滴水逆向三期 PE基础 移动重定位表与修改IMAGEBASE

最新推荐文章于 2024-05-22 21:35:58 发布
最新推荐文章于 2024-05-22 21:35:58 发布
阅读量1.8k 收藏 10
点赞数 4
分类专栏: windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44803739/article/details/106159224
版权

分析

源码

一 移动重定位

直接把整张表复制后修改目录表的RVA即可

二 修改ImageBase

5.17 在看了后面的课程理解了修改ImageBase修复重定位表其实是加载PE文件时系统做的事情, 这个函数相当于在仿照这件事 怪不得之前写错了重定位表的值依然可以运行…

①首先当然是修改ImageBase
②遍历重定位表中的数据加上新旧ImageBase的差值, 就是在打印的基础上加上修改数据

重定位表的结构

在这里插入图片描述
SECTION为所属区段, RVA为大表, items为有多少数据(SizeofBlock-8)/2 因为小表为word

RVA为要修改数据的地址(非真实地址) offset为文件偏移 type为数据属性
FarAddress为真正的地址也是修改imagebase后应该修改的值

数据偏移

重定位表的结构是由各个Block组成, 每个Block的前八个字节为RVA和本块的SIZE
在这里插入图片描述
11000转换FOA后为8A00 对应2
在这里插入图片描述
数据地址应为小表+大表如第一项数据60F+011000=1160F
转换为FOA后为A0F 对应4 5
高四位为3 属性 对应6
在这里插入图片描述
真实地址为1001B002 对应7
也就是要修改的值 加上与旧IMAGEBASE的差值即可

代码

differenceOfImageBase = newImageBase - header.pOptionalHeader->ImageBase;
	while (pBaseRelocation->SizeOfBlock)
	{
		//要修改的数据大表在文件中的偏移 大表 + word 型偏移
		foaOfBlock = (DWORD)pBaseRelocation - (DWORD)pFileBuffer;
		currentBlockItems = (pBaseRelocation->SizeOfBlock - 8) / 2;	//word 表示
		addressOf_rvaOfData = pBaseRelocation->VirtualAddress;
		header.pOptionalHeader->ImageBase = newImageBase;
		while (--currentBlockItems)
		{
			rvaOfData = ((*(WORD*)(foaOfBlock + (DWORD)pFileBuffer + 8)) & 0x0fff) + addressOf_rvaOfData;
			foaOfData = (DWORD)RvaDataToFoaData(pFileBuffer, rvaOfData);
			pFarAddress = (DWORD*)(foaOfData + (DWORD)pFileBuffer);
			*pFarAddress += differenceOfImageBase;
			foaOfBlock += 2;
		}

		pBaseRelocation = (PIMAGE_BASE_RELOCATION)((DWORD)pBaseRelocation + pBaseRelocation->SizeOfBlock);
	}

结果

在这里插入图片描述

一些问题

1 在修改后调用发现反汇编中并没有改变, 然后想到在win10上是动态加载Imagebase, 修改OptionalHeader中的DLLCharacteristic低8位为00即可 具体见ASLR pe分析

2
当IMAGEBASE>7FFFFFFF后系统会自动修正
在这里插入图片描述
ps: 建了个学习讨论群, 欢迎新朋友加入:1094301686

四位
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PE文件学习
qq_43210436的博客
02-18 625
**PE文件学习记录** 大三下的选修课程《恶意代码分析》中需要学习PE文件的相关知识,以此为契机,记录一下自己的学习过程并对知识加以整理和理解 PE文件学习记录PE文件相关基本概念二级目录三级目录 PE文件相关基本概念 1.基地址(ImageBase): PE文件被加载到内存后,内存中的版本被称为模块(Module),映射文件的起始地址被称为模块句柄(hModule)。这个初始内存地址也被称为基地址(ImageBase)。 2虚拟地址(VA): ...
获取当前进程的IMAGE_BASE
azraelxuemo的博客
01-19 1330
在实战中可能我们很多操作需要基于IMAGE_BASE,下面就给大家介绍一下怎么获取IMAGE_BASE 获取当前线程的IMAGE_BASE GetModuleHandle #include<windows.h> #include<stdio.h> int main() { HMODULE hModule = GetModuleHandle(NULL); PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; if (
程序运行中如何找基址ImageBase
最新发布
meis27461的博客
05-22 269
直接ollydbg加载程序后打开Memory视图,直接找到内容为PE header标识的这一条就是基址。如图所示打开就可以看到两条重要信息,PE标识和PE头偏移量。如图所示。
pe知识
Iamangle122的博客
12-12 482
c00005防止内存出错,内核重载:操作系统启动内核.exe文件,重载用peloader启动操作系统的exe filebuffer是直接从硬盘加载到内存 imagebuffer是文件映像,做了内存对齐 imageBuffer 是fileBuffer的拉伸,可以运行啦 imageBase是内存镜像基址。这里的大小不确定。 执行的时候还要做地址转换,把虚拟地址转换成物理地址。 第一节 代码
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 301
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000时,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位 重定位修复 重定位修复 重定位的修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址加上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
获取其他进程的IMAGE_BASE
azraelxuemo的博客
01-20 1085
文章目录获取进程获取IMAGE_BASEZwQueryInformationProcessNtQueryInformationProcessEnumProcessModules(不稳定不推荐) 获取进程 要获取其他的进程的IMAGE_BASE,首先要获取到其他进程,我们封装一个获取进程的API HANDLE GetProcessHandle(WCHAR* ProcessName) { HANDLE hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCES
重定位1
08-03
重定位PE(Portable Executable)文件格式中一个关键的数据结构,它在调试版本、动态链接库以及使用了/FIXED:NO链接选项的发布版程序中起...理解并能正确处理重定位对于PE文件分析、调试和逆向工程来说至关重要。
PE文件结构详解
08-25
PE文件结构详解可以分为四个主要部分:DOS头、PE头、节和节体。 PE文件的结构 PE文件结构可以分为两个主要部分:DOS头和PE头。DOS头是PE文件的前64字节,包含了 magic number、文件大小、页数等信息。PE头是PE...
delphi版本修改PE头源码
08-28
例如,不正确的ImageBase修改可能导致程序加载失败,而非法修改导入或导出可能会破坏程序的功能。 在提供的文件列中,"Project20.dpr"是Delphi项目的主文件,包含了项目入口点和编译指令。"Project20.dproj"是...
易语言PE结构查看
07-21
易语言是一种基于中文编程的计算机程序设计语言,它旨在降低编程难度,让更多人能接触编程。...学习并掌握这些知识点,不仅有助于深入理解Windows程序的运行机制,还能为逆向工程和软件安全分析提供基础
PE 可执行文件头分析
07-09
通过深入理解这些概念,开发者和逆向工程师可以更好地调试、分析和修改PE文件,以满足特定的需求。例如,逆向工程中,对PE文件头的分析有助于理解恶意软件的行为;而在软件开发中,了解PE头可以帮助优化程序的加载和...
PE文件-手工修改重定位-WinHex-CFF Explorer
插件开发
08-07 1549
如果需要修改exe,dll等的二进制代码,遇到添加绝对地址时,需要将绝对地址的位置添加进重定位,确保添加代码的正确。接着找到下一个头位置,地址是3B72,复制整块数据,向后移动两个位置。这样添加一个项的工作就已经完成。白色部分是可以修改的,灰色部分不能,由此可见,CFF Explorer是可以修改重定位的,但是不能直接增加一个新的单元及项的。然后是增加一个项,虚拟地址是3000,大小是12,目标地址是3200。先采用CFF Explorer打开目标文件,找到重定位,如下图所示;...
PE结构学习(6)_重定位
xf555er的博客
08-07 246
当一个PE文件执行时会加载多个PE文件,而每个被加载PE文件都有它在内存展开后的起始地址, 这个地址是由此PE文件的imagebase(基址)所决定的若前面的PE文件占用了后面PE文件的地址, 则后面的PE文件需要重新设置基址, 然后通过重定位对所有的重定位信息进行修改,而所有的重定位信息都存储在重定位中通常一个PE文件会有多张重定位。...
1.IDA-基本操作(改变Image Base地址、打开、保存IDA的不同方式)
热门推荐
hgy413的专栏
09-01 1万+
启动                启动IDA,会出现以下对话框: New:启动一个标准的File Open对话框,让你选择 Go:打开一个空白工作区,这时只需把二进制文件直接拖入到IDA工作区 Previous:打开最近用过的文件中一个   加载文件                    拖入文件后,会弹出一个加载对话框,如果未识别文件,则默认为Binary File为唯一选项
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 737
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件在文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
PE格式深入浅出之RAV,AV,ImageBase之间的关系
fantcy的专栏
08-23 1万+
破解软件系列-PE格式深入浅出之RAV,AV,ImageBase之间的关系(二)    PE header 的正式命名是 IMAGE_NT_HEADERS。再来回忆一下这个结构。IMAGE_NT_HEADERS STRUCT     Signature dd ?     FileHeader IMAGE_FILE_HEADER     OptionalHeader IMAGE_OP
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1791
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
滴水三期:day37.1-重定位
Edimade的博客
04-11 591
一、引入重定位(1.程序加载过程 > 2.问题一:DLL装载地址冲突 > 3.问题二:全局变量的绝对地址 > 4.引入)二、重定位结构(1.找重定位 > 2.重定位结构 > 3.页、块、节的关系)三、为什么学重定位(1.破解方面 > 2.反反调试)四、作业(1.重定位这样设计的好处 > 2.编写C程序打印重定位信息)
PE文件格式逆向解析成汇编语言
06-02
PE文件格式逆向解析成汇编语言是一个非常复杂的任务,需要对PE文件格式有深入的了解,并且需要具备较强的反汇编技能。以下是一个简单的示例,演示如何将PE文件头部信息逆向解析成汇编语言: ``` ; 定义IMAGE_DOS_HEADER结构体 IMAGE_DOS_HEADER struct e_magic dw ? e_cblp dw ? e_cp dw ? e_crlc dw ? e_cparhdr dw ? e_minalloc dw ? e_maxalloc dw ? e_ss dw ? e_sp dw ? e_csum dw ? e_ip dw ? e_cs dw ? e_lfarlc dw ? e_ovno dw ? e_res dw 4 dup(?) e_oemid dw ? e_oeminfo dw ? e_res2 dw 10 dup(?) e_lfanew dd ? IMAGE_DOS_HEADER ends ; 定义IMAGE_NT_HEADERS结构体 IMAGE_NT_HEADERS struct Signature dd ? FileHeader IMAGE_FILE_HEADER <> OptionalHeader IMAGE_OPTIONAL_HEADER32 <> IMAGE_NT_HEADERS ends ; 定义IMAGE_FILE_HEADER结构体 IMAGE_FILE_HEADER struct Machine dw ? NumberOfSections dw ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader dw ? Characteristics dw ? IMAGE_FILE_HEADER ends ; 定义IMAGE_OPTIONAL_HEADER32结构体 IMAGE_OPTIONAL_HEADER32 struct Magic dw ? MajorLinkerVersion db ? MinorLinkerVersion db ? SizeOfCode dd ? SizeOfInitializedData dd ? SizeOfUninitializedData dd ? AddressOfEntryPoint dd ? BaseOfCode dd ? BaseOfData dd ? ImageBase dd ? SectionAlignment dd ? FileAlignment dd ? MajorOperatingSystemVersion dw ? MinorOperatingSystemVersion dw ? MajorImageVersion dw ? MinorImageVersion dw ? MajorSubsystemVersion dw ? MinorSubsystemVersion dw ? Win32VersionValue dd ? SizeOfImage dd ? SizeOfHeaders dd ? CheckSum dd ? Subsystem dw ? DllCharacteristics dw ? SizeOfStackReserve dd ? SizeOfStackCommit dd ? SizeOfHeapReserve dd ? SizeOfHeapCommit dd ? LoaderFlags dd ? NumberOfRvaAndSizes dd ? DataDirectory dd 16 dup(?) IMAGE_OPTIONAL_HEADER32 ends ; 定义节结构体 IMAGE_SECTION_HEADER struct Name db 8 dup(?) VirtualSize dd ? VirtualAddress dd ? SizeOfRawData dd ? PointerToRawData dd ? PointerToRelocations dd ? PointerToLinenumbers dd ? NumberOfRelocations dw ? NumberOfLinenumbers dw ? Characteristics dd ? IMAGE_SECTION_HEADER ends ; 定义变量 dos_header IMAGE_DOS_HEADER <> nt_headers IMAGE_NT_HEADERS <> section_headers IMAGE_SECTION_HEADER 16 dup(?) ; 读取PE文件 filename db 'test.exe', 0 handle dw ? buffer db 512 dup(?) bytes_read dw ? section_table_offset dd ? size_of_section_table dd ? ; 打开文件 mov ah, 3dh mov al, 0 ; 只读模式 mov dx, offset filename int 21h mov handle, ax ; 读取DOS头部信息 mov ah, 3fh mov bx, handle mov cx, sizeof IMAGE_DOS_HEADER mov dx, offset dos_header int 21h ; 获取PE头部偏移地址 mov ax, word ptr [dos_header+0x3c] mov bx, handle mov cx, sizeof IMAGE_NT_HEADERS mov dx, offset nt_headers add dx, ax int 21h ; 解析PE头部信息 mov ax, word ptr [nt_headers.Signature] cmp ax, 'PE' jne exit_program ; 解析文件头部信息 mov ax, word ptr [nt_headers.FileHeader.NumberOfSections] mov section_table_offset, dx mov size_of_section_table, ax * sizeof IMAGE_SECTION_HEADER add dx, sizeof IMAGE_FILE_HEADER mov cx, sizeof IMAGE_FILE_HEADER mov si, offset nt_headers.FileHeader mov di, dx rep movsb ; 解析可选头部信息 mov ax, word ptr [nt_headers.OptionalHeader.Magic] cmp ax, IMAGE_NT_OPTIONAL_HDR32_MAGIC jne exit_program mov cx, sizeof IMAGE_OPTIONAL_HEADER32 mov si, offset nt_headers.OptionalHeader mov di, dx rep movsb ; 解析节信息 mov ah, 3fh mov bx, handle mov cx, size_of_section_table mov dx, offset section_headers add dx, section_table_offset int 21h exit_program: ; 关闭文件 mov ah, 3eh mov bx, handle int 21h ``` 以上代码仅为示例,实际上解析PE文件格式的过程要比这个更加复杂,需要对不同的结构体进行不同的解析方式,并且需要处理一些特殊情况。同时,反汇编的过程中还需要考虑一些优化问题,例如去除无用代码、还原函数调用等,以确保反汇编的代码正确、可读性强。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

四位

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值