在程序集中为 PE 文件创建和使用部分 (NASM)

【问题标题】:Create and use sections for PE file in assembly (NASM)在程序集中为 PE 文件创建和使用部分 (NASM)
【发布时间】:2013-07-03 19:17:51
【问题描述】:

我正在尝试完成这个仅用程序集制作的 PE 文件,它应该在控制台中显示一条消息。我想以这样的方式组织它,以便以后轻松添加更多内容(知道在哪里添加代码、数据、导入的函数)。
我现在创建了 4 个部分,分别用于代码数据未启动的数据导入的元素。我现阶段的主要问题是:

  1. 节头中的某些值使可执行文件无效(没有有效的win32)
  2. 指向数据部分元素的指针错误
  3. 一些涉及首选绝对地址、节对齐和文件对齐的计算可能是错误的

首先,我将在下面显示我的所有代码。一些真正无关紧要的东西不会添加,以节省时间并使其更易于阅读 这是 NASM 代码

; Constants (use '$' as prefix)
$SECTION_ALIGNMENT equ 4096     ; Each section is aligned to 4096 in memory
$FILE_ALIGNMENT    equ 512      ; Each section is aligned to 512 on disk
$PREFERRED_ADDRESS equ 4194304  ; Preffered address for EXE is 4 MB
$TOTAL_PE_SECTIONS equ 4        ; Code, Data, Bss and IData
; Image size = headers aligned to section alignment + sections size aligned 
; to next multiple of section alignment, everything aligned, too
$IMAGE_SIZE        equ $SECTION_ALIGNMENT + (HEADERS_SIZE/$SECTION_ALIGNMENT) + \
                       $TOTAL_PE_SECTIONS * $SECTION_ALIGNMENT


; Will help us align some of the values to the next specified multiple
%define Round(Number, Multiple)  Multiple+(Number/Multiple)

section .header progbits vstart=0

    ; This is the MZ header
    DOS_HEADER:
        db             "MZ"         ; MZ signature

        ; ...
        ; Here we have all the members of the DOS header, in 4 paragraphs
        ; ...

        db             PE_HEADER    ; The last one is pointing to the PE header


    DOS_STUB:
        ; ...
        ; A small DOS program to display a simple message in DOS (64 bytes)
        ; ...

    ; This is the PE header
    PE_HEADER:
        db             "PE", 0, 0   ; PE signature
        dw              0x014C      ; Platform Intel I386
        dw              $TOTAL_PE_SECTIONS
        dd              1371668450  ; Creation timestamp
        dd              0           ; No symbols table
        dd              0           ; No symbols
        dw              SECTIONS_TABLE - OPT_HEADER  ; Optional header size
        dw              0x0002|0x0004|0x0008|0x0100|0x0200 ; Characteristics

    ; Optional header
    OPT_HEADER:
        dw              0x010B      ; Signature
        db              0           ; Linker version
        db              0           ; Minor linker version
        dd              CODE_SIZE
        dd              DATA_SIZE   ; Initialized data size
        dd              BSS_SIZE    ; Uninitiated data size
        dd              CODE        ; Entry point
        dd              CODE        ; Code RVA
        dd              DATA        ; Data RVA
        dd              $PREFERRED_ADDRESS ; Preferred address in memory
        dd              $SECTION_ALIGNMENT
        dd              $FILE_ALIGNMENT
        dw              4           ; OS version
        dw              0           ; Minor OS version
        dw              0           ; Image version
        dw              0           ; Minor image version
        dw              3           ; Subsystem version
        dw              10          ; Minor subsystem version
        dd              0           ; WIN32 version
        dd              $IMAGE_SIZE ; Image size calculated above
        dd              Round(HEADERS_SIZE, $SECTION_ALIGNMENT) ; Headers size
        dd              0           ; Checksum
        dw              3           ; System interface CUI
        dw              0           ; DLL characteristics
        dd              4096        ; Reserved stack
        dd              4096        ; Still not        ??
        dd              65536       ; sure about       ??
        dd              0           ; these            ??
        dd              0 
        dd              2           ; Data directory entries
        dd              0           ; Export table pointer
        dd              0           ; Export table size
        dd              I_TABLE     ; Import table pointer
        dd              I_TABLE_S   ; Size of import table
        dq              0           ; Reserved

    SECTIONS_TABLE:
        CODE_SECTION_HEADER:
            db          ".code", 0, 0, 0
            dd          Round(CODE_SIZE, $SECTION_ALIGNMENT) ; Size in memory
            dd          CODE
            dd          Round(CODE_SIZE, $FILE_ALIGNMENT) ; Size on disk
            dd          Round(0, $FILE_ALIGNMENT) ; Real start address
            dd          0
            dd          0
            dw          0
            dw          0
            dd          0x00000020|0x20000000|0x40000000|0x80000000

       DATA_SECTION_HEADER:
            db          ".data", 0, 0, 0
            dd          Round(DATA_SIZE, $SECTION_ALIGNMENT) ; Size in memory
            dd          $SECTION_ALIGNMENT * 2
            dd          Round(DATA_SIZE, $FILE_ALIGNMENT) ; Size on disk
            dd          Round(0, $FILE_ALIGNMENT) ; Real start address
            dd          0
            dd          0
            dw          0
            dw          0
            dd          0x00000040|0x40000000|0x80000000

       BSS_SECTION_HEADER:
            db          ".bss", 0, 0, 0, 0
            dd          Round(BSS_SIZE, $SECTION_ALIGNMENT) ; Size in memory
            dd          $SECTION_ALIGNMENT * 3
            dd          0
            dd          0
            dd          0
            dd          0
            dw          0
            dw          0
            dd          0x00000080|0x40000000|0x80000000


       IDATA_SECTION_HEADER:
            db          ".idata", 0, 0
            dd          Round(IDATA_SIZE, $SECTION_ALIGNMENT) ; Size in memory
            dd          $SECTION_ALIGNMENT * 4
            dd          0
            dd          Round(0, $FILE_ALIGNMENT) ; Real start address
            dd          0
            dd          0
            dw          0
            dw          0
            dd          0x00000040|0x40000000|0x80000000

    HEADERS_SIZE equ $$ - DOS_HEADER

    align   512 ; Align to 512 bytes in memory

section .scode vstart=$SECTION_ALIGNMENT align=16

    use32

    CODE:
        push -11
        call dword [$PREFERRED_ADDRESS + F_GetStdHandle]
        push 0  
        push 0x402000
        push 6  
        push $PREFERRED_ADDRESS + hello
        push eax  
        call dword [$PREFERRED_ADDRESS + F_WriteConsole]  
        push -1  
        call dword [$PREFERRED_ADDRESS + F_Sleep]  
        ret

    CODE_SIZE equ $$ - CODE

section .sdata vstart=$SECTION_ALIGNMENT*2 progbits align=4
        DATA:
            hello: db 'Hello!'
        DATA_SIZE equ $$ - DATA

section .sbss vstart=$SECTION_ALIGNMENT*3  align=4
    BSS:
        dd 5
    BSS_SIZE equ $$ - BSS

section .sidata vstart=$SECTION_ALIGNMENT*4 align=4
    IDATA:
        F_Sleep:          dd I_Sleep
        F_WriteConsole:   dd I_WriteConsole
        F_GetStdHandle:   dd I_GetStdHandle
        dd                0

        I_TABLE:  
            .originalfthk     dd 0
            .timedate         dd 0  
            .forwarder        dd 0  
            .name             dd kernel32
            .firstthunk       dd IDATA

        I_TABLE_S equ $$ - I_TABLE

        times 20 db 0

        kernel32:             db 'kernel32.dll', 0
        I_Sleep:           
            dw                0  
            db                'Sleep', 0  
            align             2  
        I_WriteConsole:    
            dw                0  
            db                'WriteConsoleA', 0
            align             2  
        I_GetStdHandle:
            dw                0  
            db                'GetStdHandle', 0

    IDATA_SIZE equ $$ - IDATA

这里的主要问题是可执行文件崩溃,因为来自代码部分的指针是错误的。我说的是来自.sdata 的指向hello 消息的指针以及来自.sidata 部分的指向导入函数的指针。如果我将 hello 变量和 .sidata 的全部内容都复制到 .scode (下面的 ret)中,它可以工作,但是一旦我将每个东西复制到应该是其正确部分的内容中,exe 就会中断。 因此,看起来地址计算错误。从这里开始,节标题或其他地方可能会有错误的值。你怎么看?

更新:
在实施以下更改后,我现在遇到了一个问题。只要.data 部分小于 512 字节,一切正常。一旦超过了,我就会收到“奇怪的无效 win32 应用程序”错误。

所以,这里有 2 个由 PEInfo 导出的 HTML 文件。第一个包含工作文件的信息(.data 部分小于 512 字节): Working EXE PEInfo
第二个包含损坏的EXE的信息,当.data部分包含超过512个字节时:Corrupt EXE PEInfo

也许有人能看出崩溃的区别和原因。

【问题讨论】:

  • 如何将文件加载到 PE Explorer 或其他类似工具中?这应该会提示您标头中的哪些字段可能不正确。
  • 好久没做windows了!我看到的一件事......在你的dos标题的末尾:db PE_HEADER。当然这应该是dd,不是吗?我怀疑这是否是您的问题(?),我同意部分地址可能无法正确计算。我认为迈克尔有个好主意! (FWIW,使用链接器更容易!)

标签: assembly crash nasm portable-executable sections


【解决方案1】:

我现在有机会详细查看代码并实际运行它。以上就是我发现的所有问题。

首先,您的尺寸计算似乎都不起作用。你可以这样做:

CODE_SIZE equ $$ - CODE

但是您尝试在定义它的行之前引用 CODE_SIZE,因此它的计算结果为零。

我的解决方案是添加结束标签,例如CODE_END:,您通常会在哪里执行这些计算之一。然后在代码的最开始处,在使用这些值之前,将大小计算为每个块的结束标签和开始标签之间的差异。

HEADERS_SIZE  equ HEADERS_END - DOS_HEADER
CODE_SIZE     equ CODE_END - CODE
DATA_SIZE     equ DATA_END - DATA
IDATA_SIZE    equ IDATA_END - IDATA
I_TABLE_SIZE  equ I_TABLE_END - I_TABLE

下一个大问题是你的 Round 宏,它看起来像这样:

%define Round(Number, Multiple)  Multiple+(Number/Multiple)

我不确定你以为你在那里做什么,但这更像是你需要的:

%define Round(Number, Multiple) (Number+Multiple-1)/Multiple*Multiple

您要确保 NumberMultiple 的倍数,因此是除-乘序列。您还需要将 Multiple-1 添加到原始 Number 以强制它向上取整。

下一个大问题是 RVA 计算,或者说缺乏。文件结构中有很多地方需要您将偏移量指定为相对虚拟地址 (RVA),即 内存 中的相对偏移量。当您按原样获取标签的值时,这就是为您提供 disk 上的偏移量。

对于节偏移量,您基本上需要将该偏移量除以文件对齐方式,然后将其乘以节对齐方式。此外,代码块将以一个节对齐偏移量加载,因此应相对于代码块计算所有内容,然后将一个节对齐添加到结果中。

%define RVA(BaseAddress) (BaseAddress - CODE)/$FILE_ALIGNMENT*$SECTION_ALIGNMENT+$SECTION_ALIGNMENT

现在这适用于部分边界上的地址。对于其他任何事情,您需要计算它们相对于其节基地址的内部偏移量,然后将其添加到该节的 RVA。

%define RVA(Address,BaseAddress) RVA(BaseAddress)+(Address-BaseAddress)

这些计算假设各个部分已经与 $FILE_ALIGNMENT 值对齐,但实际情况并非如此。您在代码部分之前有一个align,如下所示:

align   512 ; Align to 512 bytes in memory

但是您需要在每个部分之前以及文件末尾的一个部分之前添加它。我还建议使用$FILE_ALIGNMENT 常量,否则没有意义。

align   $FILE_ALIGNMENT ; Align to 512 bytes in memory

除此之外,您还需要摆脱所有 section 声明。例如,所有这些行都需要删除。

section .header progbits vstart=0
section .scode vstart=$SECTION_ALIGNMENT align=16
section .sdata vstart=$SECTION_ALIGNMENT*2 progbits align=4
section .sbss vstart=$SECTION_ALIGNMENT*3  align=4
section .sidata vstart=$SECTION_ALIGNMENT*4 align=4

由于您是手动构建整个文件格式,因此它们没有任何作用,并且它们会阻止您使用跨越边界的标签进行偏移计算(我们几乎在任何地方都需要这样做)。

现在我们已经正确对齐了所有内容并且我们有了两个 RVA 宏,我们可以开始修复需要使用 RVA 的代码的各个部分。

首先在可选标题中,我们有代码 RVA、数据 RVA 和入口点。另外,虽然我们在那里,但我认为应该将各种大小值指定为节对齐的倍数。

dd  Round(CODE_SIZE, $SECTION_ALIGNMENT)
dd  Round(DATA_SIZE, $SECTION_ALIGNMENT) ; Initialized data size
dd  Round(BSS_SIZE, $SECTION_ALIGNMENT)  ; Uninitiated data size
dd  RVA(CODE)                            ; Entry point
dd  RVA(CODE)                            ; Code RVA
dd  RVA(DATA)                            ; Data RVA

此外,在可选标题中,当我认为应该将标题大小四舍五入到文件对齐时,您会将标题大小四舍五入到部分对齐。

dd  Round(HEADERS_SIZE, $FILE_ALIGNMENT) ; Headers size

这是实际上没有任何区别的事情之一 - 代码可以以任何方式工作 - 但我仍然认为这是错误的,应该更正。

同样,正如我在第一个答案中指出的那样,即使您不使用所有 16 个条目,数据目录表的大小也应始终设置为 16。如果你不这样做,它似乎确实有效,但我再次建议你正确地这样做。

dd  16                 ; Data directory entries
dd  0                  ; Export table pointer
dd  0                  ; Export table size
dd  RVA(I_TABLE,IDATA) ; Import table pointer
dd  I_TABLE_SIZE       ; Size of import table
times 14 dq 0          ; Space the other 14 entries

另外,请注意 I_TABLE 偏移已更新为使用相对于 IDATA 部分的 RVA。

在您的sections 表中,您的所有偏移量都是错误的。例如,代码部分标题的开头应如下所示:

db  ".code", 0, 0, 0
dd  Round(CODE_SIZE, $SECTION_ALIGNMENT) ; Size in memory
dd  RVA(CODE)                            ; Start address in memory
dd  Round(CODE_SIZE, $FILE_ALIGNMENT)    ; Size on disk
dd  CODE                                 ; Start address on disk

数据部分也是如此:

db  ".data", 0, 0, 0
dd  Round(DATA_SIZE, $SECTION_ALIGNMENT) ; Size in memory
dd  RVA(DATA)                            ; Start address in memory
dd  Round(DATA_SIZE, $FILE_ALIGNMENT)    ; Size on disk
dd  DATA                                 ; Start address on disk

还有 idata 部分:

db  ".idata", 0, 0
dd  Round(IDATA_SIZE, $SECTION_ALIGNMENT) ; Size in memory
dd  RVA(IDATA)                            ; Start address in memory
dd  Round(IDATA_SIZE, $FILE_ALIGNMENT)    ; Size on disk
dd  IDATA                                 ; Start address on disk

但 bss 部分略有不同。 bss 部分的重点是不占用磁盘空间,但确实占用了内存空间。这意味着您实际上不能为您的 bss 数据包含任何数据定义。所以这段代码必须去:

BSS:
    dd 5

但这意味着磁盘上的部分与内存中的部分不匹配。为了使 RVA 计算简单,我建议的解决方法是将 bss 部分作为文件中的最后一件事。当它的大小从磁盘上的 0 扩展到不会影响任何其他偏移的内存中时。

所以我会在文件的最后添加一个名为 IMAGE_END: 的标签,然后像这样定义 bss 部分:

db  ".bss", 0, 0, 0, 0
dd  Round(BSS_SIZE, $SECTION_ALIGNMENT) ; Size in memory
dd  RVA(IMAGE_END)                      ; Start address in memory
dd  0                                   ; Size on disk
dd  0                                   ; Start address on disk

请注意,此部分必须位于 section 表中的 idata 部分之后,因为地址需要按升序排列。

如果代码中不再有 bss 部分,您可能想知道 BSS_SIZE 值从何而来。我担心您将不得不手动定义该值。您还必须手动为该部分中任何变量的偏移量定义常量。正如我之前所说,您不能使用数据定义,因为我们不希望它占用磁盘上的任何空间。

接下来我们进入导入表。您为此使用的布局有些奇怪,但这似乎不是问题,所以我将保持原样。不过,您确实需要更新所有地址才能使用 RVA。

首先是 IAT:

F_Sleep:         dd RVA(I_Sleep,IDATA)
F_WriteConsole:  dd RVA(I_WriteConsole,IDATA)
F_GetStdHandle:  dd RVA(I_GetStdHandle,IDATA)

然后是导入描述符:

.originalfthk    dd 0
.timedate        dd 0  
.forwarder       dd 0  
.name            dd RVA(kernel32,IDATA)
.firstthunk      dd RVA(IDATA,IDATA)

我还应该提到,您在此描述符之后立即设置了 I_TABLE_S 变量,如果您还记得的话,我说过您应该用结束标签替换这些大小计算。但是,在这种情况下,描述符表的大小也应该包括最后的零条目。所以放置结束标签的正确位置不在这里,而是在times 20 db 0 填充之后。

times 20 db 0    
I_TABLE_END:

这是我认为没有太大区别但我仍然建议修复的另一件事。

此外,当您从一个 DLL 导入时,这种布局很好,但当您需要更多时,您将需要更多描述符和更多 IAT 部分。因此,我建议在每个 IAT 之前添加一个标签,例如在这种情况下类似于kernel32_iat。然后你将你的第一个 thunk 初始化为。

.firstthunk      dd RVA(kernel32_iat,IDATA)

最后,我要处理$IMAGE_SIZE 的计算。您使用的计算假定每个部分的大小固定。但是鉴于我们在文件末尾有一个IMAGE_END 标签和一个 RVA 宏,我们可以很容易地计算出精确的图像大小为RVA(IMAGE_END)

但是,这并没有考虑到 bss 部分,该部分会使图像在加载到内存后变得更大。所以图片大小的正确定义应该是:

$IMAGE_SIZE equ RVA(IMAGE_END) + Round(BSS_SIZE,$SECTION_ALIGNMENT)

请注意,这应该在文件开头附近定义 - 在任何地方使用之前但在定义 RVA 宏和 BSS_SIZE 之后。

【讨论】:

  • 感谢您花时间制作如此详细的内容。我终于知道如何“手动”创建 PE 文件了
  • 目前,PEExplorer 仍然向我显示这些:05.07.2013 22:10:22:警告! <.data> (1) 节超出了 <.bss> (2) 节的原始文件偏移量。 05.07.2013 22:10:22:警告! <.bss> (2) 节超出了 <.idata> (3) 节的虚拟地址。
  • 您是否在每个部分之间添加了align $FILE_ALIGNMENT?您是否将 bss 部分移到 section 表中的 idata 部分之后?
  • 我将 bss 标头移到 idata 标头之后,并更正了代码部分中的一些地址。现在它就像一个魅力。谢谢你的帮助。 PEExplorer 也对该文件感到满意。您知道如何计算文件的校验和(我想是 md5)吗?
  • 我从未使用过校验和。据我所知,只有受信任的服务才需要它,否则它会被忽略,应该设置为零。
猜你喜欢
  • 1970-01-01
  • 2016-09-21
  • 1970-01-01
  • 2013-09-17
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2012-03-16
  • 2016-03-09
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode