Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Loading DLL from memory
Search
ry0kvn
January 22, 2020
0
110
Loading DLL from memory
ry0kvn
January 22, 2020
Tweet
Share
More Decks by ry0kvn
See All by ry0kvn
Code Injection詰め合わせ
ry0kvn
0
26
Process Hollowing
ry0kvn
0
2.5k
Featured
See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
77
6k
Building Flexible Design Systems
yeseniaperezcruz
329
39k
Music & Morning Musume
bryan
46
6.8k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
113
20k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.5k
How STYLIGHT went responsive
nonsquared
100
5.8k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
53k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.2k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Transcript
メモリからDLLを読み込んでみる 2020 年 1 月 22 日 @ry0kvn
About Me セキュリティキャンプ 2019 受講生 CODE BLUE2019 学生スタッフ Twitter@ry0kvn りょーくん
https://twitter.com/ry0kvn/status/1218966574293323777
メモリからDLLを読み込んでみる “DLL(dynamic link library) は通常、 Windows API の Loadlibrary 関数や
LoadlibraryEX 関数を使ってディスク上から読み込んで使用する。 この LoadLibrary や LoadLibraryEx 関数は、ファイルシステム上のファイルでのみ機能し 直接メモリから DLL をロードすることはできない。 またこれを端的に実現できる公式の Windows API も存在しない。 メモリから DLL を読み 込むには疑似的な PE ローダーを実装する必要がある。 ”
DLLとは? “A dynamic-link library (DLL) is a module that contains
functions and data that can be used by another module (application or DLL).” 引用 : Dynamic-Link Libraries (Dynamic-Link Libraries) - Win32 apps
なぜメモリから読み込む必要があるのか - Game developer 耐解析 - Malware developer 検出回避
PEファイルフォーマット “Portable Executable ( PE )は、主に 32 ビットおよび 64 ビット版の
Microsoft Windows 上で 使用される実行ファイル (EXE) 、オブジェクトファイル、 DLL 、 SYS ( デバイスドライバ ) 、 FON フォントファイル等のファイルフォーマットである。 PE フォーマットは実行コードを管 理するために Windows OS ローダが必要とする情報をカプセル化するデータ構造であ る。 ” 引用 : https://ja.wikipedia.org/wiki/Portable_Executable
None
None
メモリへの展開 On Disk On Memory DOS Header NT Header ...
Section Header Section ... DOS Header NT Header Section Header ... Section ... そのまま配置 ローダーによる調整
ベース再配置 リンカが想定する 理想のメモリ配置 ロードされた イメージファイル 0x00400000 ローダが選択する 現実のメモリ配置 マップ済み 0x00400000
ロードされた イメージファイル 0x00800000
IATの解決前 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]
(INT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[] (IAT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] 0x1, AcquireSRWLockExclusive ... 0x65D, uaw_wcsrchr
IATの解決後 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]
(INT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[] (IAT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] 0x1, AcquireSRWLockExclusive ... 0x65D, uaw_wcsrchr 0x7ff9ba0e0000 ... 0x7ff9be539000
DLLの実行 using DLLEntry = BOOL(WINAPI*)(HINSTANCE dll, DWORD reason, LPVOID reserved);
DLLEntry DllEntry = (ntHeaders->OptionalHeader.AddressOfEntryPoint + dllBase); (*DllEntry)(dllBase, DLL_PROCESS_ATTACH, 0);
demo
https://twitter.com/ry0kvn/status/1218928288107659264
ry0kvn
geoffreycrofte
yeseniaperezcruz
bryan
panda_program
bcantrill
nonsquared
malarkey
aki_iinuma
jmmastey
kevinliebholz
rmw
garrettdimon
![IATの解決前 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]](https://files.speakerdeck.com/presentations/1c10cb06f55049db802278637b489164/slide_11.jpg){kind=link}
![IATの解決後 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]](https://files.speakerdeck.com/presentations/1c10cb06f55049db802278637b489164/slide_12.jpg){kind=link}
