pe结构分析之手工修复导入表

最新推荐文章于 2023-08-16 11:52:51 发布
VIP文章 最新推荐文章于 2023-08-16 11:52:51 发布
阅读量1.2k 收藏 3
点赞数 3
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: c++ 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120958864
版权

目录

预备知识

本实验要求实验者具备如下的相关知识。
1.加密外壳中,破坏原程序的输入表是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入表概念非常清楚。常见输入表的结构是为了表示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来表示。
INT:全称import name table输入名称表。简单来说,INT表存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。
IAT:全称import address table输入地址表。简单来说,IAT表同样存放了若干指针,通过这些指针,你可以找到所调用函数的内存加载地址,也就是函数的入口地址。
windows弹窗程序编码说明:
程序用到的函数有两个:
MessageBoxA,在user32.dll中:

int WINAPI MessageBox(
    _In_opt_  HWND hWnd,
    _In_opt_  LPCTSTR lpText,
    _In_opt_  LPCTSTR lpCaption,
    _In_      UINT uType
);

ExitProcess在kernel32.dll中:

VOID WINAPI ExitProcess(
    _In_  UINT uExitCode
);

实验目的

通过该实验熟悉windowspe文件中导入表的结构和加载过程。通过手动完成导入表修复,理解导入表在pe文件中的作用。

实验环境

在这里插入图片描述
测试环境:windows xp sp3

实验步骤一

实验提供了一个不能正常运行的程序,如果在正常运行的情况下,程序的功能是弹出一个messagebox,然后正常退出。要做的,是通过排查错误,找到问题所在,修改程序,使其正常运行。
为此,本实验大致需要执行以下三个步骤:
1.大致了解程序的执行过程,通过od,配合stud_pe找到问题所在。
2.修改pe文件头中关于导入表的信息。
3.修改涉及到INT与IAT表的段中的信息。
任务描述:运行程序,用od调试,使用stud_pe查看,了解整个程序的流程,找出问题所在。
1.测试程序:
在这里插入图片描述
从图中可以看到可以显示控制台,但是程序没有正常运行,系统提示报错。
2.使用OD加载程序,查看程序执行流程,分析出错原因。
在这里插入图片描述
3.汇编代码中有push,有call,有jmp到最终地址,可以知道这里面涉及了函数调用,因为最终的函数调用都是用jmp这条指令来执行的,所以查看一下jmp到了那里。
选中jmp函数,右键[数据窗口中跟踪],[内存地址]。

最低0.47元/天 解锁文章
「已注销」
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pe-inject 修改程序导入
04-02
编辑修改程序导入,增加自定义DLL PE-inject is a special library which allows developers to place their own code into Windows executable files (EXE, DLL, OCX and others). PE-inject was designed to be as simple as possible, to make modification of executables (so called PE-files) as easy as writing a "Hello world!" program. The knowledge of Assembler and Windows PE-EXE file format, which was essential before PE-inject came, is no longer required. To inject your code into foreign executables you only need to make a DLL file with functions you want to inject into PE file, call PE-inject function to place the DLL into the executable and the file is injected. From now on, everytime you run the executable, the injected code will be run first and after it finishes, the old application code will start. PE-inject doesn't need to write any data to harddrive, like some other solutions do. Therefore it can be also used for applications which require highest security, like PE-protection engines. From EXE password protectors, through PE compressors to PE anti-cracking protectors, everything is easy to implement. PE-inject has a really well designed interface, which allows you to use it for almost any purpose related with injection of code into PE-files. Even a virus-like code is possible!
修复PE 文件导入
09-02
修复PE 文件导入的源代码,VS2003 工程
PE 通过导入注入 Dll
多一份贡献,多一份环保
08-17 865
导入注入,当程序被加载时,系统会根据程序导入信息来加载需要用到的dll,导入注入的原理就是修改程序的导入,将自己的dll添加到程序的导入中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
用importREC修复Import
islq's space
08-18 8865
1、用ollydbg找到正确的OEP(脱壳和修复导入都要用到)2、脱壳在当前进程,如脱壳出来的程序不能运行,提示无法定位程序输入点,需要使用importREC修复导入。3、打开importREC,选正ollydbg正在调试的进程,填入正确的OEP,点ITA AutoSearch,如oep正确将得到正确提示,点GetImport,得到正确的导入。点Fix Dump,选择脱壳出来的保存文件,Do
修复动态链接库.so的导入
qq_41924435的博客
01-11 310
#ifndef _QEMU_ELF_H #define _QEMU_ELF_H #include <inttypes.h> /* 32-bit ELF base types. */ typedef uint32_t Elf32_Addr; typedef uint16_t Elf32_Ha
简单的手动修复输入
weixin_30834783的博客
02-26 194
学习于 加密与解密3 手工构造输入 构造输入完毕后 再到 数据目录的输入位置填写地址和大小就行了 转载于:https://www.cnblogs.com/zcc1414/p/3982398.html...
输入修复工具ImportFix
07-26
ImportFix od附带重建输入神器。输入修复,基址修改工具。
64位PE文件导入的修改
ava66的专栏
12-09 3444
和32位PE文件没什么大的区别, 只要注意一个结构: #include "pshpack8.h"                       // Use align 8 for the 64-bit IAT. typedef struct _IMAGE_THUNK_DATA64 {     union {         ULONGLONG ForwarderString;  /
进程导入修复工具——Universal Import Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-09 3699
下载 非开源,下载UniversalImportFixer(UIF)v1.2FINAL-系统安全文档类资源-CSDN下载 使用前提: 需要先修复进程内的API调用,如:vmp保护的进程,API调用都会变成对vmp函数的调用,需要先将它们修复成对真实API函数的调用。 需要管理员权限打开。 功能: 根据代码段调用的API函数,对内存中进程的导入相关结构进行修复。 使用方法: 打开主界面: 填入进程ID,代码段的起始位置,代码段后面段的起始位置(代码段结束位置+1) 新..
pe文件的Import table导入手工修复
最新发布
xiao_ZHEDA的博客
08-16 201
pe文件的导入和对应位置的IAT,INT进行修复
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
通用输入修复工具UIF .12中文版,好用!
06-23
破解工具,UIF脱壳文件输入修复工具,中文版,好用!
PE文件之导入
03-29
打印PE文件的导入信息 vs2005编译通过;
PE结构导入/出 类封装
12-18
PE结构导入/出 类封装 里面有备注 调用方式 将文件导入至工程 引用头文件后 直接调用即可 ExePath 为Pe文件路径 CPE * pe = new CPE(ExePath); if (!pe->Initialize()) { MessageBox(_T("PE初始化失败")); ...
PE.rar_PE导入_pe_导入
09-24
分析PE,查看PE文件导出导入
语言源码易语言pe结构分析源码.rar
03-30
语言源码易语言pe结构分析源码.rar
语言源码易语言导入导出PE源码.rar
03-31
语言源码易语言导入导出PE源码.rar
修复不连续的导入
wangtiankuo的博客
11-20 644
1.前言     之前脱UPX壳都是用脱壳工具脱的,因此偷懒现在都没有仔细看ImportREC怎么用,最近分析一个很久之前的感染式病毒,遇到了UPX,使用工具脱壳失败,只能手动修复了。     壳是简单的UPX壳,知识需要手动修复导入而已。 2.修复过程     UPX在外壳入口点一大堆代码之后有一个jmp指令,直接跳到OEP,此样本在入口点和jmp之间会多次调用LoadLibrary和G...
PE文件:延迟导入
weixin_43742894的博客
04-01 491
延迟导入从它的名字上,我们可以知道他是一种加载比较延迟的导入,不是在一开始就被加载的,而是等到要被使用的时候,才会被延迟加载(动态加载相关链接库并修正函数的虚拟地址,实现对函数的调用)。
PE结构那个字段可以找到导入
06-04
PE文件格式中的导入(import table)信息存储在可执行文件的数据目录中,具体来说是存储在`IMAGE_DIRECTORY_ENTRY_IMPORT`目录项中。该目录项的值可以在PE文件的NT头中找到,NT头是PE文件格式中的一个结构体,包含了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值