滴水逆向三期 PE基础 移动导入表与导入表注入

最新推荐文章于 2023-09-05 11:03:08 发布
最新推荐文章于 2023-09-05 11:03:08 发布
阅读量788 收藏 1
点赞数
分类专栏: windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44803739/article/details/106363373
版权

目录

分析

大致流程

一 遍历所有导入表, 如果遇到0结束遍历, 如果要加进去一个, 那么原有导入表目录最后需要至少有14h*2的空闲空间.
二 如果没有那么要先进行移动导入表的操作. 在移动导入表操作中会碰到空闲空间不够, 那么又需要开辟新节. 这是一个大致流程.
本节需要对导入表有比较透彻的了解…
最后一个非常重要的问题注入所生成的 新IAT表所在节的Characteristic必须具有可写的属性!!!
因为通过之前的学习知道调用DLL的CALL之后的地址是写死的, 地址里面在加载前是INT, 加载后就变为了函数地址, 这个过程就要求节属性是可写的!!!

具体实现

PS: 移动导入表是为了导入表注入, 而导入表又作为一个较复杂的结构体, 里面独立的单元同样是可以移动, 但是是没必要的, 也就是本文移动导入表中的第一步就完成了注入需要的操作, 下面的如果不感兴趣直接跳过. 不过在做的过程中有如下额外的收获:
1 数据目录表的size对程序运行是无影响的
2 FirstThunk中的ThunkValue值是无关紧要的即IAT可有可无
3 承接上条, 同样也是老师提到的IAT是不可移动的因为在程序中是固定地址, 一旦移动需要找到所有涉及到IAT的值 得不偿失

通常情况下最后一个导入表后面的空间只有14h, 同时移动导入表作为一个独立操作, 在演示上就直接先移动导入表再进行注入.
在这里插入图片描述

步骤

移动导入表
导入表注入

移动导入表

移动导入表

原始结构
在这里插入图片描述
最终结果

1 移动整体结构 完成导入表注入需要的操作

整个复制了之后修复数据目录表的RVA即可, size其实一点用没有, 系统加载的时候是按照遍历找到0为止的方式, 而一些PE分析软件用size作为判断导入表个数就会失效

while (pImportDescriptor->OriginalFirstThunk)
{
	sizeOfImportDescriptor += SIZE_OF_IMPORT_DESCRIPTOR;
	pImportDescriptor++;
}

//移动表结构并修复数据目录表
DWORD numOfImportDescriptor = sizeOfImportDescriptor / SIZE_OF_IMPORT_DESCRIPTOR;
pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImportDescriptor - sizeOfImportDescriptor);
sizeOfImportDescriptor = sizeOfImportDescriptor + (numOfNewImportDescriptors + 1) * SIZE_OF_IMPORT_DESCRIPTOR;	//为之后添加导入表打提前量 +1是因为要有0判断导入表结束 INT用的时候加即可
foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, sizeOfImportDescriptor, TRUE, sizeOfFile);
if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
	return NEED_TO_ALLOCATE_NEW_SECTION;
memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), pImportDescriptor, sizeOfImportDescriptor - (numOfNewImportDescriptors + 1) * SIZE_OF_IMPORT_DESCRIPTOR);	//只需复制原来的即可
memset(pImportDescriptor, 0, sizeOfImportDescriptor);	//原数据清0空出来 不改变section的vsize是因为如果在数据位于中间就需要整体的平移, 画蛇添足
(*(pDataDirectory + 1)).VirtualAddress = FoaDataToRvaData(pFileBuffer, foaFreeSpace);

第一步仅改变的是数据目录表中导入表的RVA 导入表本身并无任何改变

2 改变name

代码位于主循环中
名字移动到新的位置改变RVA即可

DWORD foaName = RvaDataToFoaData(pFileBuffer, pImportDescriptor->Name);
char *NameOfCurrentDll = (char *)((DWORD)pFileBuffer + foaName);
DWORD lengthOfCurrentDllName = strlen(NameOfCurrentDll) + 1;
foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, lengthOfCurrentDllName, TRUE, sizeOfFile);
if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
	return NEED_TO_ALLOCATE_NEW_SECTION;

//sizeOfNames += lengthOfCurrentDllName;
memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), NameOfCurrentDll, lengthOfCurrentDllName);
memset(NameOfCurrentDll, 0, lengthOfCurrentDllName);
pImportDescriptor->Name = FoaDataToRvaData(pFileBuffer, foaFreeSpace);
3 改变OriginalFirstThunk

代码位于主循环中
遍历当前导入表 统计API个数计算大小
复制INT 改变OriginalFirstThunk

while (OriginalThunkValue)
{

	pImportDescriptor->OriginalFirstThunk += sizeof(DWORD);
	foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, pImportDescriptor->OriginalFirstThunk);
	OriginalThunkValue = *(LPDWORD)((DWORD)pFileBuffer + foaOriginalFirstThunk);
	numOfFunctions++;
}

pImportDescriptor->OriginalFirstThunk = rvaOriginalFirstThunk;	//复原
sizeOfOriginalFirstThunk = (numOfFunctions + 1) * sizeof(DWORD);
foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, rvaOriginalFirstThunk);
foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, sizeOfOriginalFirstThunk, TRUE, sizeOfFile);
if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
	return NEED_TO_ALLOCATE_NEW_SECTION;
memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), (LPDWORD)((DWORD)pFileBuffer + foaOriginalFirstThunk), sizeOfOriginalFirstThunk);
memset((LPDWORD)((DWORD)pFileBuffer + foaOriginalFirstThunk), 0, sizeOfOriginalFirstThunk);
//原来的PFILEBUFFER全部消失
pImportDescriptor->OriginalFirstThunk = FoaDataToRvaData(pFileBuffer, foaFreeSpace);

二三步结果如下
在这里插入图片描述

4 改变INT(可以选择把IAT置0或者不管 FirstThunk不改变即可)

代码位于二层循环中
判断有无函数名
移动IMAGE_THUNK_DATA32(HInt与API name)
改变INt(ThunkValue)
FirstThunkValue与Hint可置0

if ((OriginalThunkValue & 0x80000000) == 0x80000000)
	DWORD ordinalOfFunction = (OriginalThunkValue & 0x0FFFFFFF);
else
{
	DWORD RVA_OFT_HintAndNameOfFunction = OriginalThunkValue;
	DWORD FOA_OFT_HintAndNameOfFunction = RvaDataToFoaData(pFileBuffer, RVA_OFT_HintAndNameOfFunction);
	WORD hint = *(LPWORD)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction);
	char * NameOfFunction = (char *)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction + 2);
	sizeOfCurrentINT = strlen(NameOfFunction) + 1 + 2;
	foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, sizeOfCurrentINT, TRUE, sizeOfFile);
	if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
		return NEED_TO_ALLOCATE_NEW_SECTION;
	memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), (LPVOID)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction), sizeOfCurrentINT);
	memset((LPVOID)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction), 0, sizeOfCurrentINT);
	LPDWORD pOriginalThunkValue = (DWORD *)((DWORD)pFileBuffer + foaOriginalFirstThunk);
	*pOriginalThunkValue = FoaDataToRvaData(pFileBuffer, foaFreeSpace);
}

结果
在这里插入图片描述

整体代码
while (pImportDescriptor->OriginalFirstThunk)
{
	sizeOfImportDescriptor += SIZE_OF_IMPORT_DESCRIPTOR;

	//移动dll名字并修复NAME
	DWORD foaName = RvaDataToFoaData(pFileBuffer, pImportDescriptor->Name);
	char *NameOfCurrentDll = (char *)((DWORD)pFileBuffer + foaName);
	DWORD lengthOfCurrentDllName = strlen(NameOfCurrentDll) + 1;
	foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, lengthOfCurrentDllName, TRUE, sizeOfFile);
	if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
		return NEED_TO_ALLOCATE_NEW_SECTION;

	//sizeOfNames += lengthOfCurrentDllName;
	memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), NameOfCurrentDll, lengthOfCurrentDllName);
	memset(NameOfCurrentDll, 0, lengthOfCurrentDllName);
	
	pImportDescriptor->Name = FoaDataToRvaData(pFileBuffer, foaFreeSpace);
	DWORD sizeOfCurrentINT = 0;
	DWORD numOfFunctions = 0;
	DWORD sizeOfOriginalFirstThunk = 0;
	DWORD rvaOriginalFirstThunk = pImportDescriptor->OriginalFirstThunk;
	DWORD foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, rvaOriginalFirstThunk);
	DWORD OriginalThunkValue = *(DWORD *)((DWORD)pFileBuffer + foaOriginalFirstThunk);

	//想要修改FirstThunkValue很简单
	//DWORD rvaFirstThunk = pImportDescriptor->FirstThunk;
	//DWORD foaFirstThunk = RvaDataToFoaData(pFileBuffer, rvaFirstThunk);
	//LPVOID pFirstThunkValue = (LPDWORD)((DWORD)pFileBuffer + foaFirstThunk);

	while (OriginalThunkValue)
	{
		if ((OriginalThunkValue & 0x80000000) == 0x80000000)
			DWORD ordinalOfFunction = (OriginalThunkValue & 0x0FFFFFFF);
		else
		{
			DWORD RVA_OFT_HintAndNameOfFunction = OriginalThunkValue;
			DWORD FOA_OFT_HintAndNameOfFunction = RvaDataToFoaData(pFileBuffer, RVA_OFT_HintAndNameOfFunction);
			WORD hint = *(LPWORD)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction);
			char * NameOfFunction = (char *)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction + 2);
			sizeOfCurrentINT = strlen(NameOfFunction) + 1 + 2;
			foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, sizeOfCurrentINT, TRUE, sizeOfFile);
			if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
				return NEED_TO_ALLOCATE_NEW_SECTION;
			memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), (LPVOID)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction), sizeOfCurrentINT);
			memset((LPVOID)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction), 0, sizeOfCurrentINT);
			LPDWORD pOriginalThunkValue = (DWORD *)((DWORD)pFileBuffer + foaOriginalFirstThunk);
			*pOriginalThunkValue = FoaDataToRvaData(pFileBuffer, foaFreeSpace);
		}

		pImportDescriptor->OriginalFirstThunk += sizeof(DWORD);
		foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, pImportDescriptor->OriginalFirstThunk);  
		OriginalThunkValue = *(LPDWORD)((DWORD)pFileBuffer + foaOriginalFirstThunk);
		numOfFunctions++;
	}

	pImportDescriptor->OriginalFirstThunk = rvaOriginalFirstThunk;	//复原
	sizeOfOriginalFirstThunk = (numOfFunctions + 1) * sizeof(DWORD);
	foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, rvaOriginalFirstThunk);
	foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, sizeOfOriginalFirstThunk, TRUE, sizeOfFile);
	if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
		return NEED_TO_ALLOCATE_NEW_SECTION;
	memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), (LPDWORD)((DWORD)pFileBuffer + foaOriginalFirstThunk), sizeOfOriginalFirstThunk);
	//原来的PFILEBUFFER全部消失
	pImportDescriptor->OriginalFirstThunk = FoaDataToRvaData(pFileBuffer, foaFreeSpace);

	pImportDescriptor++;
}

//移动表结构并修复数据目录表
DWORD numOfImportDescriptor = sizeOfImportDescriptor / SIZE_OF_IMPORT_DESCRIPTOR;
pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImportDescriptor - sizeOfImportDescriptor);
sizeOfImportDescriptor = sizeOfImportDescriptor + (numOfNewImportDescriptors + 1) * SIZE_OF_IMPORT_DESCRIPTOR;	//为之后添加导入表打提前量 +1是因为要有0判断导入表结束 INT用的时候加即可
foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, sizeOfImportDescriptor, TRUE, sizeOfFile);
if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
	return NEED_TO_ALLOCATE_NEW_SECTION;

memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), pImportDescriptor, sizeOfImportDescriptor - (numOfNewImportDescriptors + 1) * SIZE_OF_IMPORT_DESCRIPTOR);	//只需复制原来的即可
memset(pImportDescriptor, 0, sizeOfImportDescriptor);	//原数据清0空出来
(*(pDataDirectory + 1)).VirtualAddress = FoaDataToRvaData(pFileBuffer, foaFreeSpace);

导入表注入

导入表注入

移动导入表后在原有最后一个导入表后面新加一个导入表然后再进行一一赋值即可

1改变OFT FT NAME

需要注意申请空间的时候应该多申请一个四字节因为以0判断结尾
FirstThunk可以与OriginalFirstThunk相同 不影响

while (pImportDescriptor->OriginalFirstThunk)
	pImportDescriptor++;

foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, (numOfFunctions + 1) * 0x4, TRUE, sizeOfFile);
if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
	return NEED_TO_ALLOCATE_NEW_SECTION;
LPDWORD pNewThunkValue = (LPDWORD)((DWORD)pFileBuffer + foaFreeSpace);
pImportDescriptor->OriginalFirstThunk = FoaDataToRvaData(pFileBuffer, foaFreeSpace);

foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, (numOfFunctions + 1) * 0x4, TRUE, sizeOfFile);
if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
	return NEED_TO_ALLOCATE_NEW_SECTION;
pImportDescriptor->FirstThunk = FoaDataToRvaData(pFileBuffer, foaFreeSpace);
LPDWORD pNewFirstThunkValue = (LPDWORD)((DWORD)pFileBuffer + foaFreeSpace);

foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, strlen(nameOfDll) + 1, TRUE, sizeOfFile);
if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
	return NEED_TO_ALLOCATE_NEW_SECTION;
memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), nameOfDll, strlen(nameOfDll));
pImportDescriptor->Name = FoaDataToRvaData(pFileBuffer, foaFreeSpace);
2 设置INT

根据函数个数一一赋值即可
以及第二次提到了 最最重要的 注入所在区段的Characteristic需要可写!!!

for (DWORD i = 0; i < numOfFunctions; i++)
{

	foaFreeSpace = GetFreeSpaceInSection(pFileBuffer, strlen(*(nameOfFunctions + i)) + 1, TRUE, sizeOfFile);
	if (foaFreeSpace == NEED_TO_ALLOCATE_NEW_SECTION)
		return NEED_TO_ALLOCATE_NEW_SECTION;
	
	PIMAGE_SECTION_HEADER pCurrentSection = header.pSectionHeader + GetSectionNum(pFileBuffer, foaFreeSpace) - 1;
	pCurrentSection->Characteristics |= 0x80000000;

	memcpy((LPVOID)((DWORD)pFileBuffer + foaFreeSpace), *(nameOfFunctions + i), strlen(*(nameOfFunctions + i)));
	*pNewThunkValue = FoaDataToRvaData(pFileBuffer, foaFreeSpace - 2); //Hint-2
	*pNewFirstThunkValue = *pNewThunkValue;
	pNewThunkValue++;
	pNewFirstThunkValue++;
}

在这里插入图片描述

很多问题

1 之前移动表都是粗暴的直接加一个节然后移动过去, 这次要求"见缝插针", 又写了个获取空闲空间的函数GetFreeSpaceInSection, 本以为很简单, 但小细节没有注意比如见缝插针之后section的VirtualSize需要更改, 碰到垃圾数据时应该怎么办(区段之后的版权信息种种, 某云去掉之后516变为499kb)
2 作为PE基础的最后一节, 本来想着比较轻松, 但是有些问题就是想去弄, 感觉不太好, 在许多貌似无关紧要的事上花了大量时间, 比如第一条提到的垃圾数据. 本来老实删掉是啥事没有的, 但是由于在FileBuffer层面操作, 不可避免的遇到种种问题.
3 如果不去改变导入表中的数据那么就不会知道有些值是毫无用处的, 这个上面说了
4 花了两天时间, 对着代码看了n遍, 怀疑人生…到底哪里写错了 最后发现是插入的区段应该是可写的(GetProcByName)…

ps: 建了个学习讨论群, 欢迎新朋友加入:1094301686

四位
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
PE-导入
megaparsec
12-19 1801
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
滴水逆向三期实践17:导入注入
Rivival_S 的博客
11-10 2329
在动态链接库一章提到DllMain,这里再回顾一次 当dll被加载进4GB空间时,会调用一次DllMain(入口方法) 当程序执行完了要把dll从4GB空间被卸载,也会调用一次DllMain 注入的本质就是想方设法把自己的dll扔到别人进程的4GB空间里 而前面导入一章在最后提到,只有在PE文件内隐式调用(静态使用)时才会在调用者PE文件的导入内出现该 dll 的名字和相关函数,若为显示调用(动态使用),则这个被调用的dll名和相关函数不会在调用者导入内出现。 那么反过来也就是说,写
滴水逆向三期实践16:IAT导入
Rivival_S 的博客
11-09 2589
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
2.5 PE结构:导入详细解析
最新发布
CSDN
09-05 8647
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE文件——导入&导出&函数覆盖
Woolemon的博客
04-06 5797
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期课件(全)
04-03
滴水逆向三期所有课件,需要的速度下载,全部课件,是xls格式的,也就是视频里的excel课件,用的7z最小体积压缩,方便下载!
驱动开发实现修改导入注入dll
12-21
导入注入dll其实就是给程序的导入添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。 我在驱动实现修改导入的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调中修改导入
移动导入/导入注入注入导入后EXE无法运行的BUG解决方案)
qq_32067613的博客
12-09 311
除了移动导入导入注入基础以外,重要的记录和解决一个bug。
滴水逆向——PE打印导入
sunr.
04-15 738
1.导入数据结构 2.PE文件载入内存前后导入变化 3.打印步骤 4.一张图体会重定位导入关系 DLL_A加载的基址本来是400000,但是被.exe占用了基址400000处,所以它的基址变为了1000000处。这时重定位的作用就是改变DLL_A中要寻找各函数的Roa,具体操作就是Roa-原基址(400000)+现基址(1000000),这...
《初识PE导入
weixin_33767813的博客
11-21 288
最近听别人讲的我晕晕乎乎的,于是上网上百度下,感觉这篇还不错。 链接:http://www.blogfshare.com/pe-export.html 一、导入简介 在编程中常常用到“导入函数”(Import functions),导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些函数信息,包括函数名及其驻留的DLL...
滴水逆向三期 PE基础 导入解析
四位的博客
05-17 650
假的分析 在学习这节的时候第一遍并没有弄懂到底怎么回事, 等遍历完了再回头去看才懂, 推荐可以先把打印出来再体会结构. 真的分析 软件依然是某云音乐的主程序. 按照顺序依次为 1 遍历 _IMAGE_IMPORT_DESCRIPTOR 2 遍历OriginalFirstThunk中的ThunkValue偏移 3 遍历打印ThunkValue(本身还是偏移) 4 遍历IMAGE_THUNK_DATA32(ThunkValue所指向的值) 1 打印重要基础数据 while (pImportDescrip
滴水逆向——PE导入注入
sunr.
04-19 1070
1.注入概念: 2.导入注入流程: 第一步: 根据目录项(第二个就是导入)得到导入信息: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMA...
导入注入原理和C语言实现
hambaga的博客
05-23 1257
一、导入注入的原理 注入是把DLL加载到另一个进程的4GB地址空间中,实现方式有很多种,导入注入是我学的第一种注入,是通过修改程序的导入,把自己的DLL添加到导入中,来实现这个目的。 导入是连续存储在节里的,它后面还有其他数据,不能直接追加一个导入,所以必须找一块足够大的内存,把原来的所有导入移动过去,再追加我们DLL的导入。新增节是比较简单的做法,我的代码中也采用新增节。 导入注入是让系统根据EXE的导入,帮我们实现加载DLL,需要知道一点,DLL至少要有一个导出函数,系统才会帮我们加
滴水逆向三期实践17:绑定导入
Rivival_S 的博客
11-10 1104
上一章最后讲到,打印导入时如果打印的某些 exe 比如 xp系统自带的 记事本 即notepad.exe(win10 的 notepad.exe已经没有这种情况了),那上面打印的结果就不一定是如上一章所说的了,因为我们默认了 FirstThunk 也就是IAT 的内容不是函数编号就是函数名的 RVA,实际上在文件中的 IAT 仍然有第三种情况,这就是本章讲的内容了 IAT 在文件中存储的内容未必是序号和函数名的 RVA,还有可能直接就是上章讲的文件运行加载进内存后呈现的真正的函数地址。而这个.
滴水逆向——PE移动导出
sunr.
04-13 894
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到IAT中. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种的信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统...
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

四位

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值