通过修改PE文件导入DLL

最新推荐文章于 2023-08-25 10:19:10 发布
最新推荐文章于 2023-08-25 10:19:10 发布
阅读量936 收藏 3
点赞数
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learn112/article/details/112727314
版权

通过修改PE文件导入DLL

修改思路

在这里插入图片描述

实例

1.查看IDT信息

图1
在这里插入图片描述

由上图我们可以得到以下信息:

IDT的RVA信息在文件偏移160h处,值为84CC

IDT的大小信息在文件偏移164h处,值为64h

1.1转到IDT处查看具体信息

转到84CC也就是文件偏移76CC

在这里插入图片描述

共有5个IID结构体(每个IID20个字节,对应一个DLL相关信息),最后一个IID为NULL

由上图我们发现并没有足够空间添加我们的DLL,

那么转移IDT

2.转移IDT

由图1可知IDT在.rdata节区,

查看.rdata节区是否有多余的空白区域
图二

在这里插入图片描述

由上图可知.rdata节区的文件偏移为5200h,大小为2E00h

转到8000h(5200+2E00),这里我们从后往前看,因为节区中一般后面才会是NULL区域
在这里插入图片描述

从7E60~7FFF都是NULL,

但是还不能直接将IDT转移至此处,

需要先看看.rdata节区头的信息,看看该空白区域是不是有效的NULL区域(不一定是NULL就能用,只有在节区头中规定了的区域才是有效的)

由图2可知:.rdata节区在文件中大小为2E00h,在内存中大小为2C56h,很明显还有1AA(2E00-2C56)的空间可以使用,那么我们可以放心的将IDT转移到此处

3.修改IDT的RVA与SIZE

转到文件偏移160h:
在这里插入图片描述

修改IDT的RVA与SIZE:
在这里插入图片描述

8C80就是文件偏移7E80处,大小多了14h(20个字节),就是我们添加的DLL

4.删除绑定导入表

绑定导入表是一种提高DLL加载速度的技术,如果其值为0,则不用修改,如果不为0,那么要将其置位0,使其不存在(因为绑定导入表不存在是允许的,但如果存在,里面信息记录错误,那么会导致程序运行时出错)

在这里插入图片描述

可以看到其值为0

5.创建IDT

将之前的IDT信息(84CC处)复制到新位置8C80(文件偏移7E80):

在这里插入图片描述

6.写入DLL信息

IID中有3个重要成员需要写入:

  1. INT的RVA
  2. DLL名字的RVA
  3. IAT的RVA

在这里插入图片描述

这里用的8D00,8D10,8D20对应文件偏移7F00,7F10,7F20

正好在下面,比较方便

7.设置INT,NAME,IAT

在这里插入图片描述

8.修改IAT所在节区属性

PE文件加载到内存时,PE装载器会修改IAT,将函数实际地址写入IAT,所以IAT所在节区必须要有可写属性,这是一种方法

因为可选头的最后一个成员Data Directory数组含有IAT,所以直接转到此区域为dummy添加IAT,然后将整个IAT大小添加8个字节即可,这是另外一种方法

先试试方法一

IAT在.rdata节区,修改.rdata属性

在这里插入图片描述

将40000040与80000000(可写属性值)进行bit OR运算,得到C0000040

在这里插入图片描述

9.验证

在这里插入图片描述
在这里插入图片描述

DLL导入成功

learn112
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向工程核心原理之通过修改PE加载DLL
wangtiankuo的博客
07-02 707
1.1       给TextView.exe添加myhack3.dll1.1.1       查看IDT是否有地方再加一个dll查看IDT,发现没有地方再添加一个dll了,需要移动IDT到更大的地方。在文件中找一个空白的区域,将IDT移动过去。.rdata区域,从0x8C60后就是NULL了。但是,填充着NULL不一定意味着该区域是空白可用区域,因此要确定该区域是否为空白可用区域。内存中节区起始...
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
PE格式: 新建节并插入DLL
CSDN
07-26 4803
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
PE输入表DLL注入
最新发布
08-25 516
PE输入表DLL注入
PE文件中注入dll
B01814124的博客
08-20 510
0.前提 1.修改导入表的RVA值 84CC —— 8C80 0064 —— 0078 ;增加了新导入dll, IID结构体大小 2.删除绑定导入修改其值为0即可 3.创建新的IDT 将76CC-76EF复写到7E80 在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据 00 8D 00 00 00 00 00 00 10 8D 00 00 20 8D 00 00 (8D00–7F00 导入名称表 函数名称地址 8D10–7F10 名称 dll名称
通过修改PE文件的方式导入DLL(包含详细操作流程)
fanxiaoyao1的博客
06-20 1405
我们需要修改IDT表,增加一条我们字节DLL文件的IID以达到导入的目的。在NT头下IMAGE_DATA_DIRECTORY_ARRAY结构体,找到导入表,导入表第一个参数的值便为IDT的RVA RVA是程序的相对虚拟地址,我们要想在文件中精确定位IDT,必须要把RVA转位RAW,在上图中也叫FOA(文件偏移,文件中某个位置距离文件头的偏移),具体的计算公式:84CCh属于.rdata节区,VirtualAddress 和PointerToRawData可从节区头中获取。 VirtualAddress 是指
改写PE文件导入加载DLL
03-18
需要注意的是,直接修改PE文件导入表是一项精细的工作,需要对PE文件结构有深入的理解,否则可能导致文件损坏或无法运行。此外,这种方法也可能违反法律,因此在实际操作时应确保遵循合法和道德的准则。
关于PE可执行文件修改.rar_PE修改_pe_pe文件修改
09-23
在实际操作中,我们需要使用专用工具,如OllyDbg、PE Explorer、CFF Explorer等,它们提供了可视化界面和API接口来方便地查看和修改PE文件。同时,学习汇编语言和逆向工程知识对于深入理解PE修改至关重要。 总结...
修复PE 文件导入
09-02
"PEConsole"可能是一个包含示例代码的VS2003工程,提供了修复PE文件导入表的功能。通过查看和学习这个工程,我们可以更深入地理解导入表的结构以及如何进行修复操作。在实际应用中,这样的工具对于调试、逆向工程、...
通过修改DLL文件的IAT表(函数导入表)来实现api hook的源码
03-28
本源码包提供了一种通过修改DLL文件的IAT(Import Address Table,函数导入表)来实现API Hook的方法。下面将详细解释相关知识点。 1. API Hook:API Hook允许开发者拦截并替换特定的系统API调用,这样当其他程序...
pe读取器 读取各项文件可以修改pe注入器
05-06
读取pe文件各部分信息。准确度和loader一样
PE 通过导入表注入 Dll
多一份贡献,多一份环保
08-17 973
导入表注入,当程序被加载时,系统会根据程序导入表信息来加载需要用到的dll导入表注入的原理就是修改程序的导入表,将自己的dll添加到程序的导入表中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
PE文件本地DLL注入实现
flukeshen的博客
10-25 2222
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
修改PE文件引入表实现加载DLL
威化饼的一隅
04-08 3043
文章目录内容简介DLL结构DLL的编译链接(VS命令行中)DLL加载使用的DLL源代码PE文件关键结构MZ头NT映像头可选头部引入表IDT、INT、IAT关系代码实现思路关键数据结构节表IDT项验证结果 内容简介 编写Func.dll,并编写一个EXE程序,该程序能够加载Func.dll,并调用Func.dll中的导出函数,在加载Func.dll的时候,会弹出计算器calc.exe。 使用PE...
软件安全之代码注入技术 向目标 PE 文件注入 DLL notepad lpk.dll 远程线程函数 提权函数 OpenProcess VirtualAllocEx
SKPrimin的博客
12-06 3494
实验 4 代码注入技术 引言 1、实验说明 代码注入是将用户代码注入到其他进程或者可执行文件中,实现拦截目标进程运行过程的关键信息、改变目标进程或可执行文件原本执行流程等目的 2、实验目的 本实验通过远程线程和输入表注入,向目标进程注入代码、向目标 PE 文件注入 DLL,以加深对代码注入技术的理解。 3、实验原理 课程第 6 讲代码注入技术 4、实验环境 Windows 7 系统、Visual Studio 6.0 及以上版本 5、实验内容 (1)远程线程注入 (2)利用 Detours 实现输入表注入
《逆向工程》通过修改PE注入DLL
Starr
08-01 967
文章目录通过修改PE加载DLL修改导入表查看IDT空间是否足够移动IDT 通过修改PE加载DLL TextView是一个文本查看工具,将文本文件拖入即可显示。 代码如下,注意按照32位编译,否则PEView不能分析64位IDT。 #include "windows.h" #include "stdio.h" LRESULT CALLBACK WndProc(HWND, UINT, WPARAM,...
DLL注入-静态修改PE
m0_52164435的博客
03-14 739
首先要知道,我们要完成的操作是通过修改PE结构来完成注入dllPE中有关于模块导入的是输入表结构,而输入表是一个IID数组,那么想要将我们的dll导入到程序中就需要将一个我们构造的IID结构写入这个数组中,此时需要考虑我们新写入的IID结构大小,假设原IID大小为old,那么显然,由于只导入了一个函数,我们新的IID结构大小newIIDSize = Old+ sizeof(IMAGE_IMPORT_DESCRIPTOR)。将以上各值填入原IID位置,填写的时候需要注意字节序是小端序,填写结果如下。
PE文件填充.dll原理解析
笔记本
04-08 667
作为和杀毒软件的对抗技术出现的无特征码处理中一个比较小众,但是效果明显的技术就是.dll填充。而且作为一个上手即可使用毫无副作用的技术,作为预处理效果也非常明显。但是一直很疑惑为什么可以把输入表中的.dll填充了却不会影响程序的运行。下面会从PE装载器和loadlibrary的汇编代码角度解析这个问题。 .dll填充简介: c32载入文件,把输入表中一些关键dll的.dll4个字节填充为000...
PE文件结构 - 导入表结构
逐天实验室 ( SCLB )
09-14 1090
PE文件导入表结构,CALL调用原理
深入解析PE文件格式
通过这些结构,开发者可以了解如何创建和修改PE文件,以满足特定的需求。 总结起来,"PE文件结构祥解.pdf" 是一个宝贵的资源,为想要深入了解Windows系统下程序执行机制和PE文件格式的读者提供了全面的指导。通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值