前言

搞iot搞久了,换个方向看看,改改口味。

windows 常见结构体

在分析Cobaltstrike-shellcode之前我们得先了解一下windows下一些常见的结构体。

X86

Thread Environment Block 环境线程块 —— TEB

位于fs[0]的位置,结构如下:

typedef struct _NT_TEB

{

    NT_TIB Tib;                         // 00h

    PVOID EnvironmentPointer;           // 1Ch

    CLIENT_ID Cid;                      // 20h

    PVOID ActiveRpcInfo;                // 28h

    PVOID ThreadLocalStoragePointer;    // 2Ch

    PPEB Peb;                           // 30h          <--注意这里 Process Environment Block

    ULONG LastErrorValue;               // 34h

    ULONG CountOfOwnedCriticalSections; // 38h

    PVOID CsrClientThread;              // 3Ch

    PVOID Win32ThreadInfo;              // 40h

    ULONG Win32ClientInfo[0x1F];        // 44h

    PVOID WOW32Reserved;                // C0h

    ULONG CurrentLocale;                // C4h

    ULONG FpSoftwareStatusRegister;     // C8h

    PVOID SystemReserved1[0x36];        // CCh

    PVOID Spare1;                       // 1A4h

    LONG ExceptionCode;                 // 1A8h

    ULONG SpareBytes1[0x28];            // 1ACh

    PVOID SystemReserved2[0xA];         // 1D4h

    GDI_TEB_BATCH GdiTebBatch;          // 1FCh

    ...

    PVOID ReservedForOle;               // F80h

    ULONG WaitingOnLoaderLock;          // F84h

    PVOID StackCommit;                  // F88h

    PVOID StackCommitMax;               // F8Ch

    PVOID StackReserve;                 // F90h

    PVOID MessageQueue;                 // ???

}
Process Environment Block 线程信息块 —— PEB

位于TEB[0x30]的位置,结构如下:

typedef struct _PEB

{

    UCHAR InheritedAddressSpace;                     // 00h

    UCHAR ReadImageFileExecOptions;                  // 01h

    UCHAR BeingDebugged;                             // 02h

    UCHAR Spare;                                     // 03h

    PVOID Mutant;                                    // 04h

    PVOID ImageBaseAddress;                          // 08h

    PPEB_LDR_DATA Ldr;                               // 0Ch          <--注意这里 DllList 成员,此成员指向 _PEB_LDR_DATA(进程加载模块链表)

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;  // 10h

    PVOID SubSystemData;                             // 14h

    PVOID ProcessHeap;                               // 18h

    PVOID FastPebLock;                               // 1Ch

    PPEBLOCKROUTINE FastPebLockRoutine;              // 20h

    PPEBLOCKROUTINE FastPebUnlockRoutine;            // 24h

    ULONG EnvironmentUpdateCount;                    // 28h

    PVOID* KernelCallbackTable;                      // 2Ch

    PVOID EventLogSection;                           // 30h

    PVOID EventLog;                                  // 34h

    PPEB_FREE_BLOCK FreeList;                        // 38h

    ULONG TlsExpansionCounter;                       // 3Ch

    PVOID TlsBitmap;                                 // 40h

    ULONG TlsBitmapBits[0x2];                        // 44h

    PVOID ReadOnlySharedMemoryBase;                  // 4Ch

    PVOID ReadOnlySharedMemoryHeap;                  // 50h

    PVOID* ReadOnlyStaticServerData;                 // 54h

    PVOID AnsiCodePageData;                          // 58h

    PVOID OemCodePageData;                           // 5Ch

    PVOID UnicodeCaseTableData;                      // 60h

    ULONG NumberOfProcessors;                        // 64h

    ULONG NtGlobalFlag;                              // 68h

    UCHAR Spare2[0x4];                               // 6Ch

    LARGE_INTEGER CriticalSectionTimeout;            // 70h

    ULONG HeapSegmentReserve;                        // 78h

    ULONG HeapSegmentCommit;                         // 7Ch

    ULONG HeapDeCommitTotalFreeThreshold;            // 80h

    ULONG HeapDeCommitFreeBlockThreshold;            // 84h

    ULONG NumberOfHeaps;                             // 88h

    ULONG MaximumNumberOfHeaps;                      // 8Ch

    PVOID** ProcessHeaps;                            // 90h

    PVOID GdiSharedHandleTable;                      // 94h

    PVOID ProcessStarterHelper;                      // 98h

    PVOID GdiDCAttributeList;                        // 9Ch

    PVOID LoaderLock;                                // A0h

    ULONG OSMajorVersion;                            // A4h

    ULONG OSMinorVersion;                            // A8h

    ULONG OSBuildNumber;                             // ACh

    ULONG OSPlatformId;                              // B0h

    ULONG ImageSubSystem;                            // B4h

    ULONG ImageSubSystemMajorVersion;                // B8h

    ULONG ImageSubSystemMinorVersion;                // C0h

    ULONG GdiHandleBuffer[0x22];                     // C4h

    PVOID ProcessWindowStation;                      // ???

}
_PEB_LDR_DATA 结构体

位于PEB[0xc]的位置,结构如下:

typedef struct _PEB_LDR_DATA

{

 ULONG Length;                                // +0x00

 BOOLEAN Initialized;                         // +0x04

 PVOID SsHandle;                              // +0x08

 LIST_ENTRY InLoadOrderModuleList;            // +0x0c 模块加载顺序

 LIST_ENTRY InMemoryOrderModuleList;          // +0x14 模块在内存中的顺序

 LIST_ENTRY InInitializationOrderModuleList;  // +0x1c 模块初始化时的顺序

} PEB_LDR_DATA,*PPEB_LDR_DATA;                 // +0x24

_LIST_ENTRY 结构体如下

typedef struct _LIST_ENTRY {

 struct _LIST_ENTRY *Flink;

 struct _LIST_ENTRY *Blink;

} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;

三个双向链表(LIST_ENTRY)分别指向_LDR_DATA_TABLE_ENTRY结构体(但并不是都指向开始位置)。如InMemoryOrderList对应第一个模块的结构体,指向_LDR_DATA_TABLE_ENTRY[0x8]

_LDR_DATA_TABLE_ENTRY 结构体

结构如下:

typedef struct _LDR_DATA_TABLE_ENTRY

{

	LIST_ENTRY64	InLoadOrderLinks;           // 0x0

	LIST_ENTRY64	InMemoryOrderLinks;         // 0x8

	LIST_ENTRY64	InInitializationOrderLinks; // 0x10

	PVOID			DllBase;            // 0x18

	PVOID			EntryPoint;         // 0x20

	ULONG			SizeOfImage;        // 0x28

	UNICODE_STRING	FullDllName;                // 0x30

	UNICODE_STRING	BaseDllName;

	ULONG			Flags;

	USHORT			LoadCount;

	USHORT			TlsIndex;

	PVOID			SectionPointer;

	ULONG			CheckSum;

	PVOID			LoadeImports;

	PVOID			EntryPointActivationContext;

	PVOID			PatchInformation;

	LIST_ENTRY64	ForwarderLinks;

	LIST_ENTRY64	ServiceTagLinks;

	LIST_ENTRY64	StaticLinks;

	PVOID			ContextInformation;

	ULONG			OriginalBase;

	LARGE_INTEGER	LoadTime;

}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENYRY;

X86-64

X86-64X86大同小异,由于我们之后分析的是32位的程序,这里X86-64结构体我就先不介绍,等以后有机会碰到再补充。

Cobaltstrike —— shellcode分析(一)的更多相关文章

  1. CVE-2015-1641 Office类型混淆漏洞及shellcode分析

    作者:枕边月亮 原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析 0x1实验环境:Win7_32位,Office2007 0x2工具:Windbg,OD,火绒剑, ...

  2. 针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析

    本文链接网址:http://blog.csdn.net/qq1084283172/article/details/45690529 一.事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不 ...

  3. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  4. CVE-2014-0322漏洞成因与利用分析

    CVE-2014-0322漏洞成因与利用分析 1. 简介 此漏洞是UAF(Use After Free)类漏洞,即引用了已经释放的内存,对指定内存处的值进行了加1.其特点在于攻击者结合flash实现了 ...

  5. CVE-2010-2883-CoolType.dll缓冲区溢出漏洞分析

    前言 此漏洞是根据泉哥的<漏洞战争>来学习分析的,网上已有大量分析文章在此只是做一个独立的分析记录. 复现环境 操作系统 -> Windows XP Sp3 软件版本 -> A ...

  6. BlackArch-Tools

    BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...

  7. CVE-2013-3346:十全九美的 Adobe Reader ToolButton UAF 漏洞

    0x01 "Epic Turla" 网络间谍行动 在 2014 年 8 月,被誉为 "世界十大最危险的网络攻击行动" 之一的 "Epic Turla& ...

  8. 【逆向篇】分析一段简单的ShellCode——从TEB到函数地址获取

    其实分在逆向篇不太合适,因为并没有逆向什么程序. 在http://www.exploit-db.com/exploits/28996/上看到这么一段最简单的ShellCode,其中的技术也是比较常见的 ...

  9. [原创]CobaltStrike & Metasploit Shellcode一键免杀工具

    CobaltStrike & Metasploit  Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧. 可选. ...

  10. scdbg分析shellcode

    https://isc.sans.edu/forums/diary/Another+quickie+Using+scdbg+to+analyze+shellcode/24058/ scdbg -f s ...

随机推荐

  1. WEB入门——爆破21-28

    WEB21 首先尝试网站后台常见登陆的弱口令,发现错误   则使用burp suite抓包试试看 通过分析,在未填入账号密码时,响应头如下所示: 填入弱口令账号密码,发现响应头如下: 则对应可知账号密 ...

  2. 基于 RocketMQ 的 Dubbo-go 通信新范式

    本文作者:郝洪范 ,Dubbo-go Committer,京东资深研发工程师. 一.MQ Request Reply特性介绍 什么是 RPC 通信? 如上图所示,类似于本地调用,A 服务响应调用 B ...

  3. 【SQL基础】【记住重命名】高级查询:聚合函数(四舍五入)、分组过滤、排序、

    〇.概述 1.功能概述 高级查询:聚合函数(四舍五入).分组过滤.排序. 2.建表语句 drop table if exists user_profile; CREATE TABLE `user_pr ...

  4. python爬虫爬取网易云音乐(超详细教程,附源码)

    一. 前言 先说结论,目前无法下载无损音乐,也无法下载vip音乐. 此代码模拟web网页js加密的过程,向api接口发送参数并获取数据,仅供参考学习,如果需要下载网易云音乐,不如直接在客户端下载,客户 ...

  5. 为文本框控件添加滚动条-CEdit

    在VS2015环境下操作 创建文本框控件 设置控件属性 效果

  6. ORM常用字段与参数(自定义字段)

    目录 一:orm中常用字段及参数 1.说明 2.自定义字段使用 3.ORM字段参数 一:orm中常用字段及参数 1.说明 id字段是自动添加的,如果你想要指定自定义主键,只需在其中一个字段中指定pri ...

  7. 学习ASP.NET Core Blazor编程系列十七——文件上传(上)

    学习ASP.NET Core Blazor编程系列文章之目录 学习ASP.NET Core Blazor编程系列一--综述 学习ASP.NET Core Blazor编程系列二--第一个Blazor应 ...

  8. elementui中 table表格 合并表头

    需要实现的效果如图,表格头部合并成一排. 因为总共是4列,所以colSpan =4表示合并4列 头部给个高度,居中一下就ok啦

  9. TKE 注册节点,IDC 轻量云原生上云的最佳路径

    林顺利,腾讯云原生产品经理,负责分布式云产品迭代和注册节点客户扩展,专注于云原生混合云新形态的推广实践. 背景 企业在持续业务运维过程中,感受到腾讯云 TKE 带来的便捷性和极致的使用体验,将新业务的 ...

  10. [机器学习] sklearn聚类

    聚类(Clustering)简单来说就是一种分组方法,将一类事物中具有相似性的个体分为一类,将另一部分比较相近的个体分为另一类.例如人和猿都是灵长目动物,但是根据染色体数目不同可以将人和猿分类不同的两 ...