SRDI原理剖析与PE2Shellcode实现技术详解<\/h1>

一、RDI与SRDI技术概述<\/h2>

1.1 RDI(反射式DLL注入)技术<\/h3>

RDI(Reflective DLL Injection)是一种无文件落地的高级内存注入技术，其核心流程包括：<\/p>

动态获取基址<\/strong>：通过回溯机制或当前位置+偏移计算基址<\/li>

加载PE文件到内存<\/strong>：

申请RWX权限内存<\/li>
复制PE头到新内存<\/li>
按VirtualAddress字段展开各节到内存<\/li> <\/ul> <\/li>
修复导入表<\/strong>：遍历导入表，获取函数地址填入IAT<\/li>
修复重定位表<\/strong>：修正硬编码的绝对地址<\/li>
调整内存保护属性<\/strong>：根据节属性设置相应权限<\/li>
执行TLS回调<\/strong>：处理DLL_PROCESS_ATTACH回调<\/li>
执行入口点<\/strong>：调用DllMain或main函数<\/li> <\/ol>
1.2 SRDI(Shellcode反射式DLL注入)技术<\/h3>
SRDI是RDI的进化形式，将ReflectLoader转换为位置无关的shellcode，使其能在内存直接执行。关键特性：<\/p>

将RDI置于PE文件头部或尾部形成整体<\/li>
PE文件自带加载器，实现PE2Shellcode功能<\/li>
相比传统RDI具有更高的灵活性和隐蔽性<\/li> <\/ul>
二、SRDI实现原理详解<\/h2>
2.1 加载PE文件到内存(LoadPEIntoMemory64)<\/h3>
; 约定： ; [rbp+8] = 旧DOS头地址(基址) ; [rbp+16] = 新DOS头地址(基址) ; [rbp+24] = 新NT头地址 ; 关键偏移量： ; SizeOfImage: NT头偏移50h ; SizeOfHeaders: NT头偏移54h ; NumberOfSections: NT头偏移6 ; SectionHeader.VirtualAddress: 节头偏移0Ch ; SectionHeader.PointerToRawData: 节头偏移14h ; SectionHeader.SizeOfRawData: 节头偏移10h <\/code><\/pre> 2.2 修复重定位表(FixRelocations)<\/h3> ; 关键数据结构： ; IMAGE_DATA_DIRECTORY (重定位目录) ; IMAGE_BASE_RELOCATION (重定位块) ; 重定位项(16位，高4位类型，低12位偏移) ; 处理流程： 1. 计算基址偏移量：Delta = NewBase - ImageBase 2. 定位重定位目录：NT头偏移0B0h 3. 遍历重定位块： - VirtualAddress=0时终止 4. 处理重定位项： - 类型为IMAGE_REL_BASED_DIR64(10)才处理 - 偏移 = 项值 & 0FFFh - 修正地址 = 基址 + VirtualAddress + 偏移 <\/code><\/pre> 2.3 解析导入表(ParseImportTable)<\/h3> ; 关键偏移量： ; 导入目录: NT头偏移90h ; IMAGE_IMPORT_DESCRIPTOR.Name: 导入描述符偏移0Ch ; OriginalFirstThunk(INT): 导入描述符偏移0 ; FirstThunk(IAT): 导入描述符偏移10h ; 处理流程： 1. 遍历导入描述符数组(全零结构终止) 2. 加载DLL(通过Name字段) 3. 遍历导入函数： - 按序号导入(高位=1): 使用低16位序号 - 按名称导入(高位=0): 使用IMAGE_IMPORT_BY_NAME 4. 将函数地址填入IAT <\/code><\/pre> 2.4 调整内存保护属性(AdjustMemProtect)<\/h3> ; 创新性权限映射方案： 1. 获取节属性Characteristics(节头偏移24h) 2. 保留第30-32位(执行\/读\/写标志) 3. 右移29位得到3位标志组合 4. 通过预定义的ProtectionTable映射到PAGE_*常量 ; ProtectionTable定义： db 00h, 01h, 02h, 03h, 04h, 05h, 06h, 07h ; 对应权限： ; 000b=0 PAGE_NOACCESS ; 001b=1 PAGE_EXECUTE ; 010b=2 PAGE_READONLY ; 011b=3 PAGE_EXECUTE_READ ; 100b=4 PAGE_WRITECOPY ; 101b=5 PAGE_EXECUTE_WRITECOPY ; 110b=6 PAGE_READWRITE ; 111b=7 PAGE_EXECUTE_READWRITE <\/code><\/pre> 2.5 执行TLS回调(ExecuteTLSCallbacks)<\/h3> ; 关键偏移量： ; TLS数据目录: NT头偏移0D0h ; AddressOfCallBacks: TLS目录偏移18h ; 处理流程： 1. 定位TLS数据目录 2. 获取回调函数数组地址 3. 遍历数组执行DLL_PROCESS_ATTACH回调 <\/code><\/pre> 2.6 执行入口点(GoToEntry)<\/h3> ; 关键偏移量： ; Characteristics(文件类型): NT头偏移16h ; AddressOfEntryPoint: NT头偏移28h ; 处理逻辑： 1. 检查文件类型(EXE:010F, DLL:210E) 2. 为DLL入口预留32字节栈空间 3. 调用入口点函数 <\/code><\/pre> 三、SRDI实现方案<\/h2> 3.1 前置式RDI(Front-Style)<\/h3> 特点<\/strong>：<\/p> RDI位于PE文件之前<\/li> 需要引导程序(Bootstrap)<\/li> 支持EXE\/DLL<\/li> <\/ul> 引导程序关键逻辑<\/strong>：<\/p> 保存非易失性寄存器<\/li> 计算DLL位置：当前IP + 固定偏移<\/li> 切换堆栈并预留空间<\/li> 调用ReflectiveLoader<\/li> 恢复寄存器状态<\/li> <\/ol> 注意事项<\/strong>：<\/p> RSP对齐问题(需保持16字节对齐)<\/li> DLL入口需要预留32字节栈空间<\/li> 需正确处理返回地址<\/li> <\/ul> 3.2 后置式RDI(Post-Style)<\/h3> 特点<\/strong>：<\/p> RDI位于PE文件末尾<\/li> 修改DOS头作为stub<\/li> 支持EXE\/DLL<\/li> <\/ul> stub关键逻辑<\/strong>：<\/p> 计算RDI位置(PE文件大小 + 固定偏移)<\/li> 跳转到RDI执行<\/li> 寄存器保护和恢复移到RDI内部<\/li> <\/ol> 优势<\/strong>：<\/p> 可消除部分PE特征<\/li> 不需要单独的引导程序<\/li> <\/ul> 3.3 内嵌式RDI(Embed-Style)<\/h3> 特点<\/strong>：<\/p> RDI作为DLL导出函数<\/li> 必须保留"MZ"签名<\/li> 仅支持DLL<\/li> <\/ul> 关键技术<\/strong>：<\/p> 将"MZ"(4D5A)作为指令(pop r10)<\/li> 导出函数ReflectiveLoader<\/li> RVA到文件偏移转换公式：文件偏移 = PointerToRawData + (RVA - VirtualAddress)<\/code><\/li> <\/ol> 四、关键技术要点总结<\/h2> PE结构掌握<\/strong>：深入理解PE文件各字段偏移量是关键基础<\/li> 内存权限控制<\/strong>：创新的权限位映射方案大幅简化代码<\/li> 位置无关代码<\/strong>：所有地址引用必须相对偏移，不能有绝对地址<\/li> 调用约定遵守<\/strong>：x64调用约定和栈对齐要求必须严格遵守<\/li> 动态API解析<\/strong>：通过hash算法动态获取API地址<\/li> 调试技巧<\/strong>：Windbg动态调试是验证shellcode的关键手段<\/li> <\/ol> 五、附录：关键PE结构偏移表<\/h2> 结构字段<\/th> 偏移量<\/th> <\/tr> <\/thead> IMAGE_DOS_HEADER.e_lfanew<\/td> 3Ch<\/td> <\/tr> IMAGE_OPTIONAL_HEADER64.SizeOfImage<\/td> 50h<\/td> <\/tr> IMAGE_OPTIONAL_HEADER64.SizeOfHeaders<\/td> 54h<\/td> <\/tr> IMAGE_FILE_HEADER.NumberOfSections<\/td> 6<\/td> <\/tr> IMAGE_SECTION_HEADER.VirtualAddress<\/td> 0Ch<\/td> <\/tr> IMAGE_SECTION_HEADER.PointerToRawData<\/td> 14h<\/td> <\/tr> IMAGE_SECTION_HEADER.SizeOfRawData<\/td> 10h<\/td> <\/tr> IMAGE_SECTION_HEADER.Characteristics<\/td> 24h<\/td> <\/tr> 重定位数据目录<\/td> 0B0h<\/td> <\/tr> 导入数据目录<\/td> 90h<\/td> <\/tr> TLS数据目录<\/td> 0D0h<\/td> <\/tr> IMAGE_FILE_HEADER.Characteristics<\/td> 16h<\/td> <\/tr> OptionalHeader.AddressOfEntryPoint<\/td> 28h<\/td> <\/tr> <\/tbody> <\/table>

结构字段<\/th>	偏移量<\/th> <\/tr> <\/thead>
IMAGE_DOS_HEADER.e_lfanew<\/td>	3Ch<\/td> <\/tr>
IMAGE_OPTIONAL_HEADER64.SizeOfImage<\/td>	50h<\/td> <\/tr>
IMAGE_OPTIONAL_HEADER64.SizeOfHeaders<\/td>	54h<\/td> <\/tr>
IMAGE_FILE_HEADER.NumberOfSections<\/td>	6<\/td> <\/tr>
IMAGE_SECTION_HEADER.VirtualAddress<\/td>	0Ch<\/td> <\/tr>
IMAGE_SECTION_HEADER.PointerToRawData<\/td>	14h<\/td> <\/tr>
IMAGE_SECTION_HEADER.SizeOfRawData<\/td>	10h<\/td> <\/tr>
IMAGE_SECTION_HEADER.Characteristics<\/td>	24h<\/td> <\/tr>
重定位数据目录<\/td>	0B0h<\/td> <\/tr>
导入数据目录<\/td>	90h<\/td> <\/tr>
TLS数据目录<\/td>	0D0h<\/td> <\/tr>
IMAGE_FILE_HEADER.Characteristics<\/td>	16h<\/td> <\/tr>
OptionalHeader.AddressOfEntryPoint<\/td>	28h<\/td> <\/tr> <\/tbody> <\/table>