模拟Loader装载输入函数的RVA地址至FirstThunk

最新推荐文章于 2022-07-11 07:36:00 发布
VIP文章 最新推荐文章于 2022-07-11 07:36:00 发布
阅读量259 收藏
点赞数
分类专栏: 逆向 文章标签: PE结构 导入表 导出表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/90056537
版权

这次模拟了系统在加载程序到内存时,程序的导入表中的FirstThunk被替换的过程。这里只演示了ImportByName的情形,仅供自娱自乐,233333。

#include <Windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#pragma warning(disable:4996)
#pragma warning(disable: 4018)

DWORD CalcFileOffset(PIMAGE_SECTION_HEADER pSectionHeader, DWORD dwVirtualAddr);
BOOL IsPeFormat(UCHAR *data);
bool FindCorrespondingDll(UCHAR *pImportTable, UCHAR *data);
BOOL FindCorrespondingDllFunction(PIMAGE_IMPORT_DESCRIPTOR pImageDescriptor, UCHAR *data);
DWORD FindCorrespondingImportFunctionByName(char *importedFunctionName, char * DllName);
UCHAR *GetFileData(char *fileName);
DWORD GetExportTableRVA(UCHAR *data);

DWORD numberOfSections = 0;//区块表数目

BOOL IsPeFormat(UCHAR *data)//check 是否是pe文件格式
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)data;
	PIMAGE_NT_HEADERS pFileHeader = NULL;

	if (pDosHeader->e_magic == IMAGE_DOS_SIGNATURE) {
   
		pFileHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader+pDosHeader->e_lfanew);
		if (pFileHeader->Signature == IMAGE_NT_SIGNATURE)//若这两个签名都满足 说明是PE格式文件
			return TRUE;
	}

	return FALSE;
}


bool FindCorrespondingDll(UCHAR *pImportTable, UCHAR *data)//找到给定pe文件的依赖dll,即导入的各项的dll,然后再分发给子函数 
{
   
	PIMAGE_IMPORT_DESCRIPTOR pImageDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)pImportTable;//输入表以一个全0的PIMAGE_IMPORT_DESCRIPTOR作为结束条件
	UCHAR *zeroBuf = (UCHAR *)malloc(sizeof(IMAGE_IMPORT_DESCRIPTOR));
	memset(zeroBuf, 0, sizeof(IMAGE_IMPORT_DESCRIPTOR));

	while (memcmp(pImageDescriptor, zeroBuf, sizeof(IMAGE_IMPORT_DESCRIPTOR)) != 0) {
   //当输入表描述符不为全0时
		//每个输入表描述符描述一个DLL的信息,送入相应的处理函数处理每一个DLL
		FindCorrespondingDllFunction(pImageDescriptor, data);//送入一个DLL描述符
		pImageDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImageDescriptor + sizeof(IMAGE_IMPORT_DESCRIPTOR));//获取下一个输入表描述符
	}
	return TRUE;
}

BOOL FindCorrespondingDllFunction(PIMAGE_IMPORT_DESCRIPTOR pImageDescriptor, UCHAR *data)//用于获得每个DLL的相应的函数的函数名用于二进制比较 函数名都是ASCII字符串
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)data;
	PIMAGE_NT_HEADERS pFileHeader = (PIMAGE_NT_HEADERS)((DWORD)data + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pHeader = (PIMAGE_FILE_HEADER)(&pFileHeader->FileHeader);//获取fileHeader
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)(&pFileHeader->OptionalHeader);//获得可选头地址
	PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)IMAGE_FIRST_SECTION(pFileHeader);//获取区块表地址
	DWORD offsetOfDllName = CalcFileOffset(pSectionHeader
最低0.47元/天 解锁文章
_Nigel_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件关于虚拟相对地址RVA与基于文件的偏移地址关系
tomorrowsprogress的专栏
11-05 1969
 由PE装载器将PE文件加到虚拟内存时使用的地址均是RVA地址, 而在文件中存放的数据的地址是基于文件的偏移地址, 因此存在一个从RVA到偏移地址的转换过程。当我们通过内存映射文件的方式获取文件数据内容时使用的是基于文件的偏移地址,这样才能正确获取我们所要获取的数据。template void DumpImportsSection(PBYTE pImageBase, T * pNTHeade
OllyDBG 入门系列(七)-汇编功能
子曰小玖的博客
10-29 550
今天我们的目标程序是 MyUninstaller 1.34 版。这是一个非常小的程序卸载工具,VC6编写,大小只有61K。我拿到的这个是上次闪电狼兄弟给我的,附带在里面的简体中文语言文件是由六芒星制作的。这个程序有个毛病:就是在列出的可卸载程序上双击查看属性时,弹出的属性窗口的字体非常难看,应该就是系统字体(SYSTEM_FONT): 我们今天的目标就是利用 OllyDBG 的汇编功能把上面显示的字体改成我们常见的9号(小五)宋体。首先我们用 OllyDBG 载入程序,按 CTR+N 组合键查找一下有哪些
Thunkthunkthunk
_1943 的专栏
03-13 647
    Thunk是一种技术,你觉得它是不是Knuth(Donald.E.Knuth 爷爷的名字)反过来而得的呢?它做了运行时函数行为的更改,即当执行了Thunk代码,Thunk代码会转而执行类成员函数代码,而这段Thunk代码是精心构造的,包括参数入栈和堆栈平衡工作,当然ATL有ATL的Thunk,我也写了一段。
PE结构导入中的双桥结构
weixin_43742894的博客
05-15 1086
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件:导入》:https://blog.csdn.net/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
Windows:PE格式之输入
无名J0kзr的博客
03-21 471
文章目录杂数据目录输入 杂 前文是 操作系统:32位PE文件结构 数据目录 位置:ImageNtHeaders->OptionalHeader->DataDirectory 描述:由NumberOfRvaAndSizes个IMAGE_DATA_DIRECTORY结构体组成的数组 包含有:输入、输出、资源、重定位等数据目录项的RVA和大小 输入、输出又称导入导出 输入 ...
PE导入和IAT的原理及工作关系
qq_35289660的博客
07-14 4365
PE导入和IAT的原理及工作关系 文章目录PE导入和IAT的原理及工作关系0.说明1.PE导入和IAT大致工作关系(1)为什么会有IAT(2)为什么会有导入2.导入和IAT的真正关系(原理)(1)OriginalFirstThunk(2)Name(3)FirstAddress3.C语言解析导出(1)建议(2)C源代码4.移动导出到新增节区(1)流程(2)我遇到的困难(3)C源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水
查找(Dll)基地址和指定函数地址的一种方法
08-12
根据输出RVA和基址取输出的FAT,FNT 再然后就是暴力男人狂搜FNT说指向的API名称,并和我们想要的API名称进行对比,找到后返回FAT找其地址
RVA-FOA转换工具
09-29
一个简单的RVA-FOA转换工具。
RVA:RNAseq可视化自动化
05-22
RNAseq可视化自动化RNAseq可视化自动化安装RVA install.packages( " RVA " ) 装入包装以供使用library( RVA )加载示例数据让我们加载一个摘要统计,并将它们组合到一个名为d1的列中。 df <- RVA :: Sample_...
windows下的pe loader源代码
02-09
参考网上的一些资料写了一个pe loader,主要是通过把需要加载的文件的所所有section加载到相应的RVA上,然后进行重定位处理、导入导出处理、资源段处理。
RVA:储层可视化与分析
05-11
RVA 储层可视化与分析
导入内注入代码(一)
domisou
09-23 1955
 导入内注入代码(一)作者: Ashkbiz Danehkar翻译:小刀人原文出处下载源代码(包括:itview.zip (87.1 KB) pemaker6.zip (96.6 KB) pemaker7.zip (193 KB)zimport.zip (130 KB)。译注:本文代码可在VS2003及WINDOWSXP+sp2下正常运行,Windows2000下ITview功能
PE解析器的编写(四)——数据目录的解析
Masimaro的专栏
05-08 1805
PE结构中最重要的就是区块和数据目录,上节已经说明了如何解析区块,下面就是数据目录,在数据目录中一般只关心导入导出和资源这几个部分,但是资源实在是太复杂了,而且在一般的病毒木马中也不会存在资源,所以在这个工具中只是简单的解析了一下导出导出。这节主要说明导入,下节来说导出RVA到fRva的转化 RVA转化为fRva主要是通过某个数据在内存中的相对偏移地址找到其在文
如何从PIMAGE_IMPORT_DESCRIPTOR节,得到某个API函数导入函数)代码地址
lessonzhe的专栏
04-24 3746
//功能:得到某个API函数导入函数)代码地址//参数://pImport: PIMAGE_IMPORT_DESCRIPTOR//pProcName: 函数名或序号const FARPROC GetFunctionFARPROC( PIMAGE_IMPORT_DESCRIPTOR pImport, LPCSTR pProcName) { PIMAGE_THUNK_DATA pThunk;
FirstThunk
weixin_33754065的博客
10-02 136
FirstThunk 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3846788.html
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 5836
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段导入结构详解:https://blog.csdn.net/qq_30145355/article/d...
得到函数 RVA
FISH 的专栏
02-16 1863
 
VA
oathevil的专栏
08-03 786
<br /> <br />对于Raw的理解,   习惯上人们喜欢叫它为 "对齐 "了的什么什么,   但是这样反而增加了理解上的难度,   其实它的意思就是文件中的地址或长度.比如: <br />SizeOfRawData           :0x200     ->   示本节在文件中占了0x200字节 <br />PointerToRawData     :0x400     ->   示本节在文件中的偏移量是0x400 <br /><br />对于VA和RVA,   示一个PE文件被加载到内存
获取IAT中的函数地址
最新发布
06-01
获取IAT中的函数地址可以使用以下步骤: 1. 获取PE文件的基地址 2. 定位到PE文件的导入Import Table),获取导入RVA 和 Size 3. 遍历导入中的每一个导入描述符(Import Descriptor) 4. 对于每一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值