Download to read offline
![IATの解決前
IMAGE_IMPORT_DESCRIPTOR
OriginalFirstThunk
TimeDateStamp
ForwarderChain
Name
FirstThunk
kernel32.dll
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(INT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(IAT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
0x1, AcquireSRWLockExclusive
...
0x65D, uaw_wcsrchr](https://image.slidesharecdn.com/3ixkgpdrrso6p9hp0um7-signature-e75a03c87931600bad49a76015c48dae04e4faee60af572dcc6780e138e2e37a-poli-200125135909/85/Loading-dl-lfrommemory-12-320.jpg)
![IATの解決後
IMAGE_IMPORT_DESCRIPTOR
OriginalFirstThunk
TimeDateStamp
ForwarderChain
Name
FirstThunk
kernel32.dll
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(INT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(IAT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
0x1, AcquireSRWLockExclusive
...
0x65D, uaw_wcsrchr
0x7ff9ba0e0000
...
0x7ff9be539000](https://image.slidesharecdn.com/3ixkgpdrrso6p9hp0um7-signature-e75a03c87931600bad49a76015c48dae04e4faee60af572dcc6780e138e2e37a-poli-200125135909/85/Loading-dl-lfrommemory-13-320.jpg)
Loading dl lfrommemory
- 1. メモリからDLLを読み込んでみる 2020 年 1月 22 日 @ry0kvn
- 2. About Me セキュリティキャンプ2019受講生 CODE BLUE2019学生スタッフ Twitter@ry0kvn りょーくん
- 3.
- 4. メモリからDLLを読み込んでみる “DLL(dynamic link library)は通常、WindowsAPIのLoadlibrary関数やLoadlibraryEX 関数を使ってディスク上から読み込んで使用する。 このLoadLibraryやLoadLibraryEx関数は、ファイルシステム上のファイルでのみ機能し 直接メモリからDLLをロードすることはできない。 またこれを端的に実現できる公式のWindows APIも存在しない。 メモリからDLLを読み 込むには疑似的なPEローダーを実装する必要がある。”
- 5. DLLとは? “A dynamic-link library(DLL) is a module that contains functions and data that can be used by another module (application or DLL).” 引用 : Dynamic-Link Libraries (Dynamic-Link Libraries) - Win32 apps
- 6. なぜメモリから読み込む必要があるのか - Game developer 耐解析 -Malware developer 検出回避
- 7. PEファイルフォーマット “Portable Executable(PE)は、主に32ビットおよび64ビット版のMicrosoft Windows上で 使用される実行ファイル(EXE)、オブジェクトファイル、DLL、SYS (デバイスドライバ)、 FON フォントファイル等のファイルフォーマットである。PEフォーマットは実行コードを管 理するためにWindows OSローダが必要とする情報をカプセル化するデータ構造であ る。” 引用 : https://ja.wikipedia.org/wiki/Portable_Executable
- 10. メモリへの展開 On Disk On Memory DOSHeader NT Header ... Section Header Section ... DOS Header NT Header Section Header ... Section ... そのまま配置 ローダーによる調整
- 11.
- 12.
- 13.
- 14. DLLの実行 using DLLEntry =BOOL(WINAPI*)(HINSTANCE dll, DWORD reason, LPVOID reserved); DLLEntry DllEntry = (ntHeaders->OptionalHeader.AddressOfEntryPoint + dllBase); (*DllEntry)(dllBase, DLL_PROCESS_ATTACH, 0);
- 15.
- 16.