PE之移动导出表

最新推荐文章于 2022-12-22 21:42:12 发布
最新推荐文章于 2022-12-22 21:42:12 发布
阅读量619 收藏 2
点赞数
分类专栏: PE基础 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46308946/article/details/108076926
版权
本文介绍了移动PE文件的导出表的目的,包括保护程序、加密前的关键操作,并详细阐述了移动导出表的过程,涉及到RVA与FOA转换、地址修复等关键步骤,同时提供了代码示例展示整个操作流程。
摘要由CSDN通过智能技术生成

1、移动各种表的目的

(1)在程序启动时,系统会根据导入导出表等进行初始化工作。为了保护程序,一般会对exe程序的二进制进行加密等工作,但是一旦将这些表也进行了加密,那么系统在初始化的时候没办法找到这些表,也无法启动程序。
(2)在对程序加密之前,需要对一些关键的表进行移动后,再对原来的数据进行加密,这样才不能破坏原来的程序。
(3)学会移动各种表,是对程序加密/破解的基础。

2、如何移动导出表

上一篇文章,提到了如何对导出表进行解析,导出表的结构如图下。
在这里插入图片描述
导出表的位置是在可选PE头的第一项,如图,我们可以通过PE头找到其在所在地址,但是注意的是该地址是在内存(RVA)中的偏移,需要将其转为文件偏移(FOA)
在这里插入图片描述
移动过程
在这里插入图片描述
在这里插入图片描述
注意点:
(1)需要将原来的数据目录项指向新的位置,存的是RVA
(2)导出函数地址表,名称表和序号表都指向的是RVA
(3)导出名称表里存的名称也是RVA。以上都需要将存在文件中的位置转为RVA,然后修复以上地址

4、代码如下

第一部分将文件读到内存中


LPVOID ReadFileBuffer(LPCSTR siFilename) {
   
    int file_size = 0;
    FILE* fp = NULL;
    fopen_s(&fp,siFilename, "rb");
    if (fp == NULL) {
   
        printf("%d", GetLastError());
        return NULL;
    }
    fseek(fp, 0, SEEK_END);
    file_size = ftell(fp);
    fseek(fp, 0, SEEK_SET);
    LPVOID file_buffer_addr = (LPVOID)malloc(file_size);
    if (file_buffer_addr == NULL) {
   
        return NULL;
    }
    memset(file_buffer_addr, 0, file_size);
    if (file_buffer_addr != NULL) {
   
        fread(file_buffer_addr, sizeof(char), file_size, fp);
        fclose(fp);
        return file_buffer_addr;
    }
    else {
   
        fclose(fp);
        free(file_buffer_addr);
        file_buffer_addr = NULL;
        return NULL;
    }
   

   
}

第二部分:RVA转FOA



DWORD RVAtoFOA(DWORD dwROAAddress,char * FileBuffer){
   
    PIMAGE_DOS_HEADER dos = NULL;
    PIMAGE_NT_HEADERS nt = NULL;
    PIMAGE_FILE_HEADER file_header = NULL;
    PIMAGE_SECTION_HEADER section_header = NULL;
    PIMAGE_OPTIONAL_HEADER option_header = NULL;
    DWORD dwNumberofSections = NULL;
    //DWORD dwSizeofImage = NULL;
    //DWORD dwSizeofHeaders = NULL;
    DWORD dwSizeofOptionHeader = NULL;
    DWORD dwVirtualAddress = NULL;
    DWORD dwSizeofRawData = NULL;
    DWORD dwPointerRawData = NULL;
    //DWORD dwVirtualAddress = NULL;
    DWORD dwImageBase = NULL;
    DWORD dwFOAaddress = NULL;
    dos = (PIMAGE_DOS_HEADER)FileBuffer;
    nt = (PIMAGE_NT_HEADERS)(FileBuffer + dos->e_lfanew);
    file_header = (PIMAGE_FILE_HEADER)(&(nt->FileHeader));
    option_header = (PIMAGE_OPTIONAL_HEADER)(&(nt->OptionalHeader));
    dwImageBase = option_header->ImageBase;
    dwNumberofSections = file_header->NumberOfSections;
    //dwSizeofImage = option_header->SizeOfImage;
    //dwSizeofHeaders = option_header->SizeOfHeaders;
    dwSizeofOptionHeader = file_header->SizeOfOptionalHeader;
    
    section_header = (PIMAGE_SECTION_HEADER)((char*)option_header + dwSizeofOptionHeader);
    if (dwROAAddress <= section_header->VirtualAddress) {
     //如果小于第一个节的virtualAddress,说明在头部。
        dwFOAaddress = dwROAAddress;
        return dwFOAaddress;
    }
    //dwVirtualAddress = section_header->VirtualAddress;
    for (int i = 0; i < dwNumberofSections; i++) {
   
        //printf("%x", ((PIMAGE_SECTION_HEADER)((char*)section_header + 40))->VirtualAddress);
        if (dwROAAddress  >= section_header->VirtualAddress && dwROAAddress < ((PIMAGE_SECTION_HEADER
最低0.47元/天 解锁文章
寒江独钓(MCC)
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向——PE移动导出
sunr.
04-13 902
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL的函数地址存储到IAT. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种的信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统...
pE文件操作--移动导出
qq_31125257的博客
12-28 695
一、什么是导出? 先回顾一下导出的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子;其地址存储的是导出的函数地址,名称存储的是以名字导出的函数的函数名的RVA,序号存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种? 这些是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些做初始化的工作,如将用到的DLL的函数地址存储到IAT; 为了
PE文件之移动导出(自学笔记)
Sanshul的博客
12-22 320
PE文件之移动导出(自学笔记)
滴水逆向三期 PE基础 移动导出
四位的博客
05-16 556
分析 要移动导出, 需要改变的地方有: 1 DataDirectory[5]->VirtualAddress 2 ExportDirector的三个地址 代码 按照课程内容的顺序依次进行 步骤如下: 新增节省略 初始化 Header header; SList slist; DWORD fileSize = 0; DWORD foaOfNewSection = 0; DWORD foaExportDirectory = 0; PIMAGE_DATA_DIRECTORY pDataDirector
手工解析PE(将导出移动到新增节)
GNAIXGNAHZ的博客
06-30 262
手工解析PE(将导出移动到新增节)
PE结构->【导出工具
06-22
PE文件导出是一个非常重要的组成部分,它定义了该文件可以提供给其他模块调用的函数或数据。本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address ...
pefile源码库
03-01
2. **分析PE结构**:允许用户访问PE文件的各个部分,如节、导入导出等。 3. **检查签名和证书**:可以验证文件是否由受信任的发布者签名,以及签名的有效性。 4. **处理重定位**:允许修改代码和数据的地址,...
凤凰PE文件优化工具
09-24
PE文件由多个部分组成,如DOS头、PE头、节区、导入/导出、资源等。这些部分共同定义了程序如何加载、执行和与操作系统交互。凤凰PE文件优化工具能够针对这些部分进行定制化的优化: 1. **代码压缩**:工具...
PEScan_release_chamberhqi_QT_PE分析_
10-04
它可能包括了各种功能,如查看头部信息、扫描导入和导出、识别资源、检测恶意代码等。由于其使用了QT,因此它具备跨平台性,可以在Windows、Linux和macOS等不同操作系统上运行。对于软件开发者、安全研究员和逆向...
易语言源码文件PE修改器易语言源码.rar
03-30
2. **PE文件结构**:PE文件由多个部分组成,如DOS头、NT头、节导出、导入等。源码会包含解析和操作这些结构的代码,学习这部分可以深入了解PE文件的工作原理。 3. **内存操作**:修改PE文件通常需要读取...
移动导出
weixin_43990313的博客
07-16 275
移动导出: 思路: 添加节之后新建一个句柄用来重新安排结构情况,然后将的句柄的内容写入读入的数据流。 前期知识: fopen()和 fclose() 两个函数都是文件操作函数,对数据流进行操作 fopen将文件读入一个文件流,文件流就是文件原本的形式。 fclose()将文件流关闭。 fwrite():fwrite(NewBuffer,pOptionalHeader->SizeOfImage,1,fp); 可以直接将内存写入数据流 RVA 和 FOA的转化: FOA->RVA:修改新的导出
《初识PE导出
weixin_34212762的博客
11-21 132
转自:http://www.blogfshare.com/pe-export.html (二).导出PE文件被执行的时候,Windows装载器将文件装入内存并将导入登记的DLL文件一并装入,再根据DLL文件的函数导出信息对被执行文件的IAT进行修正。 Windows 在加载一个程序后就在内存为该程序开辟一个单独的虚拟地址空间,这样的话在各个程序自己看来,自己就拥有几...
PE导出
只为改变自己
05-03 418
PE导出知识
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3782
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出DLL 文件可
PE-导出
megaparsec
12-19 915
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE导出存在于动态链接库文件里。导出的主要作用是将PE存在的函数引出到外部,以便其他人可以使用这些函数,现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE到底有多少可以使用的函数,但如果没有函数使用说明,开发者
PE导出导出
程序人生的专栏
06-13 1066
// export_test.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "windows.h" int export_jixi(unsigned long pmodule ,char *function) { if(pmodule == 0) retur
验7 pe导出分析及应用
最新发布
06-08
Pe导出PE文件的一个数据结构,用于存储可执行文件或动态链接库(DLL)的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在验7,我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值