摘要：本文將探索內(nèi)核中解析PE文件的相關(guān)內(nèi)容。

本文分享自華為云社區(qū)《驅(qū)動開發(fā)：內(nèi)核PE結(jié)構(gòu)VA與FOA轉(zhuǎn)換》，作者： LyShark 。

本章將探索內(nèi)核中解析PE文件的相關(guān)內(nèi)容，PE文件中FOA與VA、RVA之間的轉(zhuǎn)換也是很重要的，所謂的FOA是文件中的地址，VA則是內(nèi)存裝入后的虛擬地址，RVA是內(nèi)存基址與當(dāng)前地址的相對偏移，本章還是需要用到封裝的KernelMapFile()映射函數(shù)，在映射后對其PE格式進(jìn)行相應(yīng)的解析，并實(shí)現(xiàn)轉(zhuǎn)換函數(shù)。

(資料圖)

首先先來演示一下內(nèi)存VA地址與FOA地址互相轉(zhuǎn)換的方式，通過使用WinHEX打開一個(gè)二進(jìn)制文件，打開后我們只需要關(guān)注如下藍(lán)色注釋為映像建議裝入基址，黃色注釋為映像裝入后的RVA偏移。

通過上方的截圖結(jié)合PE文件結(jié)構(gòu)圖我們可得知0000158B為映像裝入內(nèi)存后的RVA偏移，緊隨其后的00400000則是映像的建議裝入基址，為什么是建議而不是絕對？別急后面慢來來解釋。

通過上方的已知條件我們就可以計(jì)算出程序?qū)嶋H裝入內(nèi)存后的入口地址了，公式如下：

VA(實(shí)際裝入地址) = ImageBase(基址) + RVA(偏移) => 00400000 + 0000158B = 0040158B

找到了程序的OEP以后，接著我們來判斷一下這個(gè)0040158B屬于那個(gè)節(jié)區(qū)，以.text節(jié)區(qū)為例，下圖我們通過觀察區(qū)段可知，第一處橙色位置00000B44 (節(jié)區(qū)尺寸)，第二處紫色位置00001000 (節(jié)區(qū)RVA)，第三處00000C00 (文件對齊尺寸)，第四處00000400 (文件中的偏移)，第五處60000020 (節(jié)區(qū)屬性)。

得到了上方text節(jié)的相關(guān)數(shù)據(jù)，我們就可以判斷程序的OEP到底落在了那個(gè)節(jié)區(qū)中，這里以.text節(jié)為例子，計(jì)算公式如下：

虛擬地址開始位置：節(jié)區(qū)基地址 + 節(jié)區(qū)RVA => 00400000 + 00001000 = 00401000虛擬地址結(jié)束位置：text節(jié)地址 + 節(jié)區(qū)尺寸 => 00401000 + 00000B44 = 00401B44

經(jīng)過計(jì)算得知 .text 節(jié)所在區(qū)間（401000 - 401B44） 你的裝入VA地址0040158B只要在區(qū)間里面就證明在本節(jié)區(qū)中，此處的VA地址是在401000 - 401B44區(qū)間內(nèi)的，則說明它屬于.text節(jié)。

經(jīng)過上面的公式計(jì)算我們知道了程序的OEP位置是落在了.text節(jié)，此時(shí)你興致勃勃的打開x64DBG想去驗(yàn)證一下公式是否計(jì)算正確不料，這地址根本不是400000開頭啊，這是什么鬼？

上圖中出現(xiàn)的這種情況就是關(guān)于隨機(jī)基址的問題，在新版的VS編譯器上存在一個(gè)選項(xiàng)是否要啟用隨機(jī)基址(默認(rèn)啟用)，至于這個(gè)隨機(jī)基址的作用，猜測可能是為了防止緩沖區(qū)溢出之類的爛七八糟的東西。

為了方便我們調(diào)試，我們需要手動干掉它，其對應(yīng)到PE文件中的結(jié)構(gòu)為 IMAGE_NT_HEADERS -> IMAGE_OPTIONAL_HEADER -> DllCharacteristics 相對于PE頭的偏移為90字節(jié)，只需要修改這個(gè)標(biāo)志即可，修改方式 x64：6081 改 2081 相對于 x86：4081 改 0081 以X86程序?yàn)槔薷暮笕缦聢D所示。

經(jīng)過上面對標(biāo)志位的修改，程序再次載入就能夠停在0040158B的位置，也就是程序的OEP，接下來我們將通過公式計(jì)算出該OEP對應(yīng)到文件中的位置。

.text(節(jié)首地址) = ImageBase + 節(jié)區(qū)RVA => 00400000 + 00001000 = 00401000VA(虛擬地址) = ImageBase + RVA(偏移) => 00400000 + 0000158B = 0040158BRVA(相對偏移) = VA - (.text節(jié)首地址) => 0040158B - 00401000 = 58BFOA(文件偏移) = RVA + .text節(jié)對應(yīng)到文件中的偏移 => 58B + 400 = 98B

經(jīng)過公式的計(jì)算，我們找到了虛擬地址0040158B對應(yīng)到文件中的位置是98B，通過WinHEX定位過去，即可看到OEP處的機(jī)器碼指令了。

接著我們來計(jì)算一下.text節(jié)區(qū)的結(jié)束地址，通過文件的偏移加上文件對齊尺寸即可得到.text節(jié)的結(jié)束地址400+C00= 1000，那么我們主要就在文件偏移為(98B - 1000)在該區(qū)間中找空白的地方，此處我找到了在文件偏移為1000之前的位置有一段空白區(qū)域，如下圖：

接著我么通過公式計(jì)算一下文件偏移為0xF43的位置，其對應(yīng)到VA虛擬地址是多少，公式如下：

.text(節(jié)首地址) = ImageBase + 節(jié)區(qū)RVA => 00400000 + 00001000 = 00401000VPK(實(shí)際大小) = (text節(jié)首地址 - ImageBase) - 實(shí)際偏移 => 401000-400000-400 = C00VA(虛擬地址) = FOA(.text節(jié)) + ImageBase + VPK => F43+400000+C00 = 401B43

計(jì)算后直接X64DBG跳轉(zhuǎn)過去，我們從00401B44的位置向下全部填充為90(nop)，然后直接保存文件。

再次使用WinHEX查看文件偏移為0xF43的位置，會發(fā)現(xiàn)已經(jīng)全部替換成了90指令，說明計(jì)算正確。

到此文件偏移與虛擬偏移的轉(zhuǎn)換就結(jié)束了，那么這些功能該如何實(shí)現(xiàn)呢，接下來將以此實(shí)現(xiàn)這些轉(zhuǎn)換細(xì)節(jié)。

FOA轉(zhuǎn)換為VA:首先來實(shí)現(xiàn)將FOA地址轉(zhuǎn)換為VA地址，這段代碼實(shí)現(xiàn)起來很簡單，如下所示，此處將dwFOA地址0x84EC00轉(zhuǎn)換為對應(yīng)內(nèi)存的虛擬地址。

// 署名權(quán)// right to sign one"s name on a piece of work// PowerBy: LyShark// Email: me@lyshark.comNTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath){DbgPrint("hello lyshark.com \n");NTSTATUS status = STATUS_SUCCESS;HANDLE hFile = NULL;HANDLE hSection = NULL;PVOID pBaseAddress = NULL;UNICODE_STRING FileName = { 0 };// 初始化字符串RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntoskrnl.exe");// 內(nèi)存映射文件status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);if (!NT_SUCCESS(status)){return 0;}// 獲取PE頭數(shù)據(jù)集PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNtHeaders);PIMAGE_FILE_HEADER pFileHeader = &pNtHeaders->FileHeader;DWORD64 dwFOA = 0x84EC00;DWORD64 ImageBase = pNtHeaders->OptionalHeader.ImageBase;DWORD NumberOfSectinsCount = pNtHeaders->FileHeader.NumberOfSections;DbgPrint("鏡像基址 = %p | 節(jié)表數(shù)量 = %d \n", ImageBase, NumberOfSectinsCount);for (int each = 0; each < NumberOfSectinsCount; each++){DWORD64 PointerRawStart = pSection[each].PointerToRawData;                                // 文件偏移開始位置DWORD64 PointerRawEnds = pSection[each].PointerToRawData + pSection[each].SizeOfRawData;  // 文件偏移結(jié)束位置// DbgPrint("文件開始偏移 = %p | 文件結(jié)束偏移 = %p \n", PointerRawStart, PointerRawEnds);if (dwFOA >= PointerRawStart && dwFOA <= PointerRawEnds){DWORD64 RVA = pSection[each].VirtualAddress + (dwFOA - pSection[each].PointerToRawData);     // 計(jì)算出RVADWORD64 VA = RVA + pNtHeaders->OptionalHeader.ImageBase;                                     // 計(jì)算出VADbgPrint("FOA偏移 [ %p ] --> 對應(yīng)VA地址 [ %p ] \n", dwFOA, VA);}}ZwUnmapViewOfSection(NtCurrentProcess(), pBaseAddress);ZwClose(hSection);ZwClose(hFile);Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;}

運(yùn)行效果如下所示，此處之所以出現(xiàn)兩個(gè)結(jié)果是因?yàn)闆]有及時(shí)返回，一般我們?nèi)〉谝粋€(gè)結(jié)果就是最準(zhǔn)確的；

VA轉(zhuǎn)換為FOA:將VA內(nèi)存地址轉(zhuǎn)換為FOA文件偏移，代碼與如上基本保持一致。

// 署名權(quán)// right to sign one"s name on a piece of work// PowerBy: LyShark// Email: me@lyshark.comNTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath){DbgPrint("hello lyshark.com \n");NTSTATUS status = STATUS_SUCCESS;HANDLE hFile = NULL;HANDLE hSection = NULL;PVOID pBaseAddress = NULL;UNICODE_STRING FileName = { 0 };// 初始化字符串RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntoskrnl.exe");// 內(nèi)存映射文件status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);if (!NT_SUCCESS(status)){return 0;}// 獲取PE頭數(shù)據(jù)集PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNtHeaders);PIMAGE_FILE_HEADER pFileHeader = &pNtHeaders->FileHeader;DWORD64 dwVA = 0x00007FF6D3389200;DWORD64 ImageBase = pNtHeaders->OptionalHeader.ImageBase;DWORD NumberOfSectinsCount = pNtHeaders->FileHeader.NumberOfSections;DbgPrint("鏡像基址 = %p | 節(jié)表數(shù)量 = %d \n", ImageBase, NumberOfSectinsCount);for (DWORD each = 0; each < NumberOfSectinsCount; each++){DWORD Section_Start = ImageBase + pSection[each].VirtualAddress;                                  // 獲取節(jié)的開始地址DWORD Section_Ends = ImageBase + pSection[each].VirtualAddress + pSection[each].Misc.VirtualSize; // 獲取節(jié)的結(jié)束地址DbgPrint("Section開始地址 = %p | Section結(jié)束地址 = %p \n", Section_Start, Section_Ends);if (dwVA >= Section_Start && dwVA <= Section_Ends){DWORD RVA = dwVA - pNtHeaders->OptionalHeader.ImageBase;                                    // 計(jì)算RVADWORD FOA = pSection[each].PointerToRawData + (RVA - pSection[each].VirtualAddress);       // 計(jì)算FOADbgPrint("VA偏移 [ %p ] --> 對應(yīng)FOA地址 [ %p ] \n", dwVA, FOA);}}ZwUnmapViewOfSection(NtCurrentProcess(), pBaseAddress);ZwClose(hSection);ZwClose(hFile);Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;}

運(yùn)行效果如下所示，此處沒有出現(xiàn)想要的結(jié)果是因?yàn)槲覀儺?dāng)前的VA內(nèi)存地址并非實(shí)際裝載地址，僅僅是PE磁盤中的地址，此處如果換成內(nèi)存中的PE則可以提取出正確的結(jié)果；

RVA轉(zhuǎn)換為FOA:將相對偏移地址轉(zhuǎn)換為FOA文件偏移地址，此處僅僅只是多了一步pNtHeaders->OptionalHeader.ImageBase + dwRVARVA轉(zhuǎn)換為VA的過程其轉(zhuǎn)換結(jié)果與VA轉(zhuǎn)FOA一致。

// 署名權(quán)// right to sign one"s name on a piece of work// PowerBy: LyShark// Email: me@lyshark.comNTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath){DbgPrint("hello lyshark.com \n");NTSTATUS status = STATUS_SUCCESS;HANDLE hFile = NULL;HANDLE hSection = NULL;PVOID pBaseAddress = NULL;UNICODE_STRING FileName = { 0 };// 初始化字符串RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntoskrnl.exe");// 內(nèi)存映射文件status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);if (!NT_SUCCESS(status)){return 0;}// 獲取PE頭數(shù)據(jù)集PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNtHeaders);PIMAGE_FILE_HEADER pFileHeader = &pNtHeaders->FileHeader;DWORD64 dwRVA = 0x89200;DWORD64 ImageBase = pNtHeaders->OptionalHeader.ImageBase;DWORD NumberOfSectinsCount = pNtHeaders->FileHeader.NumberOfSections;DbgPrint("鏡像基址 = %p | 節(jié)表數(shù)量 = %d \n", ImageBase, NumberOfSectinsCount);for (DWORD each = 0; each < NumberOfSectinsCount; each++){DWORD Section_Start = pSection[each].VirtualAddress;                                  // 計(jì)算RVA開始位置DWORD Section_Ends = pSection[each].VirtualAddress + pSection[each].Misc.VirtualSize; // 計(jì)算RVA結(jié)束位置if (dwRVA >= Section_Start && dwRVA <= Section_Ends){DWORD VA = pNtHeaders->OptionalHeader.ImageBase + dwRVA;                                  // 得到VA地址DWORD FOA = pSection[each].PointerToRawData + (dwRVA - pSection[each].VirtualAddress);    // 得到FOADbgPrint("RVA偏移 [ %p ] --> 對應(yīng)FOA地址 [ %p ] \n", dwRVA, FOA);}}ZwUnmapViewOfSection(NtCurrentProcess(), pBaseAddress);ZwClose(hSection);ZwClose(hFile);Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;}

運(yùn)行效果如下所示；

點(diǎn)擊關(guān)注，第一時(shí)間了解華為云新鮮技術(shù)~