前言

搞iot搞久了,换个方向看看,改改口味。

windows 常见结构体

在分析Cobaltstrike-shellcode之前我们得先了解一下windows下一些常见的结构体。

X86

Thread Environment Block 环境线程块 —— TEB

位于fs[0]的位置,结构如下:

typedef struct _NT_TEB

{

    NT_TIB Tib;                         // 00h

    PVOID EnvironmentPointer;           // 1Ch

    CLIENT_ID Cid;                      // 20h

    PVOID ActiveRpcInfo;                // 28h

    PVOID ThreadLocalStoragePointer;    // 2Ch

    PPEB Peb;                           // 30h          <--注意这里 Process Environment Block

    ULONG LastErrorValue;               // 34h

    ULONG CountOfOwnedCriticalSections; // 38h

    PVOID CsrClientThread;              // 3Ch

    PVOID Win32ThreadInfo;              // 40h

    ULONG Win32ClientInfo[0x1F];        // 44h

    PVOID WOW32Reserved;                // C0h

    ULONG CurrentLocale;                // C4h

    ULONG FpSoftwareStatusRegister;     // C8h

    PVOID SystemReserved1[0x36];        // CCh

    PVOID Spare1;                       // 1A4h

    LONG ExceptionCode;                 // 1A8h

    ULONG SpareBytes1[0x28];            // 1ACh

    PVOID SystemReserved2[0xA];         // 1D4h

    GDI_TEB_BATCH GdiTebBatch;          // 1FCh

    ...

    PVOID ReservedForOle;               // F80h

    ULONG WaitingOnLoaderLock;          // F84h

    PVOID StackCommit;                  // F88h

    PVOID StackCommitMax;               // F8Ch

    PVOID StackReserve;                 // F90h

    PVOID MessageQueue;                 // ???

}
Process Environment Block 线程信息块 —— PEB

位于TEB[0x30]的位置,结构如下:

typedef struct _PEB

{

    UCHAR InheritedAddressSpace;                     // 00h

    UCHAR ReadImageFileExecOptions;                  // 01h

    UCHAR BeingDebugged;                             // 02h

    UCHAR Spare;                                     // 03h

    PVOID Mutant;                                    // 04h

    PVOID ImageBaseAddress;                          // 08h

    PPEB_LDR_DATA Ldr;                               // 0Ch          <--注意这里 DllList 成员,此成员指向 _PEB_LDR_DATA(进程加载模块链表)

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;  // 10h

    PVOID SubSystemData;                             // 14h

    PVOID ProcessHeap;                               // 18h

    PVOID FastPebLock;                               // 1Ch

    PPEBLOCKROUTINE FastPebLockRoutine;              // 20h

    PPEBLOCKROUTINE FastPebUnlockRoutine;            // 24h

    ULONG EnvironmentUpdateCount;                    // 28h

    PVOID* KernelCallbackTable;                      // 2Ch

    PVOID EventLogSection;                           // 30h

    PVOID EventLog;                                  // 34h

    PPEB_FREE_BLOCK FreeList;                        // 38h

    ULONG TlsExpansionCounter;                       // 3Ch

    PVOID TlsBitmap;                                 // 40h

    ULONG TlsBitmapBits[0x2];                        // 44h

    PVOID ReadOnlySharedMemoryBase;                  // 4Ch

    PVOID ReadOnlySharedMemoryHeap;                  // 50h

    PVOID* ReadOnlyStaticServerData;                 // 54h

    PVOID AnsiCodePageData;                          // 58h

    PVOID OemCodePageData;                           // 5Ch

    PVOID UnicodeCaseTableData;                      // 60h

    ULONG NumberOfProcessors;                        // 64h

    ULONG NtGlobalFlag;                              // 68h

    UCHAR Spare2[0x4];                               // 6Ch

    LARGE_INTEGER CriticalSectionTimeout;            // 70h

    ULONG HeapSegmentReserve;                        // 78h

    ULONG HeapSegmentCommit;                         // 7Ch

    ULONG HeapDeCommitTotalFreeThreshold;            // 80h

    ULONG HeapDeCommitFreeBlockThreshold;            // 84h

    ULONG NumberOfHeaps;                             // 88h

    ULONG MaximumNumberOfHeaps;                      // 8Ch

    PVOID** ProcessHeaps;                            // 90h

    PVOID GdiSharedHandleTable;                      // 94h

    PVOID ProcessStarterHelper;                      // 98h

    PVOID GdiDCAttributeList;                        // 9Ch

    PVOID LoaderLock;                                // A0h

    ULONG OSMajorVersion;                            // A4h

    ULONG OSMinorVersion;                            // A8h

    ULONG OSBuildNumber;                             // ACh

    ULONG OSPlatformId;                              // B0h

    ULONG ImageSubSystem;                            // B4h

    ULONG ImageSubSystemMajorVersion;                // B8h

    ULONG ImageSubSystemMinorVersion;                // C0h

    ULONG GdiHandleBuffer[0x22];                     // C4h

    PVOID ProcessWindowStation;                      // ???

}
_PEB_LDR_DATA 结构体

位于PEB[0xc]的位置,结构如下:

typedef struct _PEB_LDR_DATA

{

 ULONG Length;                                // +0x00

 BOOLEAN Initialized;                         // +0x04

 PVOID SsHandle;                              // +0x08

 LIST_ENTRY InLoadOrderModuleList;            // +0x0c 模块加载顺序

 LIST_ENTRY InMemoryOrderModuleList;          // +0x14 模块在内存中的顺序

 LIST_ENTRY InInitializationOrderModuleList;  // +0x1c 模块初始化时的顺序

} PEB_LDR_DATA,*PPEB_LDR_DATA;                 // +0x24

_LIST_ENTRY 结构体如下

typedef struct _LIST_ENTRY {

 struct _LIST_ENTRY *Flink;

 struct _LIST_ENTRY *Blink;

} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;

三个双向链表(LIST_ENTRY)分别指向_LDR_DATA_TABLE_ENTRY结构体(但并不是都指向开始位置)。如InMemoryOrderList对应第一个模块的结构体,指向_LDR_DATA_TABLE_ENTRY[0x8]

_LDR_DATA_TABLE_ENTRY 结构体

结构如下:

typedef struct _LDR_DATA_TABLE_ENTRY

{

	LIST_ENTRY64	InLoadOrderLinks;           // 0x0

	LIST_ENTRY64	InMemoryOrderLinks;         // 0x8

	LIST_ENTRY64	InInitializationOrderLinks; // 0x10

	PVOID			DllBase;            // 0x18

	PVOID			EntryPoint;         // 0x20

	ULONG			SizeOfImage;        // 0x28

	UNICODE_STRING	FullDllName;                // 0x30

	UNICODE_STRING	BaseDllName;

	ULONG			Flags;

	USHORT			LoadCount;

	USHORT			TlsIndex;

	PVOID			SectionPointer;

	ULONG			CheckSum;

	PVOID			LoadeImports;

	PVOID			EntryPointActivationContext;

	PVOID			PatchInformation;

	LIST_ENTRY64	ForwarderLinks;

	LIST_ENTRY64	ServiceTagLinks;

	LIST_ENTRY64	StaticLinks;

	PVOID			ContextInformation;

	ULONG			OriginalBase;

	LARGE_INTEGER	LoadTime;

}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENYRY;

X86-64

X86-64X86大同小异,由于我们之后分析的是32位的程序,这里X86-64结构体我就先不介绍,等以后有机会碰到再补充。

Cobaltstrike —— shellcode分析(一)的更多相关文章

  1. CVE-2015-1641 Office类型混淆漏洞及shellcode分析

    作者:枕边月亮 原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析 0x1实验环境:Win7_32位,Office2007 0x2工具:Windbg,OD,火绒剑, ...

  2. 针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析

    本文链接网址:http://blog.csdn.net/qq1084283172/article/details/45690529 一.事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不 ...

  3. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  4. CVE-2014-0322漏洞成因与利用分析

    CVE-2014-0322漏洞成因与利用分析 1. 简介 此漏洞是UAF(Use After Free)类漏洞,即引用了已经释放的内存,对指定内存处的值进行了加1.其特点在于攻击者结合flash实现了 ...

  5. CVE-2010-2883-CoolType.dll缓冲区溢出漏洞分析

    前言 此漏洞是根据泉哥的<漏洞战争>来学习分析的,网上已有大量分析文章在此只是做一个独立的分析记录. 复现环境 操作系统 -> Windows XP Sp3 软件版本 -> A ...

  6. BlackArch-Tools

    BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...

  7. CVE-2013-3346:十全九美的 Adobe Reader ToolButton UAF 漏洞

    0x01 "Epic Turla" 网络间谍行动 在 2014 年 8 月,被誉为 "世界十大最危险的网络攻击行动" 之一的 "Epic Turla& ...

  8. 【逆向篇】分析一段简单的ShellCode——从TEB到函数地址获取

    其实分在逆向篇不太合适,因为并没有逆向什么程序. 在http://www.exploit-db.com/exploits/28996/上看到这么一段最简单的ShellCode,其中的技术也是比较常见的 ...

  9. [原创]CobaltStrike & Metasploit Shellcode一键免杀工具

    CobaltStrike & Metasploit  Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧. 可选. ...

  10. scdbg分析shellcode

    https://isc.sans.edu/forums/diary/Another+quickie+Using+scdbg+to+analyze+shellcode/24058/ scdbg -f s ...

随机推荐

  1. 【每日一题】【将cur的next尾插到pre后面,尾插k-1次】25. K 个一组翻转链表-211115&220120

    给你一个链表,每 k 个节点一组进行翻转,请你返回翻转后的链表. k 是一个正整数,它的值小于或等于链表的长度. 如果节点总数不是 k 的整数倍,那么请将最后剩余的节点保持原有顺序. 进阶: 你可以设 ...

  2. 《MySQL必知必会》之快速入门游标和触发器

    第二十四章 使用游标 本章将介绍什么是游标以及如何使用游标 游标 之前的select语句检索出来的数据,没有办法得到第一行或者下一行 有时,需要在检索出来的行中前进或后退一行或多行.这就是使用游标的原 ...

  3. npm设置

    1.默认安装完node.js后会自己安装npm,通过npm下载全局模块默认安装到C:\Users\wangyc\AppData\Roaming目录下,主要有两个文件夹:npm.npm-cache 2. ...

  4. PyTorch复现AlexNet学习笔记

    PyTorch复现AlexNet学习笔记 一篇简单的学习笔记,实现五类花分类 这里只介绍复现的工作,如果想了解更多有关网络的细节,请去看论文<ImageNet Classification wi ...

  5. java逻辑运算中异或^

    本文主要阐明逻辑运算符^(异或)的作用 a ^ b,相异为真,相同为假. 注意,异或运算,还能交换两个变量. int a = 1; int b = 2; System.out.println(&quo ...

  6. Qt大型工程开发技术选型Part3:Qt调用C#编写的COM组件实例

    Qt大型工程开发技术选型Part3:Qt调用C#编写的COM组件实例以及错误总结 ok,前面铺垫了那么多,现在来写一个开发实例,我会把其中隐藏的坑和陷阱简单谈谈,并在文章最后总结. 不愿意看长篇大论的 ...

  7. C语言读写txt文件

    写入和读取txt文件 #include<stdio.h> #include<string.h> int main( int argc, char *argv[] ) { int ...

  8. 用友开发者中心全新升级,YonBuilder移动开发入门指南

    听说用友新上线了全新的开发者中心,有YonBuilder应用开发,集成开发.数据开发.智能与自动化.DevOps 等板块,本人作为用户老客户,对其中的移动开发比较感兴趣,本文重点讲解其中的移动开发平台 ...

  9. bbs项目(部分讲解)

    文章评论业务完善 提交评论 评论框里面的内容会清空 然后页面会有一个临时评论样式出现 页面刷新才会出现评论楼样式 研究子评论特性 每个评论右侧都应该有回复按钮 点击就可以填写子评论 点击回复按钮具体动 ...

  10. 微软拼音长句模式恢复工具支持Win10 1803

    4月份就有人留言旧微软拼音恢复工具不支持Win10 1803了,我自己也遇到了,但因为没时间搞,勉为其难使用了词组模式的微软拼音几个月,终于在八月份抽个空研究了下,解决了. 这次是因为傻逼大微软改了 ...