移动导出表

最新推荐文章于 2022-12-22 21:42:12 发布
最新推荐文章于 2022-12-22 21:42:12 发布
阅读量316 收藏 1
点赞数
分类专栏: 笔记 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41232519/article/details/109000876
版权
笔记 同时被 2 个专栏收录
94 篇文章 3 订阅
订阅专栏
PE
26 篇文章 2 订阅
订阅专栏

文章目录

一、流程

1、File-> FileBuffer
2、添加节
3、定位导出表
4、将导出函数名称表、导出函数地址表、导出函数序号表Rva转Foa
5、定位导出函数名称表、导出函数地址表、导出函数序号表
6、移动导出函数名称表、导出函数地址表、导出函数序号表
7、复制导出函数名称表中的名称
8、获取函数名称的偏移
9、移动函数名称,并修复导出函数名称表
10、移动导出表结构体
11、修复导出函数名称表、导出函数地址表、导出函数序号表(Foa转Rva)
12、修复导出表的地址

二、演示

1、File-> FileBuffer

		DWORD	Size			=	0;
		BOOL	isok			=	FALSE;	
		LPVOID	pFileBuffer		=	NULL;

		//File-> FileBuffer
		Size = ReadPEFile(FILEPATH_IN,&pFileBuffer);	//调用函数读取文件数据
		if(!pFileBuffer || !Size)
		{
			printf("File-> FileBuffer失败");
			return;
		}

2、添加节

	    PIMAGE_DOS_HEADER pDosHeader = NULL;//DOS头
        PIMAGE_NT_HEADERS pNtHeader = NULL;//NT头
        PIMAGE_FILE_HEADER pFileHeader = NULL;//标准PE头
        PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;//拓展PE头
        PIMAGE_SECTION_HEADER pSectionHeader = NULL;//节表
        PIMAGE_SECTION_HEADER pNewSec = NULL;//新节表结构
        PIMAGE_EXPORT_DIRECTORY pExportDirectory = NULL; //导出表结构体

        pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

        //判断是否有足够的空间添加节表
		if((DWORD)pNtHeader - (DWORD)pDosHeader - 0x40 < sizeof(IMAGE_SECTION_HEADER))
		{
			printf("没有多余空间");
			free(pFileBuffer);
			return;
		}

		memcpy((void*)((DWORD)pDosHeader + 0x40),
				pNtHeader,
				(DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);
		
		pDosHeader->e_lfanew = 0x40;
		
		pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
		
        //新增节表结构
        pNewSec = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections);

		memset(pNewSec, 0, (DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);

        //修改节表内容
        memcpy(pNewSec->Name,".export",8);//修改节表名

        PIMAGE_SECTION_HEADER upSecHeader = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections-1);

        if(upSecHeader->Misc.VirtualSize > upSecHeader->SizeOfRawData)//修改节表VrituallAddress
        {
                pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->Misc.VirtualSize;
        }else{
                pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->SizeOfRawData;
        }

        pNewSec->SizeOfRawData = 0x1000;//新增的节区的大小
        pNewSec->PointerToRawData = upSecHeader->PointerToRawData + upSecHeader->SizeOfRawData;//文件中的偏移
        pNewSec->Characteristics = 0x60000020;//修改属性(可执行)

3、定位导出表

	    //修改NT头属性
        pFileHeader->NumberOfSections += 1;//修改NumberOfSection数量
        pOptionalHeader->SizeOfImage += 0x1000;//修改SizeOfImage大小

        LPVOID NewBuffer = malloc(pOptionalHeader->SizeOfImage);//申请内存
        memset(NewBuffer, 0, pOptionalHeader->SizeOfImage);//初始化内存

        memcpy(NewBuffer, pFileBuffer,Size);//复制内存

4、将导出函数名称表、导出函数地址表、导出函数序号表Rva转Foa

	    //定位导出表
        DWORD ExportFoa = NULL;//导出表FOA
        PDWORD AddressOfNames = NULL;//导出函数名称表
        LPVOID AddressOfFunctions = NULL;//导出函数地址表
        PWORD AddressOfNameOrdinals = NULL;//导出函数序号表

        DWORD AddressOfNamesFOA = NULL;//导出函数名称表FOA
        DWORD AddressOfFunctionsFOA = NULL;//导出函数地址表FOA
        DWORD AddressOfNameOrdinalsFOA = NULL;//导出函数序号表FOA

        ExportFoa = RvaToFoa(pOptionalHeader->DataDirectory[0].VirtualAddress,pFileBuffer);//获取导出表的地址FOA

        pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pFileBuffer + ExportFoa);//定位导出表

5、定位导出函数名称表、导出函数地址表、导出函数序号表

  		AddressOfNamesFOA = RvaToFoa(pExportDirectory->AddressOfNames,pFileBuffer);//获取导出函数名称表FOA
        AddressOfFunctionsFOA = RvaToFoa(pExportDirectory->AddressOfFunctions,pFileBuffer);//获取到处函数地址表FOA
        AddressOfNameOrdinalsFOA = RvaToFoa(pExportDirectory->AddressOfNameOrdinals,pFileBuffer);//获取导出函数序号表FOA

        AddressOfNames = (PDWORD)((DWORD)pFileBuffer + AddressOfNamesFOA);//定位导出函数名称表
        AddressOfFunctions = (LPVOID)((DWORD)pFileBuffer + AddressOfFunctionsFOA);//定位导出函数地址表
        AddressOfNameOrdinals = (PWORD)((DWORD)pFileBuffer + AddressOfNameOrdinalsFOA);//定位导出函数序号表

6、移动导出函数名称表、导出函数地址表、导出函数序号表

  		//复制AddressOfFunctions表
        LPVOID pNewSecAddr = (LPVOID)((DWORD)NewBuffer+pNewSec->PointerToRawData);//定位新节表的地址
        memcpy(pNewSecAddr,AddressOfFunctions,(pExportDirectory->NumberOfFunctions * 4));

        //复制AddressOfNameOrdinals表
        pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + (pExportDirectory->NumberOfFunctions * 4));
        memcpy(pNewSecAddr,AddressOfNameOrdinals,(pExportDirectory->NumberOfNames * 2));

        //复制AddressOfNames
        pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + (pExportDirectory->NumberOfNames * 2));
        PDWORD NameAddr = (PDWORD)pNewSecAddr;//这里存储一下函数地址名称表的地址,以便后边移动名称的时候修改相应地址
        memcpy(pNewSecAddr,AddressOfNames,(pExportDirectory->NumberOfNames * 4));

7、复制导出函数名称表中的名称

 	    //复制函数名称表中的名称
        pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + (pExportDirectory->NumberOfNames * 4));

8、获取函数名称的偏移

  DWORD NameAddOffset = (DWORD)pNewSecAddr - (DWORD)NewBuffer;//函数名称偏移

9、移动函数名称,并修复导出函数名称表

 for(size_t i=0;i < pExportDirectory->NumberOfNames;i++,AddressOfNames++)
        {
                DWORD NameOffset = (DWORD)*AddressOfNames;
                PCHAR FName = (PCHAR)((DWORD)pFileBuffer + NameOffset);
                size_t l = 0;

                *NameAddr = FoaToRva(NameAddOffset,NewBuffer);//复制函数名称偏移到地址中
                NameAddr = (PDWORD)((DWORD)NameAddr + 0x4);

                while(FName[l] != '\0')
                {
                        l += 1;
                }

                NameAddOffset += (l+1);
                memcpy(pNewSecAddr,FName,(l+1));//复制函数名字符串到地址中

                pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + l+1);
        }

10、移动导出表结构体

	    //复制IMAGE_EXPORT_DIRECTORY结构体
        memcpy(pNewSecAddr,pExportDirectory,pOptionalHeader->DataDirectory[0].Size);
        PIMAGE_EXPORT_DIRECTORY pNewExportDirectory = (PIMAGE_EXPORT_DIRECTORY)pNewSecAddr;//地址赋值给新的导出表结构体

11、修复导出函数名称表、导出函数地址表、导出函数序号表(Foa转Rva)

 	    //复制IMAGE_EXPORT_DIRECTORY结构体
        memcpy(pNewSecAddr,pExportDirectory,pOptionalHeader->DataDirectory[0].Size);
        PIMAGE_EXPORT_DIRECTORY pNewExportDirectory = (PIMAGE_EXPORT_DIRECTORY)pNewSecAddr;//地址赋值给新的导出表结构体

12、修复导出表的地址

	    //修复目录项中的值,指向新的导出表的地址RVA
        pDosHeader = (PIMAGE_DOS_HEADER)NewBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
        pOptionalHeader->DataDirectory[0].VirtualAddress = FoaToRva((DWORD)pNewExportDirectory - (DWORD)NewBuffer,NewBuffer);

13、存盘

 		isok = MemeryTOFile(NewBuffer,Size+1000,FILEPATH_OUT);
		if(isok)
		{
			printf("存盘成功");
			return;
		}
	
		//释放内存
		free(pFileBuffer);
		free(NewBuffer);
		return;

三、完整代码

#include "stdafx.h"
#include <windows.h>
#include "stdlib.h"	

#define FILEPATH_IN "C:/testdll.dll"
#define FILEPATH_OUT "C:/copyxx.dll"


DWORD ReadPEFile(IN LPSTR lpszFile,OUT LPVOID* pFileBuffer )
{
	FILE	*pFile		=	NULL;			
	DWORD	fileSize	=	0;			//文件大小
	LPVOID	pTempFileBuffer	=	NULL;	//缓冲区首地址

	
	pFile = fopen(lpszFile,"rb");	//打开文件
	if(!pFile)
	{
		printf("打开文件失败");
		return NULL;
	}

	//读取文件大小
	fseek(pFile,0,SEEK_END);		//将指针从开始的位置移动到末尾
	fileSize = ftell(pFile);		//获取数据大小

	//分配缓冲区(申请内存)
	pTempFileBuffer = malloc(fileSize);
	if(!pTempFileBuffer)
	{
		printf("分配空间失败");
		fclose(pFile);
		return NULL;
	}

	//将文件数据读取到缓冲区
	fseek(pFile,0,SEEK_SET);	//将指针指向开始
	size_t n = fread(pTempFileBuffer,fileSize,1,pFile);	//将数据读取到缓冲区中
	if(!n)
	{
		printf("读取数据失败");
		free(pTempFileBuffer);		//释放内存
		fclose(pFile);			//关闭文件
		return NULL;
	}

	//关闭文件
	*pFileBuffer = pTempFileBuffer;
	pTempFileBuffer = NULL;
	fclose(pFile);				//关闭文件
	return fileSize;		
}



BOOL MemeryTOFile(LPVOID pMemBuffer,size_t size,LPSTR lpszFile)
{
	FILE *fp = NULL;
	fp = fopen(lpszFile,"wb+");	
	if(!fp)
	{
		printf("存盘失败");
		return FALSE;
	}
	fwrite(pMemBuffer,size,1,fp);	//向磁盘写入数据
	fclose(fp);	//关闭文件
	fp = NULL;
	return TRUE;	

}
//**********************************************************************
DWORD RvaToFoa(DWORD RVA,LPVOID pFileBuffer)
{
        DWORD FOA = NULL;
        PIMAGE_DOS_HEADER pDosHeader = NULL;
        PIMAGE_NT_HEADERS pNtHeader = NULL;
        PIMAGE_FILE_HEADER pFileHeader = NULL;
        PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
        PIMAGE_SECTION_HEADER pSectionHeader = NULL;

        pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

        if(RVA <= pOptionalHeader->SizeOfHeaders)
                return RVA;
        for(;RVA > (pSectionHeader->VirtualAddress + pSectionHeader->Misc.VirtualSize);pSectionHeader++);//定位到所在节
        FOA = RVA - pSectionHeader->VirtualAddress + pSectionHeader->PointerToRawData;
        return FOA;

}

DWORD FoaToRva(DWORD FOA,LPVOID pFileBuffer)
{
        DWORD RVA = NULL;

        PIMAGE_DOS_HEADER pDosHeader = NULL;
        PIMAGE_NT_HEADERS pNtHeader = NULL;
        PIMAGE_FILE_HEADER pFileHeader = NULL;
        PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
        PIMAGE_SECTION_HEADER pSectionHeader = NULL;

        pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

        if(FOA <= pOptionalHeader->SizeOfHeaders)
                return FOA;
        for(;FOA > (pSectionHeader->VirtualAddress + pSectionHeader->Misc.VirtualSize);pSectionHeader++);//定位到所在节
        RVA = FOA - pSectionHeader->PointerToRawData + pSectionHeader->VirtualAddress ;
        return RVA;
}

VOID MoveExport()
{

		DWORD	Size			=	0;
		BOOL	isok			=	FALSE;	
		LPVOID	pFileBuffer		=	NULL;

		//File-> FileBuffer
		Size = ReadPEFile(FILEPATH_IN,&pFileBuffer);	//调用函数读取文件数据
		if(!pFileBuffer || !Size)
		{
			printf("File-> FileBuffer失败");
			return;
		}

        PIMAGE_DOS_HEADER pDosHeader = NULL;//DOS头
        PIMAGE_NT_HEADERS pNtHeader = NULL;//NT头
        PIMAGE_FILE_HEADER pFileHeader = NULL;//标准PE头
        PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;//拓展PE头
        PIMAGE_SECTION_HEADER pSectionHeader = NULL;//节表
        PIMAGE_SECTION_HEADER pNewSec = NULL;//新节表结构
        PIMAGE_EXPORT_DIRECTORY pExportDirectory = NULL; //导出表结构体

        pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

        //判断是否有足够的空间添加节表
		if((DWORD)pNtHeader - (DWORD)pDosHeader - 0x40 < sizeof(IMAGE_SECTION_HEADER))
		{
			printf("没有多余空间");
			free(pFileBuffer);
			return;
		}

		memcpy((void*)((DWORD)pDosHeader + 0x40),
				pNtHeader,
				(DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);
		
		pDosHeader->e_lfanew = 0x40;
		
		pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
		
        //新增节表结构
        pNewSec = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections);

		memset(pNewSec, 0, (DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);

        //修改节表内容
        memcpy(pNewSec->Name,".export",8);//修改节表名

        PIMAGE_SECTION_HEADER upSecHeader = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections-1);

        if(upSecHeader->Misc.VirtualSize > upSecHeader->SizeOfRawData)//修改节表VrituallAddress
        {
                pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->Misc.VirtualSize;
        }else{
                pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->SizeOfRawData;
        }

        pNewSec->SizeOfRawData = 0x1000;//新增的节区的大小
        pNewSec->PointerToRawData = upSecHeader->PointerToRawData + upSecHeader->SizeOfRawData;//文件中的偏移
        pNewSec->Characteristics = 0x60000020;//修改属性(可执行)

        //在新增节表后增加40个字节的空白区
        //memset(pNewSec+1, 0, 40);

        //修改NT头属性

        pFileHeader->NumberOfSections += 1;//修改NumberOfSection数量
        pOptionalHeader->SizeOfImage += 0x1000;//修改SizeOfImage大小

        LPVOID NewBuffer = malloc(Size+0x1000);//申请内存
        memset(NewBuffer, 0, Size+0x1000);//初始化内存

        memcpy(NewBuffer, pFileBuffer,Size);//复制内存

        //定位导出表
        DWORD ExportFoa = NULL;//导出表FOA
        PDWORD AddressOfNames = NULL;//导出函数名称表
        LPVOID AddressOfFunctions = NULL;//导出函数地址表
        PWORD AddressOfNameOrdinals = NULL;//导出函数序号表

        DWORD AddressOfNamesFOA = NULL;//导出函数名称表FOA
        DWORD AddressOfFunctionsFOA = NULL;//导出函数地址表FOA
        DWORD AddressOfNameOrdinalsFOA = NULL;//导出函数序号表FOA

        ExportFoa = RvaToFoa(pOptionalHeader->DataDirectory[0].VirtualAddress,pFileBuffer);//获取导出表的地址FOA

        pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pFileBuffer + ExportFoa);//定位导出表

        AddressOfNamesFOA = RvaToFoa(pExportDirectory->AddressOfNames,pFileBuffer);//获取导出函数名称表FOA
        AddressOfFunctionsFOA = RvaToFoa(pExportDirectory->AddressOfFunctions,pFileBuffer);//获取到处函数地址表FOA
        AddressOfNameOrdinalsFOA = RvaToFoa(pExportDirectory->AddressOfNameOrdinals,pFileBuffer);//获取导出函数序号表FOA

        AddressOfNames = (PDWORD)((DWORD)pFileBuffer + AddressOfNamesFOA);//定位导出函数名称表
        AddressOfFunctions = (LPVOID)((DWORD)pFileBuffer + AddressOfFunctionsFOA);//定位导出函数地址表
        AddressOfNameOrdinals = (PWORD)((DWORD)pFileBuffer + AddressOfNameOrdinalsFOA);//定位导出函数序号表

        //复制AddressOfFunctions表
        LPVOID pNewSecAddr = (LPVOID)((DWORD)NewBuffer+pNewSec->PointerToRawData);//定位新节表的地址
        memcpy(pNewSecAddr,AddressOfFunctions,(pExportDirectory->NumberOfFunctions * 4));

        //复制AddressOfNameOrdinals表
        pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + (pExportDirectory->NumberOfFunctions * 4));
        memcpy(pNewSecAddr,AddressOfNameOrdinals,(pExportDirectory->NumberOfNames * 2));

        //复制AddressOfNames
        pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + (pExportDirectory->NumberOfNames * 2));
        PDWORD NameAddr = (PDWORD)pNewSecAddr;//这里存储一下函数地址名称表的地址,以便后边移动名称的时候修改相应地址
        memcpy(pNewSecAddr,AddressOfNames,(pExportDirectory->NumberOfNames * 4));

        //复制函数名称表中的名称
        pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + (pExportDirectory->NumberOfNames * 4));
        //每复制一个函数名就要计算偏移添加到名字表的地址里

        DWORD NameAddOffset = (DWORD)pNewSecAddr - (DWORD)NewBuffer;//函数名称偏移

        for(size_t i=0;i < pExportDirectory->NumberOfNames;i++,AddressOfNames++)
        {
                DWORD NameOffset = (DWORD)*AddressOfNames;
                PCHAR FName = (PCHAR)((DWORD)pFileBuffer + NameOffset);
                size_t l = 0;

                *NameAddr = FoaToRva(NameAddOffset,NewBuffer);//复制函数名称偏移到地址中
                NameAddr = (PDWORD)((DWORD)NameAddr + 0x4);

                while(FName[l] != '\0')
                {
                        l += 1;
                }

                NameAddOffset += (l+1);
                memcpy(pNewSecAddr,FName,(l+1));//复制函数名字符串到地址中

                pNewSecAddr =(LPVOID)((DWORD)pNewSecAddr + l+1);
        }

        //复制IMAGE_EXPORT_DIRECTORY结构体
        memcpy(pNewSecAddr,pExportDirectory,pOptionalHeader->DataDirectory[0].Size);
        PIMAGE_EXPORT_DIRECTORY pNewExportDirectory = (PIMAGE_EXPORT_DIRECTORY)pNewSecAddr;//地址赋值给新的导出表结构体

        //修改新的导出表的AddressOfFunctions、AddressOfNameOrdinals、AddressOfNames地址,这里需要FOA->RVA
        pNewExportDirectory->AddressOfFunctions = FoaToRva(pNewSec->PointerToRawData,NewBuffer);
        pNewExportDirectory->AddressOfNameOrdinals = FoaToRva(pNewSec->PointerToRawData + pExportDirectory->NumberOfFunctions * 4,NewBuffer);
        pNewExportDirectory->AddressOfNames = FoaToRva(pNewSec->PointerToRawData + pExportDirectory->NumberOfFunctions * 4 + pExportDirectory->NumberOfNames * 2,NewBuffer);

        //修复目录项中的值,指向新的导出表的地址RVA
        pDosHeader = (PIMAGE_DOS_HEADER)NewBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
        pOptionalHeader->DataDirectory[0].VirtualAddress = FoaToRva((DWORD)pNewExportDirectory - (DWORD)NewBuffer,NewBuffer);

		//存盘
		isok = MemeryTOFile(NewBuffer,Size+1000,FILEPATH_OUT);
		if(isok)
		{
			printf("存盘成功");
			return;
		}
	

		//释放内存
		free(pFileBuffer);
		free(NewBuffer);
		return;
}


//**********************************************************************
int main(int argc, char* argv[])

{
	MoveExport();
	getchar();
	return 0;
}

四、勿在浮沙筑高台

lnterpreter
关注
专栏目录
PE之移动导出
windows小菜鸡的博客
08-18 624
1、移动各种的目的 (1)在程序启动时,系统会根据导入导出等进行初始化工作。为了保护程序,一般会对exe程序的二进制进行加密等工作,但是一旦将这些也进行了加密,那么系统在初始化的时候没办法找到这些,也无法启动程序。 (2)在对程序加密之前,需要对一些关键的进行移动后,再对原来的数据进行加密,这样才不能破坏原来的程序。 (3)学会移动各种,是对程序加密/破解的基础。 2、如何移动导出 上一篇文章,提到了如何对导出进行解析,导出的结构如图下。 导出的位置是在可选PE头的第一项,如图,我们可
PE文件(十一)移动导出和重定位
最新发布
2301_78838647的博客
07-15 869
默认情况下.DLL的ImageBase为0x10000000,所以如果一个程序要用的DLL没有合理的修改分配装载起始地址,就可能出现多个DLL的ImageBase都是同一个地址,造成装载冲突。如果只移动函数名称的话,对剩下的数据加密后,当需要根据函数名去调用导出函数时,由于字符串被加密,只能根据函数名称查到名称字符串所在地址,但是无法匹配字符串。6.修改导出中的成员值,指向三个子在新节中的位置,由于各个子导出的地址数据是RVA,因此需要将FOA转成RVA。
滴水逆向三期实践13:移动导出
Rivival_S 的博客
10-28 1113
为什么要移动各种? 1、这些是编译器生成的,里面存储了非常重要的信息。 2、在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到 IAT 中(IAT后面会讲) 3、为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 我们知道数据目录的各种是存在各个节里的,而exe的代码的信息也是在节里,与客户字节的代码和数据都混在一起了,如果进行加密(加壳),那系统在初始化的时候会出问题! 综上,学会移动各种,是对程序加密/破解的基础。 移动
pE文件操作--移动导出
qq_31125257的博客
12-28 721
一、什么是导出? 先回顾一下导出的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子;其中地址存储的是导出的函数地址,名称存储的是以名字导出的函数的函数名的RVA,序号存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种? 这些是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些做初始化的工作,如将用到的DLL中的函数地址存储到IAT; 为了
移动导出到新增节
hambaga的博客
05-20 457
一、为什么要移动导出 移动导出是指将导出以及其内部的三张子移动到新增节,这个操作是软件加密的第一步。因为软件加密会把节进行加密,而数据目录是在节里的,加密后操作系统不认识了,因此我们要把数据目录里面的东西移动到一个新的节里。 二、怎么移动 上图是导出的结构,移动导出的步骤,我个人的做法分为以下几步: 计算新增节的大小,必须能放下导出,3张子,所有按名字导出的函数名; 新增一个节,并设置其属性为可读,含已初始化数据; 原封不动地拷贝3张子到新增节; 遍历 AddressOfNames,计
导出导出导出导出导出导出导出导出导出导出
01-02
2. **导出的目的**:导出的主要目的是方便数据的移动和交换,这可能是为了备份数据以防意外丢失,或者是为了在不支持直接数据库连接的应用程序中使用数据,比如在统计分析软件中进行更复杂的数据处理。 3. **导出...
PE结构->【导出】工具包
06-22
在PE文件中,导出是一个非常重要的组成部分,它定义了该文件可以提供给其他模块调用的函数或数据。本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address ...
怎样从中兴ICM中导出全参操作
02-13
中兴ICM全参导出操作指南 在中兴ICM系统中,导出全参操作是非常重要的一步,特别是在CNOP搬迁工具中使用参数映射时。本文档将指导您如何从中兴ICM系统中导出全参操作,包括版本情况、ICM客户端软件安装、...
PE文件之移动导出(自学笔记)
Sanshul的博客
12-22 326
PE文件之移动导出(自学笔记)
移动导出和重定位
qq_41232519的博客
09-06 422
文章目录一、移动导出二、移动重定位 一、移动导出 第一步:在DLL中新增一个节,并返回新增后的FOA 第二步:复制AddressOfFunctions 长度:4*NumberOfFunctions 第三步:复制AddressOfNameOrdinals 长度:NumberOfNames*2 第四步:复制AddressOfNames 长度:NumberOfNames*4 第五步:复制所有的函数名 长度不确定,复制时直接修复AddressOfNames
滴水逆向——PE移动导出
sunr.
04-13 910
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到IAT中. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种的信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统...
PE目录项之导出(解析、移动
qq_35289660的博客
06-23 1502
PE目录项之导出 文章目录PE目录项之导出0.说明1.简述导出a.位置b.导出的结构c.导出的工作方式① 根据函数名导出② 根据序号导出函数③ 总结2.解析导出a.注意要点b.源代码3.移动导出所有结构到新建的节区a.移动导出的原因b.大概流程c.注意事项d.源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流或询问????^ __ ^ 有不懂的直接留言,我必回!???????? 1.简述导出 导出,顾名思义就是要导出
手工解析PE(将导出移动到新增节中)
GNAIXGNAHZ的博客
06-30 269
手工解析PE(将导出移动到新增节中)
【练习】数据移动---parfile导出中指定行:
weixin_30906185的博客
12-16 82
要求: ①创建存放数据的文件; ②使用默认的bad文件生成方式; ③使用truncate选项方式。 1.准备条件: [oracle@host03 ~]$ mkdir datadump [oracle@host03 ~]$ ls base.ctl base_data.bad base_data.dat base.log datadump [oracle@host03 ~]...
移动导出-重定位(滴水)
若面朝大海边竹妮春暖花开的博客
05-02 529
PE文件的各种示编译器生成的,里面存储了非常重要的信息 在程序启动的时候,系统会根据这些做初始化的工作 当要对程序进行加密时,需要将这些移到自己创建的节里,不然程序运行不起来 ...
滴水逆向三期 PE基础 移动导出
四位的博客
05-16 581
分析 要移动导出, 需要改变的地方有: 1 DataDirectory[5]->VirtualAddress 2 ExportDirector中的三个地址 代码 按照课程内容的顺序依次进行 步骤如下: 新增节省略 初始化 Header header; SList slist; DWORD fileSize = 0; DWORD foaOfNewSection = 0; DWORD foaExportDirectory = 0; PIMAGE_DATA_DIRECTORY pDataDirector
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值