导入表注入

最新推荐文章于 2023-10-17 17:34:36 发布
最新推荐文章于 2023-10-17 17:34:36 发布
阅读量545 收藏
点赞数
分类专栏: 笔记 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41232519/article/details/109077859
版权

文章目录


在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

一 、流程

1、File-> FileBuffer
2、添加节
3、定位导入表
4、将导入表移动到新增的节里面
5、新增一个导入表
6、在导入表后面添加INT表和IAT表
7、INT和IAT表指向函数名
8、修正导入表
9、存盘

二、演示

1、File-> FileBuffer


DWORD	Size			=	0;		//用来接收数据大小
BOOL	isok			=	FALSE;		//用来接收写入磁盘是否成功
LPVOID	pFileBuffer		=	NULL;


PIMAGE_DOS_HEADER pDosHeader = NULL;//DOS头
PIMAGE_NT_HEADERS pNtHeader = NULL;//NT头
PIMAGE_FILE_HEADER pFileHeader = NULL;//标准PE头
PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;//拓展PE头
PIMAGE_SECTION_HEADER pSectionHeader = NULL;//节表
PIMAGE_SECTION_HEADER pNewSec = NULL;//新节表结构
PIMAGE_IMPORT_DESCRIPTOR pImportDescriptor = NULL; //导出表结构体

//File-> FileBuffer
Size = ReadPEFile(FILEPATH_IN,&pFileBuffer);	//调用函数读取文件数据
if(!pFileBuffer || !Size)
{
	printf("File-> FileBuffer失败");
	return;
}

2、添加节

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

//判断是否有足够的空间添加节表
if((DWORD)pNtHeader - (DWORD)pDosHeader - 0x40 < sizeof(IMAGE_SECTION_HEADER))
{
printf("没有多余空间");
free(pFileBuffer);
return;
}

memcpy((void*)((DWORD)pDosHeader + 0x40),
pNtHeader,
(DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);

pDosHeader->e_lfanew = 0x40;

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);

//新增节表结构
pNewSec = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections);

memset(pNewSec, 0, (DWORD)(pSectionHeader + pFileHeader->NumberOfSections) - (DWORD)pNtHeader);

//修改节表内容
memcpy(pNewSec->Name,".ttttt",8);//修改节表名

PIMAGE_SECTION_HEADER upSecHeader = (PIMAGE_SECTION_HEADER)(pSectionHeader + pFileHeader->NumberOfSections-1);

if(upSecHeader->Misc.VirtualSize > upSecHeader->SizeOfRawData)//修改节表VrituallAddress
{
        pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->Misc.VirtualSize;
}else{
        pNewSec->VirtualAddress = upSecHeader->VirtualAddress + upSecHeader->SizeOfRawData;
}

pNewSec->SizeOfRawData = 0x1000;//新增的节区的大小
pNewSec->PointerToRawData = upSecHeader->PointerToRawData 
最低0.47元/天 解锁文章
lnterpreter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2922
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出七、导入八、资源九、其他四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT头结构:在图右侧可以看到,整个NT头包含一个4字的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_...
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
PE_修正重定位
qq_42363151的博客
09-25 288
PE
病毒实验四
weixin_34402090的博客
03-07 251
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7400
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入格,explorer加载的时候还要挨个遍历导入,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
PE文件-NT头
weixin_45012273的博客
11-06 320
DOS头和NT头之间 存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置 NT头格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件头 IMAGE_OPTIONAL_HEADER32.
驱动开发实现修改导入注入dll
12-21
导入注入dll其实就是给程序的导入添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。 我在驱动实现修改导入的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调中...
vc往导入注入代码
04-13
visual c++注入代码到导入
导入注入代码》文章代码VC源代码
03-15
PE Maker to redirect API by JMP pemaker7.zip (193 KB) PE Maker to redirect ShellAbout() zimport.zip (130 KB) Import Table runtime redirector 《导入注入代码》文章代码,本文介绍注入代码到PE...
导入注入代码.rar
11-04
导入注入代码.rar需要大于20个字符,不支持HTML标签。
setdll用于重建导入
08-07
重建导入 静态注入DLL
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT、字符串及时间戳溯源
杨秀璋的专栏
08-12 8116
系统安全绕不开PE文件,PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
PE文件导出解析
windows小菜鸡的博客
08-16 929
1、导出的结构 导出是option可选PE头的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称的RVA,需要转为FOA,每个存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称找到Ordinals下标,然后通过下标在Or
滴水三期逆向基础系列(二)-加壳初识-文件开头弹出对话框
henuyl的博客
04-23 640
VOID AddCodeToCodeSec( VOID ){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...
网络安全学习笔记(7)
qq_40316844的博客
09-11 162
具体的学习总结: PE结构详解: 1、DOS头:共40H(64字) 0X00 WORD e_magic; //※Magic DOS signature MZ(4Dh 5Ah):MZ标记:用于标记是否是可执行文件 0x3C DWORD e_lfanew; //※Offset to start of PE header:定位PE文件,PE头相对于文件的偏移量 2、PE头: //NT...
8.PE文件之新增
kernelhack
10-28 4116
目录 新增对PE文件中哪些值会有影响? 新增步骤: 手动新增 代码新增 如果需要在PE文件中构建一端SHELLCODE(默认区剩余空间不足情况下),可以通过新增来解决此问题.通常大部分加壳软件都会新增来移动或者备份各种目录项数据. 新增对PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果新增需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增后在内存中的大小
【逆向】通过新增移动导出和重定位(附完整代码,直接可运行)
最新发布
fzucaicai的博客
10-17 766
但是我之前一直不理解,特么为毛要挪动函数名字符串啊,这玩意不是等dll解密出来就能用了吗? 百思不得其解,去问大佬们,大佬们说的我都听又听不懂,学又学不会。很淦 但是我只能装作听懂的样子,感谢大佬们的赐教,其实我是不懂的,经过一番摸索,我终于悟了! 首先给大家看看用def导出的dll应该怎么使用 首先 ,加了密后,只有使用Dll的时候,dll才会解密,那在dll外想要调用dll
什么是可执行文件
热门推荐
qq_41232519的博客
08-27 1万+
文章目录一、什么是可执行文件?二、如何识别PE文件? 一、什么是可执行文件? 可执行文件 (executable file) 指的是可以由操作系统进行加载执行的文件。 可执行文件的格式: Windows平台: PE(Portable Executable)文件结构 Linux平台: ELF(Executable and Linking Format)文件结构 二、如何识别PE文件? 1、PE文件的特征(PE指纹) 分别打开.exe .dll .sys 等文件,观察特征前2个字
websql创建导入数据
06-12
接着,你需要使用 INSERT INTO 语句将数据导入中,例如: ``` INSERT INTO users (id, name, email) VALUES (1, 'John Doe', 'john.doe@example.com'); INSERT INTO users (id, name, email) VALUES (2, 'Jane ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值