PE第四节:解决随机基址或是函数随机地址问题-2

最新推荐文章于 2022-02-18 19:32:23 发布
最新推荐文章于 2022-02-18 19:32:23 发布
阅读量699 收藏
点赞数
分类专栏: C语言和PE基础 安全工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onlyfunboy/article/details/118000902
版权

解决随机基址或是函数随机地址问题,可以有两种方法。

1.修改入口点函数,根据相对地址偏移的方法。

2:重定位表的内容:

pRelocationDirectory_RVA:3cc000
pRelocationDirectory_FOA:3a3000
VirtualAddress    :00001000
SizeOfBlock       :000000D8
================= BlockData Start ======================
第[0001]项  数据项的数据为:[0006]  数据属性为:[3]  RVA的地址为:[00001006]  重定位的数据:[68264000]
第[0002]项  数据项的数据为:[0030]  数据属性为:[3]  RVA的地址为:[00001030]  重定位的数据:[6826400C]
第[0003]项  数据项的数据为:[0044]  数据属性为:[3]  RVA的地址为:[00001044]  重定位的数据:[6826400C]
第[0004]项  数据项的数据为:[0059]  数据属性为:[3]  RVA的地址为:[00001059]  重定位的数据:[68289210]

表数据说明: 每个重定位数据由两个字节组成,高4位表示的是重定位的类型,低12位标识的是需要修改偏移的地址。 高4位是3表示的是需要重定位。

例如,第[0001]项 数据项的数据为:[0006] 数据属性为:[3] RVA的地址为:[00001006] 重定位的数据:[68264000];

RVA里面的地址1006的数据内容是68264000,相当于注册在重定位表里面,dll加载时会自动修改68264000的基址地址。

demo程序下载路径:

https://download.csdn.net/download/onlyfunboy/19515908

灰灰君呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件关闭随机基址
qq_29176323的博客
04-11 406
1.使用010Editor打开exe或者dll文件 dll不建议关闭随机基址,否则多个dll可能会冲突 2. 找到下图的WORD字段 将IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE改成0即可
绕过PE文件地址随机
11-21
通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化,方便逆向时地址的分析
x64去动态基址pe32+去随机基址
weixin_33898876的博客
09-30 721
2019独角兽企业重金招聘Python工程师标准>>> ...
去掉PE文件随机基址的方法
weixin_30448603的博客
07-10 1708
用010Editer打开点击下面箭头所指的NtHeader然后在上方变蓝的数据块内找到4081,然后修改为0081即可(懂得PE文件的朋友可以也可以一层一层自己找到这个字段,就是WORD IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE这个字段 ,把值1改为0即可。 未修改之前: OD加载的地址如图所示: IDA加载如图所示: 修改之后: OD加载的...
bypass 随机基址
weixin_45012273的博客
02-18 228
//有漏洞 并且开启了随机基址的程序 溢出点VerifyPassword返回地址 #include<windows.h> #include<tchar.h> #include <iostream> #define PASSWORD "1234" void* VerifyPassword(byte* pRet, void* pszPassword, int nSize) { char szBuffer[50] = { 0 }; *pRet = strcmp.
手工脱壳之AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 660
一、工具及壳介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack壳特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编...
basecrack:解码所有基址-基本方案解码器
05-23
基础裂缝基本编码方案的解码器工具 BaseCrack是用Python编写的工具,可以解码所有字母数字基础编码方案。 该工具可以接受单个用户输入,来自文件的多个输入,来自参数的输入,多个编码的基数,图像EXIF数据中的基数...
2022年单片机-第讲2.ppt
最新发布
11-02
寄存器寻址直接操作寄存器内容,直接寻址则直接给出单元地址,寄存器间接寻址通过寄存器中的地址来访问数据,立即寻址将操作数直接写在指令中,基址寄存器加变址寄存器间址寻址结合DPTR或PC与A进行寻址,位寻址则...
易语言取函数地址
07-22
为了获取函数地址,通常需要知道函数的符号信息,如函数名,这可以通过PE文件分析或者使用调试工具如OllyDbg获取。然后,可以通过内存搜索或模块基址加偏移的方式找到函数的实际地址。 总的来说,"易语言取函数实...
操作系统教学课件:第4章 存储器管理-2.ppt
06-17
在第四章的“存储器管理-2”中,主要讨论了两种存储管理方式:分页和分段。 分页系统是将内存划分为固定大小的页框,而程序则被分割为若干个页。这种管理方式的优点在于显著提高了内存的利用率,因为不同程序的页...
Windows下ASLR机制(地址随机化)- 概念、PE操作、VS相关选项
bcbobo21cn的专栏
03-22 2856
1 ASLR机制 Address Space Layout Randomization=地址空间布局随机化; 是一种针对缓冲区溢出的安全保护技术; 没有ASLR时,每次进程执行,加载到内容中,代码所处堆栈stack的位置都是相同的,容易被破解; 如果开启了ASLR,操作系统加载器会针对基地址再去加上一个随机生成的偏移地址,然后再去加载程序模块,通过对堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度。 地址随机化需要程序自身和操作系统的双重支持...
Delphi_检查exe文件是否是"随机基址"
weixin_33786077的博客
06-12 111
ZC: cnpack 还是蛮好用的 1、代码: procedure TForm1.btnRandomizedBaseAddressClick(Sender: TObject); var pDosHdr :PImageDosHeader; pNtHdrs :PImageNtHeaders; pNtFileHdr :PImageFileHeader; ms...
去除程序的基址随机
weixin_53349587的博客
01-02 1034
一个程序用IDA或OD打开时,发现每次打开的地址都是不一样的: 类似这种地址,这种叫基址随机化,可以通过CFF Explorer进行去除基址随机化。 解决方案: 1.打开CFF Explorer,将要修改的程序拖进去: 2.点击Optional Header,找到DllCharacteristics,然后再点击右边的Click here: 把第一个DLL can move取消,然后点击OK,重新保存文件即可去除基址随机化。 ...
【LinuxC】GCC编译C程序,关闭随机基址
weixin_30500105的博客
05-22 652
1、编译、链接和运行程序 C代码示例: #include <stdio.h> #include <stdlib.h> int main() { printf("hello world!\n"); exit(0); } 编译运行参数如下: [root@localhost Desktop]# gcc -o hello hello.c [root...
手动去除随机加载基址
weixin_34348805的博客
05-16 320
遇到好多次了,每次都要查资料,惭愧,惭愧..... 010edit中: 转载于:https://blog.51cto.com/13652962/2117176
PE格式解析-重定位表分析
走在成长的路上
12-28 1069
PE格式中的重定位表进行分析
逆向,突破随机基址
qq_27888595的博客
03-23 907
当编译器启动随机基址以后,程序每次运行的入口都会变话,变量资源等等都是动态加载,所以不怎么好下断点,使用字符串搜索也搜不出来,这真的很难受 原理:当win7系统加载exe程序之前,会先加载pe文件,pe里面有个特征值将其选上,选上以后系统在加载pe时就不会给程序动态地址了,所有的字符串资源就都出来了 ...
exe重定位清除,主要让WIN7的动态基址不起作用
pklong008的博客
07-29 5641
若EXE有重定位表,在属性里将重定位已分离勾上,同时将重定位表的数值清零,OK,WIN7再也不用将EXE动态基址了。爽.原文在看雪: 标 题: 【原创】【脱壳修复】win7下简单处理重定位表 作 者: xhbuming 时 间: 2015-04-23,15:14:40 链 接: http://bbs.pediy.com/showthread.php?t=199895 操作
PCI总线接口解析:基址寄存器BADR与系统地址映射
在系统初始化阶段,基址寄存器用于建立设备的地址映射,使得设备可以灵活地映射到处理器地址空间的不同位置,简化配置流程。此外,文中还提及了PCI总线的信号线组成,包括必需信号线和可选信号线,以及主设备和从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值