IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> 地址无关代码 -> 正文阅读

[开发工具]地址无关代码

水不脏人,人却脏水。这就是上善若水?

前言

我们时常说地址无关和地址相关代码是什么?

假设我们有一段代码,这段代码可以随意粘贴到任何程序中运行那么我可以简单的理解为这就是位置无关代码。

我们看下如下的代码:

#include<Windows.h>
int main()
{
	return MessageBoxA(NULL,"hello","world",MB_OK);
}

这段代码对应的汇编代码如下:
在这里插入图片描述
下划线就是被重定位后的地址。
在这里插入图片描述
如果我们把这段汇编代码赋值到其他进程是无法运行的。
我们简单举例来说
本例中的push 00E2100是压入world字符串所在地址,但是其他进程00E2100指代的是什么是无法知晓。

在这里插入图片描述

所以我们怎么才能写一个地址无关代码?

地址无关代码编写

案例仅参考在windows ,linux同理

  1. 将字符串改为字符数组
  2. 关闭安全检查
  3. 修改入口点
  4. 关闭编译器优化
  5. 库函数调用方式修正

将字符串改为字符数组

看一下以下代码


#include<Windows.h>

int main()
{
	char szText[] = { 'h', 'h',' e',' l',' l',' o','\0' };
	char szText2[] = "world";
	 MessageBoxA(NULL, szText, szText2,MB_OK);
	 return EXIT_SUCCESS;
}

在这里插入图片描述
你会发现如果我们字符串的会引用数据地址,而字符数组会在自己用assic直接构造。

关闭安全检查

也许你留意到以下代码
在这里插入图片描述
上面代码是用来检查堆栈溢出等。
你可以关闭整个检查如下图所示:
在这里插入图片描述

修改入口点

我们main其实在运行前需要准备好c库运行环境,所以我们首先会运行一个叫mainCRTStartup函数,
函数源码地址参考:
C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.29.30133\crt\src\vcruntime

//exe_main.cpp
//
// exe_main.cpp
//
//      Copyright (c) Microsoft Corporation. All rights reserved.
//
// The mainCRTStartup() entry point, linked into client executables that
// uses main().
//
#define _SCRT_STARTUP_MAIN
#include "exe_common.inl"


extern "C" DWORD mainCRTStartup(LPVOID)
{
    return __scrt_common_main();
}

我们可以修改我们的函数为入口点
在这里插入图片描述

关闭编译器优化

我们前面说过说过字符数组会避免地址引用,但是对于过长字符数组就会转化为多媒体指令的调用了

#include<Windows.h>

int main()
{

	char szText[] = { 'h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h','h', 'h',' e',' l',' l',' o','\0' };
	char szText2[] = "world";


	 MessageBoxA(NULL, szText, szText2,MB_OK);

	 return EXIT_SUCCESS;
}

如下图的 xmm
在这里插入图片描述

在这里插入图片描述

库函数调用方式修正

Window函数调用中会存在一个IAT机制,如下图会进行间接跳转
在这里插入图片描述
很显然这段跳转绑定在正运行程序IAT,因此我们往往需要很特殊的方式去调用。

我们可以如此这般解决:

  1. 通过PEB获取kernel32.dll地址
  2. 自行编写一个GetProcAddress 获取 kernel32.dll中的GetProcAddress LoadLibraryA函数
  3. 得到这个两个函数后就可以自行加载某个系统库然后获取对应函数了
// ShellCodeStudy.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include<Windows.h>


typedef FARPROC(WINAPI * PFN_GetProcAddress)(
	_In_ HMODULE hModule,
	_In_ LPCSTR lpProcName
);


typedef
HMODULE
(WINAPI
*PNF_LoadLibraryA)(
	_In_ LPCSTR lpLibFileName
);

typedef int(WINAPI *PNF_MessageBoxA)(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCSTR lpText,
	_In_opt_ LPCSTR lpCaption,
	_In_ UINT uType);


//获取keenel32模块 https://xz.aliyun.com/t/10478
HMODULE GetKernelBase() {


	HMODULE hMod = nullptr;
	__asm {
		mov  eax, dword ptr fs : [0x30]
		mov  eax, dword ptr [eax + 0x0C]
		mov  eax, dword ptr  [eax + 0x0C]
		mov  eax, dword ptr [eax]
		mov  eax, dword ptr  [eax]
		mov  eax, dword ptr  [eax + 0x18]
		mov hMod, eax
	}
	return hMod;
}

void* MyGetProcAddress(HMODULE hMod, LPCSTR lpFunName)
{
	IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hMod;
	IMAGE_NT_HEADERS32* pNtHeader = (IMAGE_NT_HEADERS32*)((DWORD)hMod + pDosHeader->e_lfanew);
	IMAGE_DATA_DIRECTORY* pExportDirectoty = &pNtHeader->OptionalHeader.DataDirectory[0];
	IMAGE_EXPORT_DIRECTORY* pExport = (IMAGE_EXPORT_DIRECTORY*)((DWORD)hMod + pExportDirectoty->VirtualAddress);
	if ((DWORD)lpFunName > 0xffff)
	{
		//名称查找
		for (size_t i = 0; i < pExport->NumberOfNames; i++)
		{
			char* pName = (char*)(*(DWORD*)((DWORD)hMod + pExport->AddressOfNames + i * sizeof DWORD)+ (DWORD)hMod);
			if (strcmp(lpFunName, pName) == 0)
			{
				DWORD  dwOrdinals = *(WORD*)((DWORD)hMod + pExport->AddressOfNameOrdinals+ i * sizeof WORD);
				return (void*)(*(DWORD*)((DWORD)hMod+pExport->AddressOfFunctions+ dwOrdinals* sizeof DWORD)+(DWORD)hMod);
			}
		}
	}
	else {  
		DWORD  dwOrdinals = (DWORD)lpFunName - pExport->Base;
		if (dwOrdinals>=pExport->NumberOfFunctions)
		{
			return 0;
		}
		return (void*)(*(DWORD*)((DWORD)hMod + pExport->AddressOfFunctions + dwOrdinals * sizeof DWORD) + (DWORD)hMod);

	}
}

int Entry()
{

	char szText[] = { 'h',' e',' l',' l',' o','\0' };
	char szText2[] = "sdas";
	char szTitle[] = { 'w',' o',' r',' l',' d','\0' };

	char szGetProcAddress[] = { 'G','e','t','P','r','o','c','A', 'd','d','r','e','s','s','\0'};
					
	char szLoadLibraryA[] = { 'L','o','a','d','L','i','b','r', 'a','r','y','A','\0' };

	char szUser32[] = {'u','s','e','r','3','2','\0' };

	char szMessageBoxA[] = { 'M','e','s','s','a','g','e','B','o','x','A','\0'};


	HMODULE hKernnel32 = GetKernelBase();
	
	PFN_GetProcAddress pfnGetProcAddress =(PFN_GetProcAddress)MyGetProcAddress(hKernnel32, szGetProcAddress);

	PNF_LoadLibraryA pfnLoadLibraryA = (PNF_LoadLibraryA)pfnGetProcAddress(hKernnel32, szLoadLibraryA);

	HMODULE hUser32 = pfnLoadLibraryA(szUser32);


	PNF_MessageBoxA pnfMessageBoxA = (PNF_MessageBoxA)pfnGetProcAddress(hUser32,szMessageBoxA);
	

	return  pnfMessageBoxA(NULL, szText, szTitle, MB_OK);

}

在这里插入图片描述

  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2022-05-09 12:56:36  更:2022-05-09 12:57:03 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/14 15:06:00-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码