1日至当前时间的总秒数,继续向后可看到灰色的000C此处代表的是链接器的具体版本。
上图中我们以PE字符串为单位向后偏移36字节,即可看到文件偏移为120处的内容,此处的内容是我们要重点研究的对象。
在文件FOA偏移为120的位置,可以看到标红色的地址0001121C此处代表的是程序装入内存后的入口点(虚拟地址),而紧随其后的橙色部分00001000就是代码段的基址,其后的粉色部分是数据段基址,在数据基址向后偏移1字节可看到紫色的00400000此处就是程序的建议装入地址,如果编译器没有开启基址随机化的话,此处默认就是00400000,开启随机化后建议装入地址与实际地址将不符合。
继续向下文件FOA偏移为130的位置,第一处浅蓝色部分00001000为区段之间的对齐值,深蓝色部分00002000为文件对其值。
上面只简单的介绍了PE结构的基本内容,在PE结构的开头我们知道了区段的数量是0006个,接着在PE字符串向下偏移244个字节就能够找到区段的位置,区段内容如下:
。。转载请加出处。。。未完待续。。。。。