Shellcode编程小技巧

工作需要，需要注入其他程序监控一些东西，检测到的数据通过WM_COPY 消息发送给显示窗体。（大体是这样的还没定稿）

##1 选择一个框架 ##

tombkeeper/Shellcode_Template_in_C

mattifestation/PIC_Bindshell

框架选择上，我选择了第一个，妇科圣手tomkeeper提供的框架，对比发现这个比较简单。

##2 搭建框架 ##

我使用的是vs10,(vs15我试了下各种错误 ，可能是自己笨吧，用管了vs10了）

- 新建个解决方案（名字看自己喜好）

- 解决方案上新添个空的 win32console 工程

- 再在工程上新建个 xxxx.c的文件，把tomkeeper工程中的shellcode.c的内容复制过来

- 编译试试吧

- 其他的2个工具文件代码，分别是生成字符串用的工具（str2intarr.c） 和 生成函数hash宏定义的 gethash.c （方法同上）

- 我自己定义了个字符串生成的增强版（如下，我这个是cpp文件，和上面的有所不同）,根据 第2个参数 <a/w> 将字符串转为多字节字符串和宽字节字符串。

#include <Windows.h>

int _tmain(int argc, char* argv[])
{
    if (argc < 2)
    {
        printf("Use %s <a/w> <string> \n",argv[0]);
    }else
    {
        printf("DWORD str[] = {\n\t");

        if (argv[1][0] == ‘a‘)
        {
            int strLen = strlen(argv[2]);
            strLen = (strLen /4 +1)*4;
            int n = strLen /4 ;
            DWORD* pArry = (DWORD*)malloc(strLen);
            ZeroMemory(pArry,strLen);
            memcpy(pArry,argv[2],strlen(argv[2]));

            for (int i=0;i<n;i++ )
            {

                printf("0x%08x",*(pArry+i));
                if (i != n-1)
                {
                    printf(", ");
                }
                if (i && i%9 ==8)
                {
                    printf("\n\t");
                }
            }

        }else
        {
            int strLen = strlen(argv[2]);
            int nAlloc = strLen*2+4;
            DWORD* pWchar = (DWORD*)malloc(nAlloc);
            ZeroMemory(pWchar,nAlloc);
            MultiByteToWideChar(GetACP(),NULL,argv[2],strLen,(WCHAR*)pWchar,strLen);
            int n = (strLen/2+1);
            for (int i=0;i< n;i++)
            {
                printf("0x%08x",*(pWchar+i));
                if (i != n-1)
                {
                    printf(", ");
                }
                if (i && i%9 ==8)
                {
                    printf("\n\t");
                }
            }

        }
        printf("\n};");
        //getchar();
    }
    return 0;
}

##3 编译选项的设置  ##

编译选项的设置直接关系到shellcode大小的准确计算，代码的排列顺序，以及代码的精简程度，还有 GS。。。 是否被添加。

- 设置为release模式，我就不多说了，大家都会

- 去掉Gs 选项，如果不去掉shellcode()中会有gs检测函数的插入，这是我们不想要的。

- opt, 调试时我选择 disable, 发布时我使用 minsize （体积小些）。disable代码顺序是一样的就是多了不少int3 (cc)。

- linker 下的debuging ：generate Debug info 我设置为YES。便于调试，对shellcode无影响

##4 测试shellcode的正确性 ##

tomkeeper的工程能将shellcode以c数组的形式输出出来，我增加了个函数可以将 shellcode dump到2进制文件中。

- 利用c数组， char shellcode[] = {0xb8,....}; __asm{ call shellcode} ,这样的话要注意将 工程的NX关闭（数据执行保护DEP) ，不会的自行补脑

- 第2种将 dump出的文件读入到申请的可读可写可执行的内存中，然后 __asm { call lpMem} .(我用的这种办法，不用每次进行复制黏贴，编译，执行)

##5 小技巧 （排错、编程 经验） ##

- 不要用 *1.02 这种浮点算法，会死在这种命令上，那个2B2040绝对会出错

000300B3 DF6D D8 FILD QWORD PTR SS:[EBP-28]
000300B6 DC0D 40202B00 FMUL QWORD PTR DS:[2B2040]
000300BC D97D D6 FSTCW WORD PTR SS:[EBP-2A]

- 如何在shellcode后面追加上 配置信息便于测试呢

shellcode会带着些配置信息很长见的。 一般这些都是后期用工具合并上去的。

对于我们调试每次都去追加修改太麻烦了。所以要用到 #define NAKED __declspec(naked) 和 __asm{ __emit 0xbb }

__emit 可以使数据以代码的形式写入到代码段，也就是shellcode中。记得和 DWORD str[] = {0xabcdef,0xbaddef..}这种技术分开。这样就实现了任意数据的存入

NAKED 进制优化：当我们使用minsize选项的时候，这些代码可能就被优化掉，我试过了，所以才用到了NAKED,注意函数必须有 参数，声明不用实现用。

最后：在永远不会调用到的地方调用下，要不编译器一定会给你省略掉

void  StoreConfigData(DWORD dwVoid);

NAKED void  StoreConfigData(DWORD dwVoid)
{ 

__asm{
__emit 0xff
__emit 0xfe
__emit 0xff

.}

- 函数重定位

我们的shellcode都是经过 call联系出来的，在调用的时候编译器已经算好了偏移，所以不存在重定位的问题，但是，向createthread这种将传入函数地址作为参数的函数就会出先这种问题；

解决的办法就是要动态计算地址。

//记得-8
DWORD GetEip()
{
    __asm{
        call get_eip
get_eip:
        pop eax
    }
}
void WINAPI AdjustFunction(struct ADJUSTFUNCTIONS* pFuns)
{
    DWORD dwGetEip;

    dwGetEip = GetEip();
    dwGetEip -= 8;　　　　//计算得到 GetEip()函数在内存中的地址

    pFuns->lpThreadProc = (DWORD)dwGetEip+( (DWORD)ThreadProc- (DWORD)GetEip ); // 以GetEip()函数做参考动态计算出其他 函数的地址
}// 调用的时候这样写hThread = modules.kernel32.CreateThread(NULL,0,adjustFuns.lpThreadProc,&param,0,NULL);

ps:shellcode真省地方，写了这么多代码还没2K呢。