滴水逆向三期实践14:移动重定位表

最新推荐文章于 2023-10-17 17:34:36 发布
最新推荐文章于 2023-10-17 17:34:36 发布
阅读量650 收藏 1
点赞数
分类专栏: 滴水逆向三期 文章标签: RELOCATION 重定位表 重定向表 PE 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39805477/article/details/121023879
版权

重定位表的移动相比导出表就简单太多了,因为重定位表相当于只有一个大表。统计一下这个“大表”的大小,全部移动到新节就行了。因为是使用下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的,所以拷贝的时候也把这8字节的全0内容也加上一起拷贝进新节。

 最后修改数据目录中的 VirtualAddress 指向新节 RVA 即可。

代码有详细注释


#include "Currency.h"
#include "windows.h"
#include "stdio.h"

void h3262()		//移动重定位表到新节
{
	char FilePath[] = "CRACKME.EXE";	//CRACKME.EXE        CrackHead.exe     Dll1.dll		R.DLL	LoadDll.dll
	char CopyFilePath[] = "CRACKMEcopy.EXE";	//CRACKMEcopy.EXE       CrackHeadcopy.exe
	LPVOID pFileBuffer = NULL;				//会被函数改变的 函数输出之一
	LPVOID* ppFileBuffer = &pFileBuffer;	//传进函数的形参
	
	int SizeOfFileBuffer;
	int SizeOfNewFileBuffer;
	LPVOID pNewFileBuffer = NULL;
	LPVOID* ppNewFileBuffer = &pNewFileBuffer;

	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;
	PIMAGE_BASE_RELOCATION pRelocationTable = NULL;
	PIMAGE_SECTION_HEADER pNewSectionHeader = NULL;		//指向最后一个节表的下一个节表,即不存在的节表作为新开辟的节表
	DWORD nameFOA = NULL;
	DWORD AddressOfNamesFOA = NULL;

	SizeOfFileBuffer = ReadPEFile(FilePath, ppFileBuffer);	//pFileBuffer即指向已装载到内存中的exe首部
																/*pFileBuffer = *ppFileBuffer;*/
	if (!SizeOfFileBuffer)
	{
		printf("文件读取失败\n");
		return;
	}
	//Dos头
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;	// 强转 DOS_HEADER 结构体指针
	//可选PE头	  简化后的处理
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileBuffer + pDosHeader->e_lfanew + 4 + IMAGE_SIZEOF_FILE_HEADER);
	//重定向表
	pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer + RVA2FOA(pFileBuffer, pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress));
	printf("RelocationTable VirtualAddress:%x\n", pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
	if (!pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress)
	{
		printf("该文件没有重定向表!\n");
		return;
	}
	int i = 1;
	int SizeOfRelocationTable = 0;	//重定向表的大小,单位字节
	while (pRelocationTable->VirtualAddress && pRelocationTable->SizeOfBlock)
	{
		printf("第%d个块VirtualAddress:%x\n", i, pRelocationTable->VirtualAddress);
		printf("第%d个块SizeOfBlock:%x\n", i, pRelocationTable->SizeOfBlock);
		SizeOfRelocationTable += pRelocationTable->SizeOfBlock;
		printf("第%d个块项数:%d\n", i, (pRelocationTable->SizeOfBlock - 8) / 2);
		pRelocationTable = (PIMAGE_BASE_RELOCATION)(pRelocationTable->SizeOfBlock + (DWORD)pRelocationTable);
		i++;
	}
	SizeOfRelocationTable += 8;	//加上最后全0的八字节
	printf("重定位表的大小:%d\n", SizeOfRelocationTable);
	//新增节,可能头抬升,因此全拷贝到pNewFileBuffer,之后上面的寻址得全部来一遍
	SizeOfNewFileBuffer = AddNewSection(pFileBuffer, SizeOfFileBuffer, SizeOfRelocationTable, ppNewFileBuffer);
	//重新对pNewFileBuffer来一遍
	//Dos头
	pDosHeader = (PIMAGE_DOS_HEADER)pNewFileBuffer;	// 强转 DOS_HEADER 结构体指针
	//PE头
	pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNewFileBuffer + pDosHeader->e_lfanew + 4);	//NT头地址 + 4 为 FileHeader 首址
	//可选PE头
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
	//首个节表
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
	for (int i = 1; i < pFileHeader->NumberOfSections; i++, pSectionHeader++)	//注意这里i从1开始 i < NumberOfSections
	{
	}	//出循环后pSectionHeader指向最后一个节表,也即新的节表
	pNewSectionHeader = pSectionHeader;

	//旧重定向表绝对地址
	pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pNewFileBuffer + RVA2FOA(pNewFileBuffer, pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress));

	//拷贝重定位表  新filebuffer头+新节表中的文件偏移 作为拷贝目的地址     旧重定向表绝对地址为拷贝源 
	memcpy(PVOID((DWORD)pNewFileBuffer + pNewSectionHeader->PointerToRawData ), pRelocationTable, SizeOfRelocationTable);
	//修改重定位表的地址值           节头 + 偏移
	pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress = pNewSectionHeader->VirtualAddress ;

	//输出测试
	//计算新的重定向表
	pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pNewFileBuffer + RVA2FOA(pNewFileBuffer, pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress));
	printf("RelocationTable VirtualAddress:%x\n", pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
	if (!pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress)
	{
		printf("该文件没有重定向表!\n");
		return;
	}
	i = 1;
	while (pRelocationTable->VirtualAddress && pRelocationTable->SizeOfBlock)
	{
		printf("第%d个块VirtualAddress:%x\n", i, pRelocationTable->VirtualAddress);
		printf("第%d个块SizeOfBlock:%x\n", i, pRelocationTable->SizeOfBlock);
		printf("第%d个块项数:%d\n", i, (pRelocationTable->SizeOfBlock - 8) / 2);
		pRelocationTable = (PIMAGE_BASE_RELOCATION)(pRelocationTable->SizeOfBlock + (DWORD)pRelocationTable);
		i++;
	}

	MemeryToFile(pNewFileBuffer, SizeOfNewFileBuffer, CopyFilePath);
	free(pNewFileBuffer);
	free(pFileBuffer);

}

这里最后会再次根据新内存找到新的重定位表,然后打印重定位表内容,看是否和移动前打印的一致。用做一定的移动成功的验证。

 

Revival_S
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
移动重定位和模拟windows重定位过程
weixin_43990313的博客
07-20 359
移动重定位 思路 大体上和移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
PE导出重定位详解
93Storm
12-31 2442
此文档主要讲解导出重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出重定位的地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录 数据目录中的内容: structIMAGE_DATA_DIRECTORY  Export
逆向】通过新增节移动导出重定位(附完整代码,直接可运行)
最新发布
fzucaicai的博客
10-17 778
但是我之前一直不理解,特么为毛要挪动函数名字符串啊,这玩意不是等dll解密出来就能用了吗? 百思不得其解,去问大佬们,大佬们说的我都听又听不懂,学又学不会。很淦 但是我只能装作听懂的样子,感谢大佬们的赐教,其实我是不懂的,经过一番摸索,我终于悟了! 首先给大家看看用def导出的dll应该怎么使用 首先 ,加了密后,只有使用Dll的时候,dll才会解密,那在dll外想要调用dll
移动导出移动重定位滴水逆向三期51笔记+作业源码】
WdIg-2023的博客
03-28 411
前面章节我们了解了PE文件中的导出重定位,今天我们来学习如何来移动导出重定位
PE_移动重定位
qq_42363151的博客
09-25 81
PE
手工解析PE(将重定位移动到新增节中)
GNAIXGNAHZ的博客
07-03 249
手工解析PE(将重定位移动到新增节中)
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期课件,滴水逆向三期课件下载源码.zip
10-15
滴水逆向三期课件,滴水逆向三期课件下载源码
滴水逆向三期课件(全)
04-03
滴水逆向三期所有课件,需要的速度下载,全部课件,是xls格式的,也就是视频里的excel课件,用的7z最小体积压缩,方便下载!
移动导出-重定位滴水
若面朝大海边竹妮春暖花开的博客
05-02 503
PE文件的各种示编译器生成的,里面存储了非常重要的信息 在程序启动的时候,系统会根据这些做初始化的工作 当要对程序进行加密时,需要将这些移到自己创建的节里,不然程序运行不起来 ...
移动重定位到新增节
hambaga的博客
05-20 340
一、为什么要移动重定位 数据目录中的是分散在各个节里的,如果对节进行加密,操作系统找不到,就无法加载程序。因此加密前要先把移动到新的节里。 二、怎么移动 计算重定位的大小,首先要遍历重定位,累加 SizeOfBlock,然后新增一个节,大小是的大小文件对齐。最后把复制到新增节的开头,然后更新数据目录的VirtualAddress指向新的重定位。 三、代码 // 移动重定位到新增节,返回新缓冲区的大小 DWORD MoveRelocationTableToNewSection(LPVOID
移动导出-重定位
lygl35的博客
02-27 166
滴水逆向——移动重定位
sunr.
04-14 536
1.移动要点: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 #...
SGX初始化中ELF文件解析
小气球归来的博客
08-09 655
ELF文件布局 ELF文件格式是这样的,可以参考“Linux内核之ELF格式解析“。 一个需要区分的知识点就是,左边代了Link View,指ELF在链接的时候对ELF文件的布局,这时候关注的是Seciton节,节的布局信息收集在Section Header Table中;右边代了Execution View,指ELF加载到内存运行的时候ELF文件的布局,这时候关注的是Segment段,段的布局信息收集在Program Header Table中。 ElfParser::ElfParser()
滴水逆向三期 PE基础 移动重定位与修改IMAGEBASE
四位的博客
05-16 1856
分析 一 移动重定位 直接把整张复制后修改目录的RVA即可 二 修改ImageBase ①首先当然是修改ImageBase ②遍历重定位中的数据加上新旧ImageBase的差值, 就是在打印的基础上加上修改数据 重定位的结构 SECTION为所属区段, RVA为大, items为有多少数据(SizeofBlock-8)/2 因为小为word RVA为要修改数据的地址(非真实地址) offset为文件偏移 type为数据属性 FarAddress为真正的地址也是修改imagebase后应该修改
滴水三期逆向基础系列(五)-解析重定位
henuyl的博客
04-28 393
很简单,直接贴代码吧 主要要注意RVA转FOA!!! VOID ReturnAllRelocation( IN LPVOID pFileBuffer ){ if(pFileBuffer == NULL){ return; } PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS64 inh = NULL; PIMAGE_OPTI...
移动导出重定位
qq_41232519的博客
09-06 404
文章目录一、移动导出二、移动重定位 一、移动导出 第一步:在DLL中新增一个节,并返回新增后的FOA 第二步:复制AddressOfFunctions 长度:4*NumberOfFunctions 第三步:复制AddressOfNameOrdinals 长度:NumberOfNames*2 第四步:复制AddressOfNames 长度:NumberOfNames*4 第五步:复制所有的函数名 长度不确定,复制时直接修复AddressOfNames
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
07-05
滴水逆向是指通过逆向工程的手段对软件进行分析和研究的过程。滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载课件,学习者可以在没有网络连接的情况下随时查看和学习课程内容,从而提高学习的便利性和效果。 CC源码是指开放源代码的软件项目或应用程序。CC源码通常是直接提供给用户,使他们可以查看、修改和运行软件的源代码。通过查看CC源码,开发者可以了解软件的内部结构和功能实现方式,从而更好地理解和定制软件。 滴水逆向三期课件下载和CC源码提供了学习者学习滴水逆向技术的重要资源。通过研究课件和源码,学习者可以深入了解滴水逆向的理论和实践知识,提高逆向工程能力,并且可以在实际项目中应用这些知识和技巧。这对于提高软件开发和安全评估的能力都具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值