前言

搞iot搞久了,换个方向看看,改改口味。

windows 常见结构体

在分析Cobaltstrike-shellcode之前我们得先了解一下windows下一些常见的结构体。

X86

Thread Environment Block 环境线程块 —— TEB

位于fs[0]的位置,结构如下:

typedef struct _NT_TEB

{

    NT_TIB Tib;                         // 00h

    PVOID EnvironmentPointer;           // 1Ch

    CLIENT_ID Cid;                      // 20h

    PVOID ActiveRpcInfo;                // 28h

    PVOID ThreadLocalStoragePointer;    // 2Ch

    PPEB Peb;                           // 30h          <--注意这里 Process Environment Block

    ULONG LastErrorValue;               // 34h

    ULONG CountOfOwnedCriticalSections; // 38h

    PVOID CsrClientThread;              // 3Ch

    PVOID Win32ThreadInfo;              // 40h

    ULONG Win32ClientInfo[0x1F];        // 44h

    PVOID WOW32Reserved;                // C0h

    ULONG CurrentLocale;                // C4h

    ULONG FpSoftwareStatusRegister;     // C8h

    PVOID SystemReserved1[0x36];        // CCh

    PVOID Spare1;                       // 1A4h

    LONG ExceptionCode;                 // 1A8h

    ULONG SpareBytes1[0x28];            // 1ACh

    PVOID SystemReserved2[0xA];         // 1D4h

    GDI_TEB_BATCH GdiTebBatch;          // 1FCh

    ...

    PVOID ReservedForOle;               // F80h

    ULONG WaitingOnLoaderLock;          // F84h

    PVOID StackCommit;                  // F88h

    PVOID StackCommitMax;               // F8Ch

    PVOID StackReserve;                 // F90h

    PVOID MessageQueue;                 // ???

}
Process Environment Block 线程信息块 —— PEB

位于TEB[0x30]的位置,结构如下:

typedef struct _PEB

{

    UCHAR InheritedAddressSpace;                     // 00h

    UCHAR ReadImageFileExecOptions;                  // 01h

    UCHAR BeingDebugged;                             // 02h

    UCHAR Spare;                                     // 03h

    PVOID Mutant;                                    // 04h

    PVOID ImageBaseAddress;                          // 08h

    PPEB_LDR_DATA Ldr;                               // 0Ch          <--注意这里 DllList 成员,此成员指向 _PEB_LDR_DATA(进程加载模块链表)

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;  // 10h

    PVOID SubSystemData;                             // 14h

    PVOID ProcessHeap;                               // 18h

    PVOID FastPebLock;                               // 1Ch

    PPEBLOCKROUTINE FastPebLockRoutine;              // 20h

    PPEBLOCKROUTINE FastPebUnlockRoutine;            // 24h

    ULONG EnvironmentUpdateCount;                    // 28h

    PVOID* KernelCallbackTable;                      // 2Ch

    PVOID EventLogSection;                           // 30h

    PVOID EventLog;                                  // 34h

    PPEB_FREE_BLOCK FreeList;                        // 38h

    ULONG TlsExpansionCounter;                       // 3Ch

    PVOID TlsBitmap;                                 // 40h

    ULONG TlsBitmapBits[0x2];                        // 44h

    PVOID ReadOnlySharedMemoryBase;                  // 4Ch

    PVOID ReadOnlySharedMemoryHeap;                  // 50h

    PVOID* ReadOnlyStaticServerData;                 // 54h

    PVOID AnsiCodePageData;                          // 58h

    PVOID OemCodePageData;                           // 5Ch

    PVOID UnicodeCaseTableData;                      // 60h

    ULONG NumberOfProcessors;                        // 64h

    ULONG NtGlobalFlag;                              // 68h

    UCHAR Spare2[0x4];                               // 6Ch

    LARGE_INTEGER CriticalSectionTimeout;            // 70h

    ULONG HeapSegmentReserve;                        // 78h

    ULONG HeapSegmentCommit;                         // 7Ch

    ULONG HeapDeCommitTotalFreeThreshold;            // 80h

    ULONG HeapDeCommitFreeBlockThreshold;            // 84h

    ULONG NumberOfHeaps;                             // 88h

    ULONG MaximumNumberOfHeaps;                      // 8Ch

    PVOID** ProcessHeaps;                            // 90h

    PVOID GdiSharedHandleTable;                      // 94h

    PVOID ProcessStarterHelper;                      // 98h

    PVOID GdiDCAttributeList;                        // 9Ch

    PVOID LoaderLock;                                // A0h

    ULONG OSMajorVersion;                            // A4h

    ULONG OSMinorVersion;                            // A8h

    ULONG OSBuildNumber;                             // ACh

    ULONG OSPlatformId;                              // B0h

    ULONG ImageSubSystem;                            // B4h

    ULONG ImageSubSystemMajorVersion;                // B8h

    ULONG ImageSubSystemMinorVersion;                // C0h

    ULONG GdiHandleBuffer[0x22];                     // C4h

    PVOID ProcessWindowStation;                      // ???

}
_PEB_LDR_DATA 结构体

位于PEB[0xc]的位置,结构如下:

typedef struct _PEB_LDR_DATA

{

 ULONG Length;                                // +0x00

 BOOLEAN Initialized;                         // +0x04

 PVOID SsHandle;                              // +0x08

 LIST_ENTRY InLoadOrderModuleList;            // +0x0c 模块加载顺序

 LIST_ENTRY InMemoryOrderModuleList;          // +0x14 模块在内存中的顺序

 LIST_ENTRY InInitializationOrderModuleList;  // +0x1c 模块初始化时的顺序

} PEB_LDR_DATA,*PPEB_LDR_DATA;                 // +0x24

_LIST_ENTRY 结构体如下

typedef struct _LIST_ENTRY {

 struct _LIST_ENTRY *Flink;

 struct _LIST_ENTRY *Blink;

} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;

三个双向链表(LIST_ENTRY)分别指向_LDR_DATA_TABLE_ENTRY结构体(但并不是都指向开始位置)。如InMemoryOrderList对应第一个模块的结构体,指向_LDR_DATA_TABLE_ENTRY[0x8]

_LDR_DATA_TABLE_ENTRY 结构体

结构如下:

typedef struct _LDR_DATA_TABLE_ENTRY

{

	LIST_ENTRY64	InLoadOrderLinks;           // 0x0

	LIST_ENTRY64	InMemoryOrderLinks;         // 0x8

	LIST_ENTRY64	InInitializationOrderLinks; // 0x10

	PVOID			DllBase;            // 0x18

	PVOID			EntryPoint;         // 0x20

	ULONG			SizeOfImage;        // 0x28

	UNICODE_STRING	FullDllName;                // 0x30

	UNICODE_STRING	BaseDllName;

	ULONG			Flags;

	USHORT			LoadCount;

	USHORT			TlsIndex;

	PVOID			SectionPointer;

	ULONG			CheckSum;

	PVOID			LoadeImports;

	PVOID			EntryPointActivationContext;

	PVOID			PatchInformation;

	LIST_ENTRY64	ForwarderLinks;

	LIST_ENTRY64	ServiceTagLinks;

	LIST_ENTRY64	StaticLinks;

	PVOID			ContextInformation;

	ULONG			OriginalBase;

	LARGE_INTEGER	LoadTime;

}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENYRY;

X86-64

X86-64X86大同小异,由于我们之后分析的是32位的程序,这里X86-64结构体我就先不介绍,等以后有机会碰到再补充。

Cobaltstrike —— shellcode分析(一)的更多相关文章

  1. CVE-2015-1641 Office类型混淆漏洞及shellcode分析

    作者:枕边月亮 原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析 0x1实验环境:Win7_32位,Office2007 0x2工具:Windbg,OD,火绒剑, ...

  2. 针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析

    本文链接网址:http://blog.csdn.net/qq1084283172/article/details/45690529 一.事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不 ...

  3. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  4. CVE-2014-0322漏洞成因与利用分析

    CVE-2014-0322漏洞成因与利用分析 1. 简介 此漏洞是UAF(Use After Free)类漏洞,即引用了已经释放的内存,对指定内存处的值进行了加1.其特点在于攻击者结合flash实现了 ...

  5. CVE-2010-2883-CoolType.dll缓冲区溢出漏洞分析

    前言 此漏洞是根据泉哥的<漏洞战争>来学习分析的,网上已有大量分析文章在此只是做一个独立的分析记录. 复现环境 操作系统 -> Windows XP Sp3 软件版本 -> A ...

  6. BlackArch-Tools

    BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...

  7. CVE-2013-3346:十全九美的 Adobe Reader ToolButton UAF 漏洞

    0x01 "Epic Turla" 网络间谍行动 在 2014 年 8 月,被誉为 "世界十大最危险的网络攻击行动" 之一的 "Epic Turla& ...

  8. 【逆向篇】分析一段简单的ShellCode——从TEB到函数地址获取

    其实分在逆向篇不太合适,因为并没有逆向什么程序. 在http://www.exploit-db.com/exploits/28996/上看到这么一段最简单的ShellCode,其中的技术也是比较常见的 ...

  9. [原创]CobaltStrike & Metasploit Shellcode一键免杀工具

    CobaltStrike & Metasploit  Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧. 可选. ...

  10. scdbg分析shellcode

    https://isc.sans.edu/forums/diary/Another+quickie+Using+scdbg+to+analyze+shellcode/24058/ scdbg -f s ...

随机推荐

  1. ES6——模块化

    模块化 模块化是指将一个大的程序文件,拆分成许多小的文件,然后将小文件组合起来. 一.浏览器使用ES6模块化方式一 使用script标签,将type属性设置为module,然后在script中书写代码 ...

  2. markdown语法使用

    markdown语法使用 标题系列 ​ 1.警号 ​ 2.快捷键 ​ ctrl + 数字(1~6) 小标题系列 * 文本 无序标题 + 文本 无序标题 数字 文本 有序标题 语言环境 表格制作 表情制 ...

  3. 第四篇:前端之BOM与DOM

    前端基础之BOM和DOM   前戏 到目前为止,我们已经学过了JavaScript的一些简单的语法.但是这些简单的语法,并没有和浏览器有任何交互. 也就是我们还不能制作一些我们经常看到的网页的一些交互 ...

  4. vue 组件之间传值(父传子,子传父)

    1.父传子 基本就用一个方式,props Father.vue(用v-bind(简写 : )  将父组件传的值绑定到子组件上) <template> <div> 我是爸爸:{{ ...

  5. 使用插件式开发称重仪表驱动,RS232串口对接各类地磅秤数据实现ERP管理

    在ERP系统中,采集一线的生产数据是重要工作之一,而称重计量是企业的核心资产数据,人工计重费时费力,还容易出错,重量数据是否正确,直接影响企业的采购或销售额.基于此,由系统对接电子秤实现自动抓取数据是 ...

  6. NET-SynchronizationContext

    title: .NET SynchronizationContext date: 2022-12-06 09:38:53 tags: - .NET 前言 最近在看CAP的源码,经常能看到Configu ...

  7. iOS开发小结 - 通过PUT请求上传数据

    一般服务器上传数据一般都是用POST请求,这样通过AFNetworking的POST请求稳稳的,但是有一天遇到一个问题,服务器上传数据用的是PUT请求,发现用AFNetworking并不是那么好用,今 ...

  8. Linux c 程序自动启动自己

    在程序自动升级的时候需要自己重新启动自己 #include <stdio.h> #include <stdlib.h> #include <unistd.h> in ...

  9. liunx系统安装JDK环境详细步骤

    Liunx系统安装JDK环境详细步骤 一 下载liunx版本jdk压缩包 进入JDK官方网站下载jdk压缩包.下载前需要登入账户,可以自己注册一个账户! 也可以使用本博主提供的网盘下载https:// ...

  10. Unity_UIWidgets - 组件Scaffold

    UIWidgets - 组件Scaffold 各位兄弟姐妹,想通过Unity来开发UIWidgets的么,想通过UIWi的gets..来开发手机APP么??想么想么,哈哈哈哈哈哈哈哈. 好了,小黑不唠 ...