滴水逆向三期 PE基础 移动导出表

最新推荐文章于 2021-01-05 19:32:04 发布
最新推荐文章于 2021-01-05 19:32:04 发布
阅读量504 收藏 3
点赞数
分类专栏: windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44803739/article/details/106120519
版权

分析

源码
要移动导出表, 需要改变的地方有:
1 DataDirectory[5]->VirtualAddress
2 ExportDirector中的三个地址

代码

按照课程内容的顺序依次进行
步骤如下:
在这里插入图片描述

新增节省略
初始化
Header header;
SList slist;
DWORD fileSize = 0;
DWORD foaOfNewSection = 0;
DWORD foaExportDirectory = 0;
PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
PIMAGE_EXPORT_DIRECTORY pExportDirectory = NULL;

pFileBuffer = ReadPeFile(inFilePath, &fileSize);
InitializePheader(pFileBuffer, &header, &slist);
pDataDirectory = header.pOptionalHeader->DataDirectory;
foaExportDirectory = RvaDataToFoaData(pFileBuffer, (*pDataDirectory).VirtualAddress, FALSE);
pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)(foaExportDirectory + (DWORD)pFileBuffer);
二三四 复制地址

需要用三个变量存放存储当前片段的偏移, 方便后面修复

DWORD sizeOf_AddressOfFunctions = 4 * pExportDirectory->NumberOfFunctions;
DWORD sizeOf_AddressOfNames = 4 * pExportDirectory->NumberOfFunctions;
DWORD sizeOf_AddressOfNameOrdinals = 2 * pExportDirectory->NumberOfNames;

DWORD copyAddressOfFunctions = (DWORD)pFileBuffer + (header.pSecitonHeader + slist.numOfSections - 1)->PointerToRawData;
DWORD orginalAddressOfFunctions= (DWORD)pFileBuffer + RvaDataToFoaData(pFileBuffer, pExportDirectory->AddressOfFunctions, FALSE);
DWORD foaOf_AddressOfFunctions = copyAddressOfFunctions - (DWORD)pFileBuffer;
memcpy((LPVOID)copyAddressOfFunctions, (LPVOID)orginalAddressOfFunctions, sizeOf_AddressOfFunctions);	//复制AddressOfFunctions
copyAddressOfFunctions += sizeOf_AddressOfFunctions;
orginalAddressOfFunctions = (DWORD)pFileBuffer + RvaDataToFoaData(pFileBuffer, pExportDirectory->AddressOfNames, FALSE);
DWORD foaOf_AddressOfNames = copyAddressOfFunctions - (DWORD)pFileBuffer;	//为了后面修复
memcpy((LPVOID)copyAddressOfFunctions, (LPVOID)orginalAddressOfFunctions, sizeOf_AddressOfNames);
copyAddressOfFunctions += sizeOf_AddressOfNames;
orginalAddressOfFunctions = (DWORD)pFileBuffer + RvaDataToFoaData(pFileBuffer, pExportDirectory->AddressOfNameOrdinals, FALSE);
DWORD foaOf_AddressOfNameOrdinals = copyAddressOfFunctions - (DWORD)pFileBuffer;;
memcpy((LPVOID)copyAddressOfFunctions, (LPVOID)orginalAddressOfFunctions, sizeOf_AddressOfNameOrdinals);
copyAddressOfFunctions += sizeOf_AddressOfNameOrdinals;
五 复制函数名

strlen记得加1

DWORD oringinalAddressOfName = (DWORD)pFileBuffer + RvaDataToFoaData(pFileBuffer, pExportDirectory->AddressOfNames, FALSE);
DWORD sizeOfNames = 0;
char *nameOfFunction = (char *)((DWORD)(pFileBuffer)+RvaDataToFoaData(pFileBuffer, *(DWORD *)(oringinalAddressOfName),  FALSE));
for (DWORD i = 0; i < pExportDirectory->NumberOfNames; i++) 
{
	puts(nameOfFunction);
	sizeOfNames += strlen(nameOfFunction);
	memcpy((DWORD *)copyAddressOfFunctions, nameOfFunction, sizeOfNames);

	copyAddressOfFunctions = copyAddressOfFunctions + strlen(nameOfFunction) + 1;
	nameOfFunction = (char *)((DWORD)nameOfFunction + strlen(nameOfFunction) + 1);
}
六 复制导出表结构
DWORD foaOf_AddressOfExportDirectory = copyAddressOfFunctions - (DWORD)pFileBuffer;
memcpy((PIMAGE_EXPORT_DIRECTORY)copyAddressOfFunctions, pExportDirectory, SIZE_OF_EXPORTDIRECTORY);
七 八 修复结构
PIMAGE_EXPORT_DIRECTORY movedExportDirectory = (PIMAGE_EXPORT_DIRECTORY)copyAddressOfFunctions;
movedExportDirectory->AddressOfFunctions = FoaDataToRvaData(pFileBuffer, (DWORD)foaOf_AddressOfFunctions);
movedExportDirectory->AddressOfNames = FoaDataToRvaData(pFileBuffer, (DWORD)foaOf_AddressOfNames);
movedExportDirectory->AddressOfNameOrdinals = FoaDataToRvaData(pFileBuffer, (DWORD)foaOf_AddressOfNameOrdinals);

pDataDirectory->VirtualAddress = FoaDataToRvaData(pFileBuffer, foaOf_AddressOfExportDirectory);

测试

ps: 没考虑过64位问题, 只用于32位测试
测试文件: cloudmusic.dll 某云

原始dll

在这里插入图片描述

移动导出表后dll

在这里插入图片描述
使用也无问题

一些问题

1 首先是新节的大小, 一开始用的0x10000感觉已经很大了, 没想到在测试的时候出了问题, 拖进lordpe一看, 这么多函数名字还都不短, 立马就又加了个0, 成功. 所以稳妥的做法是先判断所有name大小再开辟新节

2 关于FOA RVA惭愧的说, 这两个东西学到这才弄懂含义, FILE OFFSET ADDRESS 之前觉着是FILE OF ADDRESS…就导致写代码的时候会把加上缓冲区的地址当作foa, 意思就是单纯的偏移, 并不包含缓冲区的地址. 弄明白就不用在加不加缓冲区地址上浪费时间. 但这个并不影响关于移动表的理解.

3 尽管已经写完了 打印导出表, 在写这个函数的时候还是在转来转去的过程中差点晕过去, 但现在写完变得很清晰, 对PE结构的理解帮助很大.

建了个学习讨论q群, 欢迎新朋友加入:1094301686

四位
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
滴水三期视频+课件+笔记
07-13
滴水三期视频+课件,想要的都有了,别错过 滴水三期视频+课件,想要的都有了,别错过 滴水三期视频+课件,想要的都有了,别错过
滴水逆向三期实践13:移动导出
Rivival_S 的博客
10-28 1002
为什么要移动各种? 1、这些是编译器生成的,里面存储了非常重要的信息。 2、在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到 IAT 中(IAT后面会讲) 3、为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 我们知道数据目录的各种是存在各个节里的,而exe的代码的信息也是在节里,与客户字节的代码和数据都混在一起了,如果进行加密(加壳),那系统在初始化的时候会出问题! 综上,学会移动各种,是对程序加密/破解的基础移动
PE移动导出
windows小菜鸡的博客
08-18 598
1、移动各种的目的 (1)在程序启动时,系统会根据导入导出等进行初始化工作。为了保护程序,一般会对exe程序的二进制进行加密等工作,但是一旦将这些也进行了加密,那么系统在初始化的时候没办法找到这些,也无法启动程序。 (2)在对程序加密之前,需要对一些关键的进行移动后,再对原来的数据进行加密,这样才不能破坏原来的程序。 (3)学会移动各种,是对程序加密/破解的基础。 2、如何移动导出 上一篇文章,提到了如何对导出进行解析,导出的结构如图下。 导出的位置是在可选PE头的第一项,如图,我们可
滴水逆向——PE移动导出
sunr.
04-13 891
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到IAT中. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种的信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统...
导出滴水
若面朝大海边竹妮春暖花开的博客
04-29 230
可选PE头中最后一个元素是一个目录项的数组,这个数组的第一项就是导出 函数序号中存储的就是函数序号 导出中的函数数量的计算方法是最大的序数减去最小的序数加1 Base中存储的是序号开始的地址,序号中的序号需要加上Base才是我们自己设置的导出序号 ...
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期课件(全)
04-03
滴水逆向三期所有课件,需要的速度下载,全部课件,是xls格式的,也就是视频里的excel课件,用的7z最小体积压缩,方便下载!
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
滴水逆向中级课件源码
07-04
滴水逆向中级课件源码,学习最前沿的软件安全和逆向分析技术。
滴水逆向教材
02-06
滴水逆向培训教材 很好的哦
滴水逆向三期 PE基础 移动导入与导入注入
四位的博客
05-27 786
目录分析大致流程具体实现步骤移动导入1 移动整体结构 完成导入注入需要的操作2 改变name3 改变OriginalFirstThunk4 改变INT(可以选择把IAT置0或者不管 FirstThunk不改变即可)整体代码导入注入1改变OFT FT NAME2 设置INT很多问题 分析 大致流程 一 遍历所有导入, 如果遇到0结束遍历, 如果要加进去一个, 那么原有导入目录最后需要至少有14h*2的空闲空间. 二 如果没有那么要先进行移动导入的操作. 在移动导入操作中会碰到空闲空间不够, 那么
PE文件导出简介
weixin_43575859的博客
03-13 237
导出一般存在于 .dll 文件中,偶尔也存在于EXE文件中。PE文件被执行时,Windows装载器将文件装入内存并将导入登记的DLL文件装入,再把需要导入的函数的地址根据DLL文件导出中的信息对被执行文件导入中的IAT进行修正。所以导出就是存储了一个文件的导出信息的,通过导出DLL文件向系统提供导出函数名称,序号和入口地址等信息,以便Windows装载器来完成动态链接的过程。 导...
滴水逆向——移动重定位
sunr.
04-14 527
1.移动要点: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 #...
移动导出-重定位滴水
若面朝大海边竹妮春暖花开的博客
05-02 497
PE文件的各种示编译器生成的,里面存储了非常重要的信息 在程序启动的时候,系统会根据这些做初始化的工作 当要对程序进行加密时,需要将这些移到自己创建的节里,不然程序运行不起来 ...
滴水逆向三期 内存注入/无模块注入
四位的博客
01-05 2913
找文章看了一下, 讲的很好, 但是地址没了…尴尬, 03年的技术, 大致内容就是介绍了两种注入技术, 一个为常规的远程线程注入, 另一个就是内存注入. 只不过文章思路是只插入一段代码, 也就是编写shellcode. 而无模块注入则是将模块整体以内存写入的形式加载实现隐藏 . 杀软依然秒杀…但是我封装起来写后就检测不到, 特征码竟然消失了… 原理与问题 思路是将自己复制一份加载到目标进程中, 即注入进程和寄生程序是一个东西.不过想想也知道, 注入dll也是一个原理, 无非是拉伸之后再贴到目标进程, 最后依然
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密壳项目
四位的博客
12-27 1924
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
最新发布
07-05
滴水逆向是指通过逆向工程的手段对软件进行分析和研究的过程。滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载课件,学习者可以在没有网络连接的情况下随时查看和学习课程内容,从而提高学习的便利性和效果。 CC源码是指开放源代码的软件项目或应用程序。CC源码通常是直接提供给用户,使他们可以查看、修改和运行软件的源代码。通过查看CC源码,开发者可以了解软件的内部结构和功能实现方式,从而更好地理解和定制软件。 滴水逆向三期课件下载和CC源码提供了学习者学习滴水逆向技术的重要资源。通过研究课件和源码,学习者可以深入了解滴水逆向的理论和实践知识,提高逆向工程能力,并且可以在实际项目中应用这些知识和技巧。这对于提高软件开发和安全评估的能力都具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

四位

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值