[原创] Windows .lib 文件后门注入

2天前 1816

lib文件在windows下有两种形式出现，第一种就是普通的静态库，第二种是作为dll的导入库。

接下来我来分享一下如何在这两种lib文件中注入后门代码，使程序编译后生成的exe在运行时候自动

执行我们后门，并且不影响正常lib的功能。

首先大致说一下lib的文件格式，用压缩文件可以打开lib文件，里面可以看到许多的obj文件(几个cpp就有几个obj)。

lib实际上就是一堆Obj文件打包在了一起，当然还有一些额外的信息，这个之后再说。

只要我们把我们的后门程序backdoor.lib 和 正常的lib合并到一起，这样我们的后门代码就有机会被执行。

但是这样做还有几个问题

1. 包含后门代码的Obj文件在生成exe的过程中会被链接吗？

如果obj中有符号被引用的话，这个obj才会被链接。否则不会。

2. 如果obj被链接进去 ，怎么做才能使程序启动时自动执行我们的代码。

在我们的后门代码中写一个全局对象，利用全局对象的构造函数，使它在main等函数之前自动执行。

现在我们要解决的问题是，想办法使程序链接我们的后门代码的obj。

首先来了解一下obj文件格式

这里我们只分析这种的coff格式，在研究的过程中还发现了另一种 Microsoft CLI ByteCode 的obj文件，我们这里不讨论。(vs编译时候选择链接时生成代码，最后生成的lib文件中包含的obj就是这种)

COFF格式总览:

这个相比于PE格式还是简单了很多。我们可以使用CoffViewer这个工具来查看obj文件:

我们可以在原本的lib文件中的每一个obj文件中加入一段代码，在这段代码中引用后门代码中的函数。这样程序在编译的时候，在处理正常的obj文件时发现引用了一个外部符号，最终在包含后门代码的obj文件中找到了，这样这个obj就会被链接进程序。

虽然obj文件格式不算复杂，但是相比于上面这种方法还有一种更简单的方法，就是直接在SymbolTable 里面加入一个外部符号即可，(这个外部符号的定义需要在我们的后门代码中)。

笔者在实验的过程中发现，只要添加一个外部符号，不论有没有使用到这个符号，都无法通过编译。

所以我们现在的目标就是在符号表里面添加一项。

相关的数据结构:

我们可以通过FileHeader找到符号表的位置，然后在符号表的后面 与 字符串表之前再插入一项。

注意:

1. FileHeader里面的NumberOfSymbols 包含了numberOfAuxSymbols.
2. 字符串表 = FileHeader→numberOfSymbols * sizeof(SYMBOL) + FileHeader→pointerToSymbolTable
3. 一个auxSymbol和SYMBOL大小相同，都是18个字节。

先从原本的lib中提取出obj文件，然后在修改了obj之后，重新打包为lib (利用lib程序)。这时候编译就无法通过了，会提示链接时找不到符号。这时候把包含后门代码的obj也打包到这个lib里面，就能通过编译了，而且包含后门的obj文件也会被链接进去。

前文提到lib有两种，一种是普通的lib文件，一种是dll的导入库。网上都是这么说的。

然而在研究的过程中，笔者发现这两种lib根本没有啥区别，只不过dll导入库里面的obj文件不包含代码段。而且dll的导入库里面还包含了一些其他的数据(也是COFF文件，但不是本文提到的Intel 80386 COFF object file)。

既然里面也包含obj文件，那么上文的方法能否也同样适用于这种lib文件，答案是可以的。

但是我们无法将该lib文件里面的数据用lib解压出来重新打包，因为lib程序只能打包obj文件。

有一种办法就是，手动解析lib文件，遍历其成员，如果是intel 80386 COFF Object File，我们就在它的符号表里面加一项。

lib文件格式分析:

lib文件格式还是很简单的，下面笔者带大家分析一下lib的格式

lib格式总览

1. 8个字节的magic "!<arch>\n”

2. 后面跟着许多的members

   1. 每一个member的开头是一个header:

      1 2 3 4 5 6 7 8 9

      struct ar_hdr {  char ar_name[16];  char ar_date[12];  char ar_uid[6];  char ar_gid[6];  char ar_mode[8];  char ar_size[10];  char ar_fmag[2]; };

      都是字符串形式，但是要注意的是这些字符串未使用的部分不是字节’\x00’，而是空格符。

      其中的ar_size指出和后面跟着的数大小，如果这个数是个奇数，后面的数据对齐到偶数，以’\x0a’ 去补齐。

      b. 之后跟着的就是文件数据

Member分析:

每一个成员开头都有一个这样的header:

ar_name以字符’/’ 开头，接着跟着是文件的名称。

如果ar_name 为’//’ 的话，这意味着这是一个目录信息，它后面的数据信息中包含了该目录下所有的文件的名称 。(它的数据区是一个字符串表)

假设数据区包含了N条路径信息。 那么之后的N个Members是具体的文件，并且每一个Member的name都是’/’ + 文件名称在字符串表中的偏移

大部分的Member都是用来描述lib内包含的obj文件，但是lib的前两个Member是比较特殊的。经过对比多个lib文件后，笔者终于猜测出前两个Member数据区的格式:

第一个Member:

1. ar_name 为 ‘/’
2. 数据区的格式:

1. 字符串表，包含NumberOfSymbols个字符串。

第二个Member:

1. ar_name为 ‘/’
2. 数据区的格式:

1. 字符串表，包含NumberOfSymbols个字符串。

好了，在知道了lib文件格式之后，我们可以随便修改里面的包含的obj文件了。在修改了lib之后，再利用lib程序将正常的lib和包含后门代码的静态库链接到一起就可以了。

这里就不详细说明具体做法了。

前文dll导入库的注入方法中是通过手动修改lib文件，这种方法也是适用于一般的lib导入库的。

在手动修改lib文件之后，然后利用lib程序将正常的lib文件 与我们的后门程序打包到一起。这样就成功的将后门注入到lib中了。

笔者在实验过程中还发现了一些问题:

1. c++代码有二进制兼容性问题，不同版本的编译器生成的lib文件无法使用。如果我们的后门程序是C++实现的话，如果用户在编译时候使用了被注入后门的lib文件， 这会导致用户在编译时候无法正常通过。所以我们的后门程序最好是用c语言去实现。

2. 如果是使用c语言的话，现在又出现了一个问题，如何在mian之前执行我们的后门代码？在gcc里面是有arrtibute属性的，但是msvc里面恐怕不行。这里笔者提供两种方法 (来源于网络):

   1. C语言

b. C++

注意如果是C语言的话,func格式返回0代表成功，非0代表失败，这回导致程序退出。

dll文件:

编译之后生成两个文件: TestDll.dll和TestDll.lib

用压缩软件看一下 TestDll.lib

实际上有四个文件，里面的txt是前文提到的前两个Member

我们使用CoffViewer查看一下第一个TestDll.dll文件

(可以思考一下为什么符号表是这些东西)

接着修改这个TestDll.lib，可以看到，写进去三个外部符号

看一下TestDll2.lib:

看起来是没啥区别的，提取出第一个TestDll.dll来看一下:

这时候已经多了一个符号了。

vs编译一下看看效果:

现在当然不会通过编译，因为这个符号是定义在我们的后门代码里面的。

利用lib程序把后门和正常的lib文件打包到一起:

重新编译运行，可以看到后门程序上线:

参考博客：

COFF文件格式 - 拖鞋搭袜 - 博客园 (cnblogs.com)

CTF训练营-Web篇