提取NTLDR文件,分解Osloader.exe;pe文件找e_lfanew、IMAGE_EXPORT_DIRECTORY->AddressOfFunctions

最新推荐文章于 2021-10-29 21:50:12 发布
最新推荐文章于 2021-10-29 21:50:12 发布
阅读量1.3k 收藏
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mlp750303040/article/details/78117431
版权

1.1找出NTLDR文件。

NTLDR文件位于xp操作系统c盘的根目录下,不过要先设置可以查看隐藏的系统文件。

将这一栏去掉,之后就找到了。


1.2分解osloader.exe

将NTLDR文件放入winhex;


然后找到MZ段;


在此处添加alt+1,文件尾部添加alt+2,此部分就是osloader.exe。

然后右键'edit'->'copy block'->'into a new file'

不过因为我的winhex没有激活,所以会winhex用的不是很痛快。


只要在网上找一个破解版的winhex就行了。

然后成功导出Osloader.exe。



2.1找e_lfanew

在博客上看的一篇论文介绍PE头的,下图是DOS头的数据结构,在结构里面的最后一行,发现了我们要找的e_lfanew,发现它是long型,占用4个字节,所以找到的e_lfanew的值为000000D0。


下图是截取的DOS头,以及截取的e_lfanew的值。


2.2IMAGE_EXPORT_DIRECTORY

IMAGE_OPTIONAL_HEADER32:

其定义如下: 

typedef struct _IMAGE_OPTIONAL_HEADER { 
        WORD    Magic; 
        BYTE    MajorLinkerVersion; 
        BYTE    MinorLinkerVersion; 
        DWORD   SizeOfCode; 
        DWORD   SizeOfInitializedData; 
        DWORD   SizeOfUninitializedData; 
        DWORD   AddressOfEntryPoint; 
        DWORD   BaseOfCode; 
        DWORD   BaseOfData; 
        DWORD   ImageBase; 
        DWORD   SectionAlignment; 
        DWORD   FileAlignment; 
        WORD    MajorOperatingSystemVersion; 
        WORD    MinorOperatingSystemVersion; 
        WORD    MajorImageVersion; 
        WORD    MinorImageVersion; 
        WORD    MajorSubsystemVersion; 
        WORD    MinorSubsystemVersion; 
        DWORD   Win32VersionValue; 
        DWORD   SizeOfImage; 
        DWORD   SizeOfHeaders; 
        DWORD   CheckSum; 
        WORD    Subsystem; 
        WORD    DllCharacteristics; 
        DWORD   SizeOfStackReserve; 
        DWORD   SizeOfStackCommit; 
        DWORD   SizeOfHeapReserve; 
        DWORD   SizeOfHeapCommit; 
        DWORD   LoaderFlags; 
        DWORD   NumberOfRvaAndSizes; 
        IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; 
    } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

这是IMAGE_OPTIONAL_HEADER32定义的结构,我们要找的导出表就在这其中。

·  typedef struct _IMAGE_DATA_DIRECTORY {  
·      DWORD   VirtualAddress;  
·      DWORD   Size;  
·  } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

这是datadirectory的数据目录,里面包括地址(VA)和大小(Size),数组定义的是一个区域,数组每项都有被定义的值,不同项目对应不同的数据结构,有导入表和导出表等。。。

#define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory 
#define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory 
#define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory 
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory 
#define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory 
#define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table 
#define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory 
//      IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage) 
#define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data 
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP 
#define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory 
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory 
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers 
#define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table 
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors 
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor

上图中标记的就是我们要找export表。

这里我用的PE文件是matlab的可执行文件,即matlab.exe,不可用快捷方式,它并不是一个真正的exe。

1.用winhex打开。


2.下面这一段就是IMAGE_OPTIONAL_HEADER32定义的结构。


下图是一篇博客上标出的信息。


特别困惑的地方,我用了好几个exe,包括qq、matlab、自己用c编写的小程序,里面的导出表那一段都00…..,看了很多资料,说明是这个exe的导出表是没有的。。

我直接将osloader放入了winhex,发现osloader的导出表竟然给出了非零地址和大小


上图红框内就是导出表的信息,所以RVA是000357B0h,Size是000006AFh

3.下面我用lordpe查看它的区段。

尝试了好几个lordpe,刚下载完就被立刻拦截了,最后找到一个可以用的,附上链接:https://down.52pojie.cn/Tools/PEtools/


4.发现导出表的RVA是000357B0h,是大于00031000h,小于00036000h所以在.rdata区段表中。


接下来计算导出表在文件中的偏移:

         文件偏移=RVA-VOffset+ROffset

                       =000357B0h-00031000+0002F000

                 =000337B0h

5.下面用010editor使用ctrl+G转到000337B0,如下图,我们取40个字节


剪头指向的那一栏是AddressOfFunctions,左边是 AddressOfNames,右边是 AddressOfNameOrdinals


AddressOfFunctions:000357D8h  :   000357D8h-00031000+0002F000=000337D8h

看了好多篇博客,不够都是在介绍PE文件的结构以及一些结构的作用,只有理解了才能操作起来,参考的比较有用的博客:http://www.freebuf.com/articles/system/86596.html#

http://blog.csdn.net/oBuYiSeng/article/details/50231677





MrLeaper
关注
专栏目录
Osloader.exe进行分析 查e_lfanewIMAGE_EXPORT_DIRECTORYAddressOfFunctions
Lawliet_233的博客
11-09 1120
1.使用winhex打开从NTLDR提取出的oslader.exe2.查e_lfanew3.查IMAGE_EXPORT_DIRECTORY->AddressOfFunctions通过上图我们可以得出,导出表的RVA是 000357B0h ,Size是 000006AFh。我们借助LordPE可以确定在哪个区段表中, 因为导出表的RVA是000357B0h 是大于00031000h 但是小于00
怎么回失踪的NTLDR文件
weixin_33889665的博客
02-14 140
刚吃完饭,楼上邻居就跑来我。“赶紧给看看吧,电脑启动不了了。”跟去一瞧,开机后提示缺少NTLDR文件。维修过程如下: 1、在 BIOS 设使用光盘驱动器启动电脑,放入一张GHOST版本的启动盘。(用其它任何方式也行)。 2、在DOS下用DIR NTLDR /S命令从备份文件出这个文件,复制到系统盘根目录下。 3、光是COPY完了并不行啊,还得写入硬盘才行,必须再执行DE...
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表
pjz969的专栏
02-26 3799
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出表就是记载着动态链接库的一些导出信息。通过导出表,DLL 文件
Windows PE导出表编程2(重组导出表函数地址)
天使也掉毛
12-19 2707
Windows PE导出表编程2(重组带出表函数地址)
IMAGE_EXPORT_DIRECTORY
夜空中最亮的星
10-30 2663
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //creation time date stamp WORD MajorVersion; WORD MinorVersion; DWORD Name; //address of library file
导出表 IMAGE_EXPORT_DIRECTORY
Ghjhfssfgk的博客
01-28 393
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
boot windows xp.zip_ntldr_bootwindowsxp.zip_boot.ini_
09-29
boot files for windows xp ntldr
Windows-NT-boot.rar_windows boot
09-21
- NTLDR或BOOTMGR会读取BCD(Boot Configuration Data)存储区,这是Windows Vista及以上版本使用的引导配置文件。 - BCDEdit工具可以用来管理和编辑BCD存储,控制启动选项。 3. 启动选择与加载 - 用户可以选择...
os.rar_os_os系统启动_系统引导
09-21
在“os.rar_os_os系统启动_系统引导”这个压缩包中,我们主要探讨的是与操作系统启动相关的内容,包括但不限于引导装载程序、内核加载、硬件初始化等核心知识点。 首先,引导装载程序(Bootstrap Loader)是启动...
os-start.rar_osstart
09-21
在Windows系统中,这是NTFS或FAT32文件系统中的ntldr文件;在Linux系统中,可能是vmlinuz内核映像和initrd初始RAM磁盘。引导加载器将这些文件加载到内存中,准备进行内核的初始化。 内核初始化阶段是操作系统启动的...
NTDETECT文件
06-22
NTDETECT.EXE的病毒。这种病毒会进入C盘根目录并形成一个NTDETECT.EXE文件;而在默认情况下,Windows系统是不显示扩展名的(就是把NTDETECT.EXE以及NTDETECT.COM都显示为NTDETECT),如此一来,这个病毒就伪装成了系统文件(用户在C盘下会看到两个NTDETECT文件,NTDETECT.EXE就伪装成了NTDETECT.COM 。一般中了这个病毒就会循环的自动重启,并提示NTDETECT失效!
导出函数结构 EXPORT_DIRECTORY
dengjiatao9832的博客
09-21 143
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //输出表的创建时间 WORD MajorVersion; //输出表的主版本号。未使用设置为0 WORD Mi...
11.PE文件之导出表(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5590
目录 导出表定位以及解析(手动) 代码定位导出表并打印其数据 通过函数名查导出函数地址 通过导出函数序号查函数地址 移动导出表 PE中的导出表通常存在于动态链接库文件里.有些EXE也会存在导出表.导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入表中登记的与该动态链接库相关的由INT指
[PE结构分析] 9.导出表 IMAGE_EXPORT_DIRECTORY
weixin_33933118的博客
08-16 181
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
PE总结8---PE文件结构之导出表 (IMAGE_EXPORT_DIRECTORY
oBuYiSeng的博客
12-09 2335
导出表由3个部分构成:  名称表,   函数表,   序号表。   名称表和序号表就是索引,引导调用者到真正的函数表。   函数表中保存着被导出函数的地址信息    导出表在内存中的顺序是按照输出名称来确定的。     IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri
详解NTLDR系统文件
vah101的专栏
09-17 1907
  http://www.hackbase.com/tech/2009-06-08/53135_1.html      NTLDR  NTLDR全称是NT Loader,是系统加载程序  NTLDR文件是win nt/win2000/WinXP的引导文件,当此文件丢失时启动系统会提示"NTLDR is missing..."并要求按任意键重新启动,不能正确进入系统 。所以应该在系统正常的时候给予备份。  NTLDR文件是做什么的?我们如何来修复NTLDR文件类型的故障呢?  NTLDR文件的是一个隐藏的,只
NTLDR is missing,NTLDR is compressed
点滴记忆成长瞬间
02-01 6692
     咱也写篇有技术含量的心得……。今晚电脑故障折腾地我的小心脏承受了巨大的压力,遂决定把这一系列问题及解决方案贴上来,自我警示+给粗心的后人一点小帮助,噢耶~ 各位计算机大牛XDJM们看到这样一篇弱弱的文章千万表嘲笑我,对于我这样的文科女生来说……真是不容易啊……        事故源于IE8的主页被篡改,怎么都改不回去,被这个流氓网站搞得很狂躁,在C盘删垃圾文件的时候不
认识WinXP之神秘引导文件NTLDR(转)
cuankuangzhong6373的博客
07-04 647
NTLDR一般存放于C盘根目录下,是一个具有隐藏和只读属性的系统文件。它的主要职责是解析Boot.ini文件。如果你对它的理解还不是很清楚,那么下面我们就以Windows XP为例介绍NTLDR在系统引导过程中的作用。   Wi...
NTLDR:系统引导关键文件,丢失后的修复策略
NTLDR,全称为NTLoader,是一个至关重要的隐藏式、只读系统文件,位于Windows NT/2000/XP/2003等操作系统安装目录的根目录下。作为引导程序,NTLDR的主要任务是在计算机启动时解析Boot.ini文件,确保操作系统能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值