移动导出表,重定位表,手动修复重定位表

于 2024-04-04 21:00:33 发布
阅读量229 收藏
点赞数 4
文章标签: c语言 windows 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pluginL/article/details/137382369
版权

要写这几个函数会频繁用到FOA转VA

//文件里的偏移转化为内存偏移
DWORD FOAToVA(DWORD FOA, PVOID pFileBuffer) {
	PIMAGE_DOS_HEADER pDosHeader = pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
		printf("File is not PE\n");
		free(pFileBuffer);
		return FALSE;
	}
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader + pFileHeader->SizeOfOptionalHeader;
	if (FOA < pSecHeader->PointerToRawData) {
		return FOA + (DWORD)pFileBuffer;
	}
	for (size_t i = 0; i < pFileHeader->NumberOfSections; i++) {
		if (FOA >= pSecHeader->PointerToRawData && FOA < (pSecHeader->PointerToRawData + pSecHeader->SizeOfRawData)) {
			return pSecHeader->VirtualAddress + (FOA - pSecHeader->PointerToRawData);
		}
		pSecHeader++;
	}
	return 0;
}

//移动导出表
BOOL MoveExportTable(PVOID fileName,PVOID newFileName) {
	if (!IncreaseSection(fileName)) {
		printf("Increase section failed\n");
		return FALSE;
	}
	PVOID pFileBuffer = FileToFileBuffer(newFileName);
	//定位导出表
	PIMAGE_DOS_HEADER pDosHeader = pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
		printf("File is not PE\n");
		free(pFileBuffer);
		return FALSE;
	}
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader  + pFileHeader->SizeOfOptionalHeader;
	PIMAGE_SECTION_HEADER pLastSecHeader = pSecHeader + pFileHeader->NumberOfSections - 1;
	if (pOptHeader->DataDirectory[0].VirtualAddress == 0) {
		printf("No export directory\n");
		return TRUE;
	}
	PIMAGE_EXPORT_DIRECTORY pExportTable = VAToFOA(pOptHeader->DataDirectory[0].VirtualAddress, pFileBuffer);
	//写入整张导出函数
	DWORD sizeOfFunctions = pExportTable->NumberOfFunctions * 4;
	PVOID pExporFunctionsAddr = VAToFOA(pExportTable->AddressOfFunctions, pFileBuffer);
	PBYTE pWritePosition = VAToFOA(pLastSecHeader->VirtualAddress, pFileBuffer);
	memcpy(pWritePosition, pExporFunctionsAddr, sizeOfFunctions);
	memset(pExporFunctionsAddr, 0, sizeOfFunctions);
	pExporFunctionsAddr = pWritePosition;
	pWritePosition += sizeOfFunctions;
	//写入序号表
	DWORD sizeOfOrdinals = pExportTable->NumberOfNames * 2;
	PVOID pExportOrdinalsAddr = VAToFOA(pExportTable->AddressOfNameOrdinals, pFileBuffer);
	memcpy(pWritePosition, pExportOrdinalsAddr, sizeOfOrdinals);
	memset(pExportOrdinalsAddr, 0, sizeOfOrdinals);
	pExportOrdinalsAddr = pWritePosition;
	pWritePosition += sizeOfOrdinals;
	//写入名字表
	DWORD sizeOfNames = pExportTable->NumberOfNames * 4;
	PDWORD pExportNamesAddr = VAToFOA(pExportTable->AddressOfNames, pFileBuffer);
	memcpy(pWritePosition, pExportNamesAddr, sizeOfNames);
	memset(pExportNamesAddr, 0, sizeOfNames);
	pExportNamesAddr = pWritePosition;
	pWritePosition += sizeOfNames;
	//写入所有名字,并且顺带修复名字表
	for (size_t i = 0; i < pExportTable->NumberOfNames; i++) {
		PBYTE pFunctionName = VAToFOA(*(pExportNamesAddr + i), pFileBuffer);
		DWORD sizeOfName = strlen(pFunctionName) + 1;
		memcpy(pWritePosition, pFunctionName, sizeOfName);
		memset(pFunctionName, 0, sizeOfName);
		*(pExportNamesAddr + i) = FOAToVA((DWORD)pWritePosition - (DWORD)pFileBuffer, pFileBuffer);
		pWritePosition += sizeOfName;
	}
	//修复导出表,修复目录项,并且移动导出表
	pExportTable->AddressOfFunctions = FOAToVA((DWORD)pExporFunctionsAddr - 
		(DWORD)pFileBuffer, pFileBuffer);
	pExportTable->AddressOfNames = FOAToVA((DWORD)pExportNamesAddr -
		(DWORD)pFileBuffer, pFileBuffer);
	pExportTable->AddressOfNameOrdinals = FOAToVA((DWORD)pExportOrdinalsAddr -
		(DWORD)pFileBuffer, pFileBuffer);
	pOptHeader->DataDirectory[0].VirtualAddress = FOAToVA((DWORD)pWritePosition -
		(DWORD)pFileBuffer, pFileBuffer);
	memcpy(pWritePosition, pExportTable, sizeof(IMAGE_EXPORT_DIRECTORY));
	memset(pExportTable, 0, sizeof(IMAGE_EXPORT_DIRECTORY));
	//存盘
	if (!FileBufferToFile(newFileName,pFileBuffer,pLastSecHeader->PointerToRawData
	+ pLastSecHeader->SizeOfRawData)) {
		printf("write file failed\n");
		return FALSE;
	}
	free(pFileBuffer);
	return TRUE;
}

//移动重定位表
BOOL MoveBaseRelocation(PVOID fileName, PVOID newFileName) {
	if (!IncreaseSection(fileName)) {
		printf("Increase section failed\n");
		return FALSE;
	}
	PVOID pFileBuffer = FileToFileBuffer(newFileName);
	//定位重定位表
	PIMAGE_DOS_HEADER pDosHeader = pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
		printf("File is not PE\n");
		free(pFileBuffer);
		return FALSE;
	}
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader + pFileHeader->SizeOfOptionalHeader;
	PIMAGE_SECTION_HEADER pLastSecHeader = pSecHeader + pFileHeader->NumberOfSections - 1;
	if (pOptHeader->DataDirectory[0].VirtualAddress == 0) {
		printf("No export directory\n");
		return TRUE;
	}
	PIMAGE_BASE_RELOCATION pReloctionTable = VAToFOA(
		pOptHeader->DataDirectory[5].VirtualAddress, pFileBuffer);
	//把数据全部写入新增加的节里
	DWORD sizeOfRelocationTable = 0;
	PVOID pReloctionTableHead = pReloctionTable;
	while (pReloctionTable->VirtualAddress && pReloctionTable->SizeOfBlock) {
		sizeOfRelocationTable += pReloctionTable->SizeOfBlock;
		pReloctionTable = (DWORD)pReloctionTable + pReloctionTable->SizeOfBlock;
	}
	PBYTE pWritePosition = VAToFOA(pLastSecHeader->VirtualAddress, pFileBuffer);
	memcpy(pWritePosition, pReloctionTableHead, sizeOfRelocationTable);
	memset(pReloctionTableHead, 0, sizeOfRelocationTable);
	//改变目录表里的项
	pOptHeader->DataDirectory[5].VirtualAddress = FOAToVA((DWORD)pWritePosition -
		(DWORD)pFileBuffer, pFileBuffer);
	//存盘
	if (!FileBufferToFile(newFileName, pFileBuffer,
		pLastSecHeader->PointerToRawData + pLastSecHeader->SizeOfRawData)) {
		printf("write file failed\n");
		return FALSE;
	}
	free(pFileBuffer);
	return TRUE;
	
}

//测试修改imageBase修改过后,完成修复重定位表能否运行
VOID ReoairRelocationTable(PVOID fileName,DWORD newImageBase) {
	PVOID pFileBuffer = FileToFileBuffer(fileName);
	//定位重定位表
	PIMAGE_DOS_HEADER pDosHeader = pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
		printf("File is not PE\n");
		free(pFileBuffer);
		return FALSE;
	}
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader + pFileHeader->SizeOfOptionalHeader;
	PIMAGE_SECTION_HEADER pLastSecHeader = pSecHeader + pFileHeader->NumberOfSections - 1;
	PIMAGE_BASE_RELOCATION pReloctionTable = VAToFOA(pOptHeader->DataDirectory[5].VirtualAddress,
		pFileBuffer);
	//修改ImageBase
	DWORD diffOfImageBase = newImageBase - pOptHeader->ImageBase;
	pOptHeader->ImageBase = newImageBase;
	//修复重定位表
	while (pReloctionTable->SizeOfBlock && pReloctionTable->VirtualAddress) {
		DWORD items = (pReloctionTable->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / 2;
		PWORD pBlock = pReloctionTable + 1;
		for (size_t i = 0; i < items; i++) {
			if (!(*(pBlock) & 0xf000)) {
				continue;
			}
			DWORD VA = (*(pBlock) & 0x0fff) + pReloctionTable->VirtualAddress; 
			*(PDWORD)(VAToFOA(VA, pFileBuffer)) += diffOfImageBase;
			pBlock++;
		}
		pReloctionTable = (DWORD)pReloctionTable + pReloctionTable->SizeOfBlock;
	}
	//存盘
	if (!FileBufferToFile(fileName, pFileBuffer, pLastSecHeader->PointerToRawData +
		pLastSecHeader->SizeOfRawData)) {
		printf("write file failed\n");
	}
}
123qweqew
关注
2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
努力前行,总会成为自己心中的那道光
02-23 12万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
热门推荐
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
ELF修复重定位问题
weixin_33884611的博客
06-28 756
参考:Linux动态库原理(二)重定位https://blog.csdn.net/hudaliquan/article/details/50055523ELF文件格式(中文版)https://blog.csdn.net/yayong/article/details/178160通过GDB调试理解GOT/PLThttps://blog.csdn.net/qq_32400847/article/det...
2.10 PE结构:重建重定位结构
最新发布
CSDN
09-09 4683
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被加载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
VMP学习笔记之壳的重定位修复(五)
u014738665的博客
10-14 817
理论知识: 1、为什么需要重定位 因为特殊情况这块地址不给用了你要挪到另外一个地方,你本来是在哪里的挪到另外一个地方你还是在哪里 如下图所示: 小明在教室A是第一排,搬到教室B小明还是第一排 2、待修复数据如下: push 0xFACE0002 -------->修复后是:0 mov edi,0xFACE0003 -------->修复后是:新区段首地址VMcontext jmp dword ptr ds:[eax*4+0x474FCF] -------->修复后是:.
obsidium 重定位
zcc1414的专栏
08-30 509
一般  VC  VB  没有重定位
call x86 优化 重定位_关于脱壳后重定位修复 自己写了个半成品工具
weixin_42501331的博客
03-03 122
[/align][align=left]BYTE actionCode[][2] = {/*------------EAX------------------------------*/{ 0x2B, 0x05 },//sub eax,dword ptr ds:[0x3107B0]{ 0x29, 0x05 },//sub dword ptr ds:[0x3107B0],eax{ 0x2A, 0x0...
基于深度和多视点图像的移动对象删除和修复方法
1基于深度和多视点图像Ries Uittenbogaard1,Clint Sebastian2,Julien Vijverberg3,Bas Boom3,Dariu M。...我们提出了一种新的运动对象分割算法,该算法利用多个街景图像的深度所检测到的移动对象被
(Re-)基于插值映射和控制点优化的面网格重构方法
可在ScienceDirect上获得目录列计算设计与工程杂志首页:www.elsevier.com/locate/jcde计算设计与工程学报5(2018)305(Re-)基于插值映射和控制点优化的网格划分Ivan Voutchkova,Andy Keanea,Shahrokh Shahparb...
Android设备研发术语
green1900的专栏
03-08 2万+
A 术语 简介 APSS Applications Subsystem ACDB Audio Calibration Database ADC Analog-to-Digital Conversion,模拟 - 数字转换 ...
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
重定位添加/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
关于内存加载DLL后修复重定位的问题
IT男也疯狂
05-27 2376
看网上的代码好累,摸索整理了一下,顺便巩固下PE 首先介绍下PE头,分为2个部分 1、DOS头 (IMAGE_DOS_HEADER) typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // ASCII字符MZ  WORD e_c
手工脱壳之 UPX 【随机基址】【模拟UPX部分算法】【手工C++重建重定位
aihan8042的博客
03-20 400
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,010Editor UPX壳 3.94: 有了上篇ASPack壳的经验,先查看数据目录: 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口: 通...
用x32/x64dbg脱DLL壳(IAT修复重定位修复)
qq_41866334的博客
05-06 5393
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT,dump并fix pe文件即可. ...
重定位,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2831
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位重定位的是哪些信息,第二个,IAT修复重定位有什么关系。 通俗的说,重定位里面记录的就是写死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位进行重定位。 IAT修复重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
滴水逆向三期实践15:根据重定位修正地址
Rivival_S 的博客
10-28 2589
占坑
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 399
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000时,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位 重定位修复 重定位修复 重定位修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址加上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
重定位的原理&实现
xuplus的专栏
04-15 7929
重定位  病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
使用PowerDesigner从数据库导出结构教程
"本资源介绍了如何使用PowerDesigner从数据库中导出结构,主要涉及了通过ODBC数据源连接IBM DB2的过程,并在PowerDesigner中进行逆向工程操作的步骤。" 在数据库管理和设计中,PowerDesigner是一款强大的建模工具...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值