移动重定位表

最新推荐文章于 2024-04-04 21:00:33 发布
最新推荐文章于 2024-04-04 21:00:33 发布
阅读量432 收藏 1
点赞数
分类专栏: 笔记 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41232519/article/details/109032955
版权
笔记 同时被 2 个专栏收录
94 篇文章 3 订阅
订阅专栏
PE
26 篇文章 2 订阅
订阅专栏

文章目录

一、流程

1、File-> FileBuffer
2、添加节
3、定位重定位表
4、移动重定位表
5、修复重定位的地址
6、存盘

二、演示

1、File-> FileBuffer
2、添加节
3、定位重定位表

        DWORD RelocationFoa = NULL;//重定位表FOA
        
		if (pOptionalHeader->DataDirectory[5].VirtualAddress == 0)
		{
			printf("重定位表不存在!\n");
			return;
		}

        RelocationFoa = RvaToFoa(pOptionalHeader->DataDirectory[5].VirtualAddress,pFileBuffer);//获取重定位表的地址FOA

        pRelocationDirectory = (PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer + RelocationFoa);//定位重定位表

4、移动重定位表

 LPVOID pNewSecAddr = (LPVOID)((DWORD)NewBuffer+pNewSec->PointerToRawData);//定位新节表的地址
       

		while (pRelocationDirectory->VirtualAddress!=0 && pRelocationDirectory->SizeOfBlock!=0)
		{
			//	(1)将重定位块copy到目标地址
			memcpy(pNewSecAddr, pRelocationDirectory, pRelocationDirectory->SizeOfBlock);

			//	(2)将目标地址后移
			pNewSecAddr = (PVOID)((DWORD)pNewSecAddr + pRelocationDirectory->SizeOfBlock);
			
			//	(3)将旧重定位表块后移
			pRelocationDirectory = (PIMAGE_BASE_RELOCATION)((DWORD)pRelocationDirectory + pRelocationDirectory->SizeOfBlock);
		}

5、修复重定位的地址

pOptionalHeader->DataDirectory[5].VirtualAddress = (DWORD)pNewSecAddr;

6、存盘

isok = MemeryTOFile(NewBuffer,Size+1000,FILEPATH_OUT);
		if(isok)
		{
			printf("存盘成功");
			return;
		}
	

		//释放内存
		free(pFileBuffer);
		free(NewBuffer);
		return;

三、完整代码

#include "stdafx.h"
#include <windows.h>
#include "stdlib.h"	

#define FILEPATH_IN "C:/testdll.dll"
#define FILEPATH_OUT "C:/copyxx.dll"


DWORD ReadPEFile(IN LPSTR lpszFile,OUT LPVOID* pFileBuffer )
{
	FILE	*pFile		=	NULL;			
	DWORD	fileSize	=	0;			//文件大小
	LPVOID	pTempFileBuffer	=	NULL;	//缓冲区首地址

	
	pFile = fopen(lpszFile,"rb");	//打开文件
	if(!pFile)
	{
		printf("打开文件失败");
		return NULL;
	}

	//读取文件大小
	fseek(pFile,0,SEEK_END);		//将指针从开始的位置移动到末尾
	fileSize = ftell(pFile);		//获取数据大小

	//分配缓冲区(申请内存)
	pTempFileBuffer = malloc(fileSize);
	if(!pTempFileBuffer)
	{
		printf("分配空间失败");
		fclose(pFile);
		return NULL;
	}

	//将文件数据读取到缓冲区
	fseek(pFile,0,SEEK_SET);	//将指针指向开始
	size_t n = fread(pTempFileBuffer,fileSize,1,pFile);	//将数据读取到缓冲区中
	if(!n)
	{
		printf("读取数据失败");
		free(pTempFileBuffer);		//释放内存
		fclose(pFile);			//关闭文件
		return NULL;
	}

	//关闭文件
	*pFileBuffer = pTempFileBuffer;
	pTempFileBuffer = NULL;
	fclose(pFile);				//关闭文件
	return fileSize;		
}



BOOL MemeryTOFile(LPVOID pMemBuffer,size_t size,LPSTR lpszFile)
{
	FILE *fp = NULL;
	fp = fopen(lpszFile,"wb+");	
	if(!fp)
	{
		printf("存盘失败");
		return FALSE;
	}
	fwrite(pMemBuffer,size,1,fp);	//向磁盘写入数据
	fclose(fp);	//关闭文件
	fp = NULL;
	return TRUE;	

}
//**********************************************************************
DWORD RvaToFoa(DWORD RVA,LPVOID pFileBuffer)
{
        DWORD FOA = NULL;
        PIMAGE_DOS_HEADER pDosHeader = NULL;
        PIMAGE_NT_HEADERS pNtHeader = NULL;
        PIMAGE_FILE_HEADER pFileHeader = NULL;
        PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
        PIMAGE_SECTION_HEADER pSectionHeader = NULL;

        pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

        if(RVA <= pOptionalHeader->SizeOfHeaders)
                return RVA;
        for(;RVA > (pSectionHeader->VirtualAddress + pSectionHeader->Misc.VirtualSize);pSectionHeader++);//定位到所在节
        FOA = RVA - pSectionHeader->VirtualAddress + pSectionHeader->PointerToRawData;
        return FOA;

}

DWORD FoaToRva(DWORD FOA,LPVOID pFileBuffer)
{
        DWORD RVA = NULL;

        PIMAGE_DOS_HEADER pDosHeader = NULL;
        PIMAGE_NT_HEADERS pNtHeader = NULL;
        PIMAGE_FILE_HEADER pFileHeader = NULL;
        PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
        PIMAGE_SECTION_HEADER pSectionHeader = NULL;

        pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

        if(FOA <= pOptionalHeader->SizeOfHeaders)
                return FOA;
        for(;FOA > (pSectionHeader->VirtualAddress + pSectionHeader->Misc.VirtualSize);pSectionHeader++);//定位到所在节
        RVA = FOA - pSectionHeader->PointerToRawData + pSectionHeader->VirtualAddress ;
        return RVA;
}

VOID MoveRelocation()
{

		DWORD	Size			=	0;
		BOOL	isok			=	FALSE;	
		LPVOID	pFileBuffer		=	NULL;

		//File-> FileBuffer
		Size = ReadPEFile(FILEPATH_IN,&pFileBuffer);	//调用函数读取文件数据
		if(!pFileBuffer || !Size)
		{
			printf("File-> FileBuffer失败");
			return;
		}

        PIMAGE_DOS_HEADER pDosHeader = NULL;//DOS头
        PIMAGE_NT_HEADERS pNtHeader = NULL;//NT头
        PIMAGE_FILE_HEADER pFileHeader = NULL;//标准PE头
        PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;//拓展PE头
        PIMAGE_SECTION_HEADER pSectionHeader = NULL;//节表
        PIMAGE_SECTION_HEADER pNewSec = NULL;//新节表结构
        PIMAGE_BASE_RELOCATION pRelocationDirectory = NULL; //导出表结构体

        pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

        //判断是否有足够的空间添加节表
		if((DWORD)pNtHeader - (DWORD)pDosHeader - 0x40 < sizeof(IMAGE_SECTION_HEADER))
		{
			printf("没有多余空间");
			free(pFileBuffer);
			return;
		}

		memcpy((void*)((DWORD)pDosHeader + 0x40),
				pNtHeader,
				(DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);
		
		pDosHeader->e_lfanew = 0x40;
		
		pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
        pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
        pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
        pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
		
        //新增节表结构
        pNewSec = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections);

		memset(pNewSec, 0, (DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);

        //修改节表内容
        memcpy(pNewSec->Name,".export",8);//修改节表名

        PIMAGE_SECTION_HEADER upSecHeader = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections-1);

        if(upSecHeader->Misc.VirtualSize > upSecHeader->SizeOfRawData)//修改节表VrituallAddress
        {
                pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->Misc.VirtualSize;
        }else{
                pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->SizeOfRawData;
        }

        pNewSec->SizeOfRawData = 0x1000;//新增的节区的大小
        pNewSec->PointerToRawData = upSecHeader->PointerToRawData + upSecHeader->SizeOfRawData;//文件中的偏移
        pNewSec->Characteristics = 0x60000020;//修改属性(可执行)
        
        //修改NT头属性
        pFileHeader->NumberOfSections += 1;//修改NumberOfSection数量
        pOptionalHeader->SizeOfImage += 0x1000;//修改SizeOfImage大小

        LPVOID NewBuffer = malloc(Size+0x1000);//申请内存
        memset(NewBuffer, 0, Size+0x1000);//初始化内存

        memcpy(NewBuffer, pFileBuffer,Size);//复制内存

        DWORD RelocationFoa = NULL;//重定位表FOA
   
		if (pOptionalHeader->DataDirectory[5].VirtualAddress == 0)
		{
			printf("重定位表不存在!\n");
			return;
		}

        RelocationFoa = RvaToFoa(pOptionalHeader->DataDirectory[5].VirtualAddress,pFileBuffer);//获取重定位表的地址FOA

        pRelocationDirectory = (PIMAGE_BASE_RELOCATION)((DWORD)pFileBuffer + RelocationFoa);//定位重定位表

        LPVOID pNewSecAddr = (LPVOID)((DWORD)NewBuffer+pNewSec->PointerToRawData);//定位新节表的地址
       

		while (pRelocationDirectory->VirtualAddress!=0 && pRelocationDirectory->SizeOfBlock!=0)
		{
			//	(1)将重定位块copy到目标地址
			memcpy(pNewSecAddr, pRelocationDirectory, pRelocationDirectory->SizeOfBlock);

			//	(2)将目标地址后移
			pNewSecAddr = (PVOID)((DWORD)pNewSecAddr + pRelocationDirectory->SizeOfBlock);
			
			//	(3)将旧重定位表块后移
			pRelocationDirectory = (PIMAGE_BASE_RELOCATION)((DWORD)pRelocationDirectory + pRelocationDirectory->SizeOfBlock);
		}

		pOptionalHeader->DataDirectory[5].VirtualAddress = (DWORD)pNewSecAddr;
	

		isok = MemeryTOFile(NewBuffer,Size+1000,FILEPATH_OUT);
		if(isok)
		{
			printf("存盘成功");
			return;
		}
	

		//释放内存
		free(pFileBuffer);
		free(NewBuffer);
		return;
}


//**********************************************************************
int main(int argc, char* argv[])

{
	MoveRelocation();
	getchar();
	return 0;
}

四、勿在浮沙筑高台

lnterpreter
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
基于增量式路标观学习的移动机器人定位
02-23
在全景图像中,机器人参考定位的路标观受到畸变、观察视角、路标尺度变化以及环境亮度的影响,致使基于全景视觉的机器人自主定位存在着许多难点有待解决.提出增量式的路标观学习方法,准确估计路标的观变化,并为基于粒子滤波的机器人定位过程提供准确的观测信息.增量式路标学习过程利用增量式概率主元分析为理论工具,将不同视角的路标观的主元特征示成不断自主更新的特征基底,为计算观测量与路标真实观的相似度提供了实现途径和理论依据.该学习算法能够被集成到带有采样的贯序权值采样粒子滤波算法过程中,实现了全景视觉机器人的精确自主定位.实验结果明:该算法的定位误差小,计算量小,执行效率高,对全景图像中的各类干扰均不敏感.
UMTS网络中SRNS定位机制的研究
04-18
对UMTS网络中的SRNS定位机制进行了分析和研究,针对在硬切换过程中传统SRNS定位所需时间过长的缺陷,提出了一种新的SRNS定位机制。该机制中,SGSN使用双播Bicasting技术,使切换后的移动台能够尽快地接入到新的小区,减少了分组的丢失。仿真结果显示,新机制可以将切换过程中的分组丢失率减少15%左右。
移动导出定位,手动修复定位
最新发布
pluginL的博客
04-04 171
要写这几个函数会频繁用到FOA转VA。
论文阅读:带有物体级定位的视觉惯性多实例动态SLAM
lj164567487的博客
03-03 987
论文阅读
VINS-Mono
wanyi999的博客
12-12 171
VINS-Mono理解
带你了解可定位Postgres
Greenplum中文社区
08-18 286
​作为Greenplum Release Engineering团队的工程师,最近有机会深入探讨Postgres的构建系统。Greenplum Server基于Postgres,并从上游继承了构建系统。gp-releng团队正在创建可定位版本的Greenplum Server,这使我们开始研究如何进行可定位的Postgres版本。本文提到的可定位(Relocated)指在不新编译安装Postgres的情况下,改变原有安装路径后,程序依然可以正常运行,并且不需要设置LD_LIBRARY_PATH就能使
【逆向】通过新增节移动导出定位(附完整代码,直接可运行)
fzucaicai的博客
10-17 757
但是我之前一直不理解,特么为毛要挪动函数名字符串啊,这玩意不是等dll解密出来就能用了吗? 百思不得其解,去问大佬们,大佬们说的我都听又听不懂,学又学不会。很淦 但是我只能装作听懂的样子,感谢大佬们的赐教,其实我是不懂的,经过一番摸索,我终于悟了! 首先给大家看看用def导出的dll应该怎么使用 首先 ,加了密后,只有使用Dll的时候,dll才会解密,那在dll外想要调用dll
移动导出移动定位【滴水逆向三期51笔记+作业源码】
WdIg-2023的博客
03-28 399
前面章节我们了解了PE文件中的导出定位,今天我们来学习如何来移动导出定位
滴水逆向三期 PE基础 移动定位与修改IMAGEBASE
四位的博客
05-16 1805
分析 一 移动定位 直接把整张复制后修改目录的RVA即可 二 修改ImageBase ①首先当然是修改ImageBase ②遍历定位中的数据加上新旧ImageBase的差值, 就是在打印的基础上加上修改数据 定位的结构 SECTION为所属区段, RVA为大, items为有多少数据(SizeofBlock-8)/2 因为小为word RVA为要修改数据的地址(非真实地址) offset为文件偏移 type为数据属性 FarAddress为真正的地址也是修改imagebase后应该修改
移动定位和模拟windows定位过程
weixin_43990313的博客
07-20 348
移动定位 思路 大体上和移动导出相同,相比而言简单一些,不用寻址三个。直接复制定位的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
滴水逆向三期实践15:根据定位修正地址
Rivival_S 的博客
10-28 2234
占坑
定位添加/删除工具
05-14
自己写的用于定位的添加/编辑/删除工具
输出定位
08-18
利用这个,如果特征码定位到了输出定位上的时候,你建就能达到免杀的目的
动态定位分区分配算法设计实现论文.pdf
07-03
移动某些已分配区的内容,使所有进程的分区紧凑在一起,而把...采用紧凑技术的可变分区法称为动态可定位分区法。该论文为学校学期期末小论文,格式并非标准论文格式。部分资源来源于网络,若有侵权请联系作者删除!
煤矿用型设备短距离快速移动装置设计研究
07-01
介绍一种适用于煤矿井下可快速短距离移动型设备的简单易用装置,减轻工人劳动强度,提高工作效率,该装置由锚杆定位装置和改进后回柱器2部分组成,通过SolidWorks软件对锚杆定位装置进行设计,并进行有限元分析确保零...
网络游戏-无线网络中移动终端的无缝定位.zip
09-20
网络游戏-无线网络中移动终端的无缝定位.zip
计算机视觉方向简介 | 深度学习3D
小白学视觉
05-26 2244
点击上方“小白学视觉”,选择加"星标"或“置顶”磅干货,第一时间送达作者:黄浴https://zhuanlan.zhihu.com/p/74085115本文已由作者授权,未经允许,不得二次转载最经典的计算机视觉问题是3-D建。基本上可以分成两种路径:一是多视角建,二是运动建。前者有一个经典的方法是多视角立体视觉(MVS,multiple view stereo)...
PE_修正定位
qq_42363151的博客
09-25 280
PE
滴水逆向三期实践14:移动定位
Rivival_S 的博客
10-28 624
定位移动相比导出就简单太多了,因为定位相当于只有一个大。统计一下这个“大”的大小,全部移动到新节就行了。因为是使用下一块 VirtualAddress 和 SizeOfBlock是否全0来判断定位是否结束的,所以拷贝的时候也把这8字节的全0内容也加上一起拷贝进新节。 最后修改数据目录中的 VirtualAddress指向新节 RVA 即可。 代码有详细注释 #include "Currency.h" #include "windows.h" #include "st...
livox mid 360 定位
09-09
定位是指在移动过程中,通过特定的算法和传感器信息,将激光雷达的位置进行校正和调整,以提高定位的准确性。 要进行定位,需要使用 Livox-SDK 或者 Livox-Viewer 软件。首先,确保激光雷达连接到电脑,并能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值