PE_移动重定位表

最新推荐文章于 2024-05-22 18:20:08 发布
最新推荐文章于 2024-05-22 18:20:08 发布
阅读量77 收藏
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/127038977
版权 
#include<stdio.h>
#include<windows.h>

DWORD toLoardPE(PVOID* pFileBuffer, PSTR file_path){
	FILE *fp;
	DWORD FileSize;
	PVOID pFileBufferTemp;

	fp = fopen(file_path, "rb");
	if(!fp){
		printf("读取文件失败!\n");
		return 0;
	}
	fseek(fp, 0, SEEK_END);
	FileSize = ftell(fp);
	fseek(fp, 0, SEEK_SET);
	
	pFileBufferTemp = malloc(FileSize);
	if(!pFileBufferTemp){
		printf("读取文件开辟内存失败\n");
		return 0;
	}

	DWORD n = fread(pFileBufferTemp, FileSize, 1, fp);

	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;
	fclose(fp);

	return FileSize;
}

DWORD Align(int add, int alignment){
	if(add % alignment == 0){
		return add;
	}
	return ((add / alignment) + 1) * alignment;
}

DWORD Rva2Foa(PVOID pFileBuffer, DWORD dwRva){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if(!pFileBuffer){
		printf("从磁盘读取文件为空!\n");
		return 0;
	}

	if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE){
		printf("(Rva2Foa)没有MZ标志!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	if(*(PDWORD)((DWORD)pDosHeader + pDosHeader->e_lfanew) != IMAGE_NT_SIGNATURE){
		printf("(Rva2Foa)没有PE标志!\n");
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	PIMAGE_SECTION_HEADER pNextSectionHeaderTemp = pSectionHeader + 1;


	if(dwRva <= pOptionHeader->SizeOfHeaders){
		return dwRva;
	}else{
		for(int n=1; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++, pNextSectionHeaderTemp++){
			if((dwRva >= pSectionHeaderTemp->VirtualAddress) && (dwRva < (pNextSectionHeaderTemp->VirtualAddress)))
				return dwRva - pSectionHeaderTemp->VirtualAddress + pSectionHeaderTemp->PointerToRawData;
		}
	}
	if (dwRva >= pSectionHeaderTemp->VirtualAddress && dwRva < pOptionHeader->SizeOfImage)
	{
		return pSectionHeaderTemp->PointerToRawData + dwRva - pSectionHeaderTemp->VirtualAddress;
	}
	printf("RVA TO FOA Failed!\n");

	return 0;
}
DWORD AddSection(PSTR file_path, PVOID* pFileBuffer, DWORD FileSize, PVOID* pNewFileBuffer){

	int isUpHeader = 0;
	//DWORD FileSize = toLordPE(file_path, pFileBuffer);
	DWORD FileTotal = FileSize + 0x1000;
	printf("%x\n",*pFileBuffer);
	
	*pNewFileBuffer = malloc(FileTotal);
	printf("%x\n",pNewFileBuffer);
	printf("%x\n",*pNewFileBuffer);
	
	if(!pNewFileBuffer){
		printf("新增节内存分配失败!\n");
		return 0;
	}
	memset(*pNewFileBuffer, 0, FileTotal);	
	memcpy(*pNewFileBuffer, *pFileBuffer, FileSize);

	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	//printf("1\n");
	printf("%x\n",*((PWORD)*pNewFileBuffer));
	if (*((PWORD)*pNewFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("没有MZ标志!\n");
		//free(*pNewFileBuffer);
		return 0;
	}
	pDosHeader = (PIMAGE_DOS_HEADER)*pNewFileBuffer;
 
	if (*((PDWORD)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		//printf("%x\n",pDosHeader->e_lfanew);
		//printf("%x\n",*((PDWORD)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew)));
		printf("没有PE标志!\n");
		//free(*pNewFileBuffer);
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	


	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	for (DWORD i = 0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp++)
	{
		// for结束后,pSectionHeaderTemp指向最后一个节表的后面
		//printf("%x\n",i);
	}
	

	// pLastSectionHeaderTemp 指向最后一个节表
	PIMAGE_SECTION_HEADER pLastSectionHeaderTemp = pSectionHeaderTemp-1;
	
	/*
	PBYTE Temp = (PBYTE)pSectionHeaderTemp;
	printf("%x\n",*(Temp+0));
	printf("%x\n",*(Temp+1));
	printf("%x\n",*(Temp+2));
	printf("%x\n",*(Temp+3));
	*/
	
	// 节表后有没有多余空间
	// 多余空间是不是0
	if((DWORD)pSectionHeaderTemp + IMAGE_SIZEOF_SECTION_HEADER * 2 <= (pOptionHeader->SizeOfHeaders + (DWORD)(*pNewFileBuffer))){
		PBYTE pSTemp = (PBYTE)pSectionHeaderTemp;
		for(i = 0; i < (IMAGE_SIZEOF_SECTION_HEADER * 2); i++, pSTemp++){
			if(*pSTemp){
				// printf("%x\n",*(pSTemp+0));
				printf("节表后面有数据,不能插入节表,尝试头抬升!\n");
				// UpHeader(&pFileBuffer, &pNewFileBuffer);
				isUpHeader = 1;
				break;
			}
		}
		printf("节表后有足够空间,且数据为0\n");
	}else{
		printf("节表后没有多余空间,尝试头抬升!\n");
		isUpHeader = 1;
		// UpHeader();
	}

	if(isUpHeader){
		if((DWORD)pNTHeader - (DWORD)*pNewFileBuffer - sizeof(IMAGE_DOS_HEADER) >= IMAGE_SIZEOF_SECTION_HEADER * 2){

			printf("抬升头\n");
			memcpy((PVOID)((DWORD)*pNewFileBuffer + sizeof(IMAGE_DOS_HEADER)), pNTHeader, (DWORD)pSectionHeaderTemp - (DWORD)pNTHeader);
			pDosHeader->e_lfanew = sizeof(IMAGE_DOS_HEADER);

			pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew);
			pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
			pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
			pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);	


			pSectionHeaderTemp = pSectionHeader;
			for (DWORD i = 0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp++)
			{
				// for结束后,pSectionHeaderTemp指向最后一个节表的后面
				//printf("%x\n",i);
			}
			// pLastSectionHeaderTemp 指向最后一个节表
			pLastSectionHeaderTemp = pSectionHeaderTemp-1;

			if (*((PDWORD)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
			{
				printf("(抬升后)没有PE标志!\n");
				return 0;
			}
			printf("抬升成功\n");
			memset(pSectionHeaderTemp, 0, IMAGE_SIZEOF_SECTION_HEADER * 2);
		}else{
			printf("(DOS Sub)没有足够的空间插入节表,不可以头抬升!\n");
			return 0;
		}
	}

	printf("插入节表\n");
	memcpy(pSectionHeaderTemp, ".tttt", 8);
	pSectionHeaderTemp->Misc.VirtualSize = 0x1000;
	// pSectionHeaderTemp->VirtualAddress = pOptionHeader->SizeOfImage;
	DWORD z = pLastSectionHeaderTemp->Misc.VirtualSize > pLastSectionHeaderTemp->SizeOfRawData ? pLastSectionHeaderTemp->Misc.VirtualSize : pLastSectionHeaderTemp->SizeOfRawData;
	pSectionHeaderTemp->VirtualAddress = pLastSectionHeaderTemp->VirtualAddress + Align(z, pOptionHeader->SectionAlignment);
	pSectionHeaderTemp->SizeOfRawData = Align(0x1000, pOptionHeader->FileAlignment);
	pSectionHeaderTemp->PointerToRawData = pLastSectionHeaderTemp->PointerToRawData + pLastSectionHeaderTemp->SizeOfRawData;
	pSectionHeaderTemp->Characteristics = 0x60000020;

	// 修改节表数量
	pPEHeader->NumberOfSections++;
	// 修改SizeOfImage(按内存对齐)
	pOptionHeader->SizeOfImage += Align(0x1000, pOptionHeader->SectionAlignment);
	

	return FileTotal;
}

BOOL Memory2File(PVOID pNewFileBuffer, DWORD size, PSTR write_path){
	FILE *fp;
	fp = fopen(write_path, "wb");
	if(!fp){
		printf("(MemoryToFile)写入失败!\n");
		return 0;
	}
	printf("mtf :%x\n", pNewFileBuffer);
	fwrite(pNewFileBuffer, size, 1, fp);
	fclose(fp);
	return 1;
}

DWORD movRelocation(PVOID pNewFileBuffer){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER64 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_BASE_RELOCATION pRelocationTable = NULL;
	PIMAGE_BASE_RELOCATION pRelocationTableTemp = NULL;
	PIMAGE_BASE_RELOCATION pRelocationTableTemp2 = NULL;
	
	pDosHeader = (PIMAGE_DOS_HEADER)pNewFileBuffer;
	pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNewFileBuffer + pDosHeader->e_lfanew + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER64)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader);

	pRelocationTable = (PIMAGE_BASE_RELOCATION)((DWORD)pNewFileBuffer + Rva2Foa(pNewFileBuffer, pOptionHeader->DataDirectory[5].VirtualAddress));
	pRelocationTableTemp = pRelocationTable;

	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	for(size_t i=1; i < pFileHeader->NumberOfSections; i++, pSectionHeaderTemp++){
		// 循环结束后pSectionHeaderTemp指向最后一个节表
	}
	
	DWORD sizeOfRelocationTable = 0; // 记录重定位表的大小
	printf("移动前\n");
	while(pRelocationTableTemp->VirtualAddress && pRelocationTableTemp->SizeOfBlock){		
		printf("重定位表的VirtualAddress:%#x\n", pRelocationTableTemp->VirtualAddress);
		printf("重定位表的SizeOfBlock:%#x\n", pRelocationTableTemp->SizeOfBlock);
		printf("重定位表一共有多个要处理的地址:%#x\n", (pRelocationTableTemp->SizeOfBlock - 8) /2);		

		sizeOfRelocationTable += pRelocationTableTemp->SizeOfBlock;

		pRelocationTableTemp = (PIMAGE_BASE_RELOCATION)((DWORD)pRelocationTableTemp + pRelocationTableTemp->SizeOfBlock);
	}
	sizeOfRelocationTable += 8; // 加上重定位表末尾全零的八字节
	printf("重定位表的大小:%#x\n",sizeOfRelocationTable);

	memcpy((PVOID)((DWORD)pNewFileBuffer + pSectionHeaderTemp->PointerToRawData), pRelocationTable, sizeOfRelocationTable);

	pOptionHeader->DataDirectory[5].VirtualAddress = pSectionHeaderTemp->VirtualAddress;
	printf("修改目录项的重定位:%#x\n", pOptionHeader->DataDirectory[5].VirtualAddress);



	// 测试移动后的结果
	
	pRelocationTableTemp2 = (PIMAGE_BASE_RELOCATION)((DWORD)pNewFileBuffer + Rva2Foa(pNewFileBuffer, pOptionHeader->DataDirectory[5].VirtualAddress));
	printf("移动后的重定位表的FOA:%#x\n",Rva2Foa(pNewFileBuffer, pOptionHeader->DataDirectory[5].VirtualAddress));	
	while(pRelocationTableTemp2->VirtualAddress && pRelocationTableTemp2->SizeOfBlock){
		
		printf("重定位表的VirtualAddress:%#x\n", pRelocationTableTemp2->VirtualAddress);
		printf("重定位表的SizeOfBlock:%#x\n", pRelocationTableTemp2->SizeOfBlock);
		printf("重定位表一共有多个要处理的地址:%#x\n", (pRelocationTableTemp2->SizeOfBlock - 8) /2);		

		pRelocationTableTemp2 = (PIMAGE_BASE_RELOCATION)((DWORD)pRelocationTableTemp2 + pRelocationTableTemp2->SizeOfBlock);
	}



	return 0;
}

int main(){
	PSTR file_path = "C:\\Users\\lolol\\Desktop\\notepad.exe";
	PSTR write_path = "C:\\Users\\lolol\\Desktop\\notepad3.exe";
	PVOID pFileBuffer = NULL;
	PVOID pNewFileBuffer = NULL;

	DWORD FileSize = toLoardPE(&pFileBuffer, file_path);
	printf("文件在磁盘上的大小:%x\n", FileSize);

	DWORD FileTotal = AddSection(file_path, &pFileBuffer, FileSize, &pNewFileBuffer);
	printf("新增节后的大小:%x\n",FileTotal);

	printf("===========移动重定位表============\n");
	movRelocation(pNewFileBuffer);

	Memory2File(pNewFileBuffer, FileTotal, write_path);
	return 0;
}
-Sw0rd-
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
移动重定位和模拟windows重定位过程
weixin_43990313的博客
07-20 349
移动重定位 思路 大体上和移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
滴水逆向——移动重定位
sunr.
04-14 527
1.移动要点: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 #...
手工解析PE(将重定位移动到新增节中)
GNAIXGNAHZ的博客
07-03 243
手工解析PE(将重定位移动到新增节中)
PE重定位
跃然实验室
06-11 366
重定位解决Pe文件实际加载基址与PE文件中所指定的加载基址不同时带来的问题。 保存有待修正数据的地址 EXE文件不存在重定位:对于EXE文件来说,每个文件总是使用独立的虚拟地址空间,所以EXE总是能够按照这个地址装入,这意味着EXE 文件不再需要重定位信息。   DLL文件需要重定位:对于DLL文件来说,由于多个DLL文件全部使用宿主EXE文件的地址空间,...
移动导出-重定位
lygl35的博客
02-27 162
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
pe 文件编程:清除文件头中的重定位.rar
PE结构中重定位的分析.rar
01-10
1:包含一个dll,PElord工具和一个文档说明 2:用一个dll对PE结构中的重定位进行了解析和数据还原
重定位修改办法.rar
06-09
1.重定位的修改方法,而不是修改入口点函数,根据相对地址偏移的方法。 2:重定位的内容: 第[0001]项 数据项的数据为:[0006] 数据属性为:[3] RVA的地址为:[00001006] 重定位的数据:[68264000]; RVA里面的地址...
PE重定位练习
10-07
该文件包含一个dll和PEview,和文章中的截图对应,方便大家更好的理解PE重定位原理
012_relocate_013_代码重定位_
10-03
代码重定位,可以将Nandflsah上的代码重新定位到sdram上。
滴水逆向三期实践14:移动重定位
Rivival_S 的博客
10-28 628
重定位移动相比导出就简单太多了,因为重定位相当于只有一个大。统计一下这个“大”的大小,全部移动到新节就行了。因为是使用下一块 VirtualAddress 和 SizeOfBlock是否全0来判断重定位是否结束的,所以拷贝的时候也把这8字节的全0内容也加上一起拷贝进新节。 最后修改数据目录中的 VirtualAddress指向新节 RVA 即可。 代码有详细注释 #include "Currency.h" #include "windows.h" #include "st...
移动重定位到新增节
hambaga的博客
05-20 339
一、为什么要移动重定位 数据目录中的是分散在各个节里的,如果对节进行加密,操作系统找不到,就无法加载程序。因此加密前要先把移动到新的节里。 二、怎么移动 计算重定位的大小,首先要遍历重定位,累加 SizeOfBlock,然后新增一个节,大小是的大小文件对齐。最后把复制到新增节的开头,然后更新数据目录的VirtualAddress指向新的重定位。 三、代码 // 移动重定位到新增节,返回新缓冲区的大小 DWORD MoveRelocationTableToNewSection(LPVOID
移动导出重定位
qq_41232519的博客
09-06 397
文章目录一、移动导出二、移动重定位 一、移动导出 第一步:在DLL中新增一个节,并返回新增后的FOA 第二步:复制AddressOfFunctions 长度:4*NumberOfFunctions 第三步:复制AddressOfNameOrdinals 长度:NumberOfNames*2 第四步:复制AddressOfNames 长度:NumberOfNames*4 第五步:复制所有的函数名 长度不确定,复制时直接修复AddressOfNames
移动导出-重定位(滴水)
若面朝大海边竹妮春暖花开的博客
05-02 497
PE文件的各种示编译器生成的,里面存储了非常重要的信息 在程序启动的时候,系统会根据这些做初始化的工作 当要对程序进行加密时,需要将这些移到自己创建的节里,不然程序运行不起来 ...
移动导出移动重定位【滴水逆向三期51笔记+作业源码】
WdIg-2023的博客
03-28 399
前面章节我们了解了PE文件中的导出重定位,今天我们来学习如何来移动导出重定位
PE目录项之重定位(解析、移动、模拟运作)
qq_35289660的博客
07-03 1377
PE目录项之重定位(解析、移动、模拟运作) 文章目录PE目录项之重定位(解析、移动、模拟运作)0.说明1.解析重定位(1)作用(2)详解2.移动重定位到新建节区3.模拟重定位工作(1)重定位的工作(2)模拟它工作4.C源代码(1)解析重定位(2)移动重定位(3)模拟重定位工作 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水逆向视频总结(部分截图来自于滴水课件) 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:124588
【逆向】通过新增节移动导出重定位(附完整代码,直接可运行)
fzucaicai的博客
10-17 762
但是我之前一直不理解,特么为毛要挪动函数名字符串啊,这玩意不是等dll解密出来就能用了吗? 百思不得其解,去问大佬们,大佬们说的我都听又听不懂,学又学不会。很淦 但是我只能装作听懂的样子,感谢大佬们的赐教,其实我是不懂的,经过一番摸索,我终于悟了! 首先给大家看看用def导出的dll应该怎么使用 首先 ,加了密后,只有使用Dll的时候,dll才会解密,那在dll外想要调用dll
代码随想录算法训练营第四十四天|70. 爬楼梯(进阶版)
最新发布
qq_55999494的博客
05-22 237
INT_MAX这个条件是确保在利用dp[j - coins[i]]得到dp[j]的过程中,所使用的一定是更新过的dp[j - coins[i]],防止dp[j - coins[i]]为未更新过的初始值,影响dp[j]的正常推导。因为无论排列和组合,求出的最小商品数都是相同的,所以可以先循环容量,再循环商品,反过来也行。多重背包问题,代取商品就是从1:m的数组,背包的容量就是n,由于是求方法数,所以递推公式为。此题是求最小的情况,也就是把背包装满所用的最小的商品数,
【考研数据结构知识点详解及整理——C语言描述】第一章算法算法评价
qq_63492484的博客
05-21 392
时间复杂度和空间复杂度
PE_PUL0和PE_DAT有啥区别
06-13
PE_PUL0和PE_DAT都是PE文件中的...而PE_DAT代数据目录(Data Directory),该记录了PE文件中其他各种数据结构的位置和大小信息,如导入、资源重定位等。因此,PE_PUL0和PE_DAT在功能和作用上有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值