移动导出表和重定位表

最新推荐文章于 2024-07-15 21:01:41 发布
最新推荐文章于 2024-07-15 21:01:41 发布
阅读量422 收藏 1
点赞数
分类专栏: 笔记 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41232519/article/details/108430736
版权
笔记 同时被 2 个专栏收录
94 篇文章 3 订阅
订阅专栏
PE
26 篇文章 2 订阅
订阅专栏

文章目录

一、移动导出表

第一步:在DLL中新增一个节,并返回新增后的FOA

第二步:复制AddressOfFunctions

长度:4*NumberOfFunctions

第三步:复制AddressOfNameOrdinals

长度:NumberOfNames*2

第四步:复制AddressOfNames

长度:NumberOfNames*4

第五步:复制所有的函数名

长度不确定,复制时直接修复AddressOfNames					
					0X123456

第六步:复制IMAGE_EXPORT_DIRECTORY结构

第七步:修复IMAGE_EXPORT_DIRECTORY结构中的

AddressOfFunctions					
					
AddressOfNameOrdinals					
					
AddressOfNames

第八步:修复目录项中的值,指向新的IMAGE_EXPORT_DIRECTORY

二、移动重定位表

将重定位表复制一份到新增的节
VirtualAddress指向新增的地址

lnterpreter
关注
专栏目录
移动重定位到新增节
hambaga的博客
05-20 350
一、为什么要移动重定位 数据目录中的是分散在各个节里的,如果对节进行加密,操作系统找不到,就无法加载程序。因此加密前要先把移动到新的节里。 二、怎么移动 计算重定位的大小,首先要遍历重定位,累加 SizeOfBlock,然后新增一个节,大小是的大小文件对齐。最后把复制到新增节的开头,然后更新数据目录的VirtualAddress指向新的重定位。 三、代码 // 移动重定位到新增节,返回新缓冲区的大小 DWORD MoveRelocationTableToNewSection(LPVOID
PE导出重定位详解
93Storm
12-31 2470
此文档主要讲解导出重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出重定位的地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录 数据目录中的内容: structIMAGE_DATA_DIRECTORY  Export
移动导出-重定位
lygl35的博客
02-27 173
PE文件(十一)移动导出重定位
最新发布
2301_78838647的博客
07-15 869
默认情况下.DLL的ImageBase为0x10000000,所以如果一个程序要用的DLL没有合理的修改分配装载起始地址,就可能出现多个DLL的ImageBase都是同一个地址,造成装载冲突。如果只移动函数名称的话,对剩下的数据加密后,当需要根据函数名去调用导出函数时,由于字符串被加密,只能根据函数名称查到名称字符串所在地址,但是无法匹配字符串。6.修改导出中的成员值,指向三个子在新节中的位置,由于各个子导出的地址数据是RVA,因此需要将FOA转成RVA。
移动导出-重定位(滴水)
若面朝大海边竹妮春暖花开的博客
05-02 529
PE文件的各种示编译器生成的,里面存储了非常重要的信息 在程序启动的时候,系统会根据这些做初始化的工作 当要对程序进行加密时,需要将这些移到自己创建的节里,不然程序运行不起来 ...
PE结构之重定位
weixin_30462049的博客
11-13 174
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
滴水逆向三期实践14:移动重定位
Rivival_S 的博客
10-28 685
重定位移动相比导出就简单太多了,因为重定位相当于只有一个大。统计一下这个“大”的大小,全部移动到新节就行了。因为是使用下一块 VirtualAddress 和 SizeOfBlock是否全0来判断重定位是否结束的,所以拷贝的时候也把这8字节的全0内容也加上一起拷贝进新节。 最后修改数据目录中的 VirtualAddress指向新节 RVA 即可。 代码有详细注释 #include "Currency.h" #include "windows.h" #include "st...
PE之移动导出
windows小菜鸡的博客
08-18 624
1、移动各种的目的 (1)在程序启动时,系统会根据导入导出进行初始化工作。为了保护程序,一般会对exe程序的二进制进行加密等工作,但是一旦将这些进行了加密,那么系统在初始化的时候没办法找到这些,也无法启动程序。 (2)在对程序加密之前,需要对一些关键的进行移动后,再对原来的数据进行加密,这样才不能破坏原来的程序。 (3)学会移动各种,是对程序加密/破解的基础。 2、如何移动导出 上一篇文章,提到了如何对导出进行解析,导出的结构如图下。 导出的位置是在可选PE头的第一项,如图,我们可
记录,在用c/c++解析pe结构时的一个非常莫名其妙的bug(出现在移动导出重定位等操作中)
qq_32067613的博客
10-29 135
这些天拿起了滴水三期的视频去重温一下pe结构,解决这个该死的bug 在free内存的时候莫名其妙给了一个断点。 各种搜索引擎轮番查找之后问题还在,根本美誉偶解决,抓耳挠腮之后,我决定把代码放到vc++6.0上运行。 图就不给了,反正还是内存断到了某个函数(比vs具体多了,vs太抽象)。 又是一顿百度,完全查不到时内存哪里出了错,直到我一条一条的删减运行,最终发现了罪魁祸首。 就是这个该死的tem++。 我本以为直接++去让它这个结构体自己往下走就好了,谁..
移动重定位和模拟windows重定位过程
weixin_43990313的博客
07-20 371
移动重定位 思路 大体上和移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
移动导出
weixin_43990313的博客
07-16 280
移动导出: 思路: 添加节之后新建一个句柄用来重新安排结构情况,然后将的句柄的内容写入读入的数据流中。 前期知识: fopen()和 fclose() 两个函数都是文件操作函数,对数据流进行操作 fopen将文件读入一个文件流,文件流就是文件原本的形式。 fclose()将文件流关闭。 fwrite():fwrite(NewBuffer,pOptionalHeader->SizeOfImage,1,fp); 可以直接将内存写入数据流中 RVA 和 FOA的转化: FOA->RVA:修改新的导出
重定位
dre4merp
05-16 500
首先我们要知道PE文件在映射进内存的时候有一个默认基址保存在可选头的ImageBase中 所以每次在映射进内存的时候都会在这个地址进行映射,都是所有的dll的默认基址都是一样的,如果一个dll的默认基址已经被其他dll占据了怎么办。只能映射到别的地方。从而ImageBase中的值就没有了参考价值。 程序中有许多常量值是按照基址为ImageBase编写的, Offset HEX Assembly 10001000 55 push ebp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值