修改IMAGEBASE修复重定位表

最新推荐文章于 2023-09-09 13:59:16 发布
最新推荐文章于 2023-09-09 13:59:16 发布
阅读量194 收藏
点赞数
文章标签: c++ 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52442096/article/details/128916735
版权 
void editreloc(char* buffer)
{
    PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)(buffer);
    PIMAGE_NT_HEADERS pNTH = (PIMAGE_NT_HEADERS)(buffer + pDosH->e_lfanew);
    PIMAGE_FILE_HEADER pFH = (PIMAGE_FILE_HEADER)((char*)pNTH + 0x4);
    PIMAGE_OPTIONAL_HEADER pOH = (PIMAGE_OPTIONAL_HEADER)((char*)pFH + 0x14);
    int opHeaderLen = int(pFH->SizeOfOptionalHeader);
    PIMAGE_SECTION_HEADER pSecH = (PIMAGE_SECTION_HEADER)((char*)pOH + opHeaderLen);
    PIMAGE_DATA_DIRECTORY pDD = (PIMAGE_DATA_DIRECTORY)(pOH->DataDirectory);
    int relocVAddress = pDD[5].VirtualAddress;
    PIMAGE_BASE_RELOCATION pBR = (PIMAGE_BASE_RELOCATION)(rvaTofoa(relocVAddress, buffer) + buffer);
    pOH->ImageBase = pOH->ImageBase+0x100000;
    pOH->DllCharacteristics = pOH->DllCharacteristics & 0xFF00;
    for (int i = 0; (int*)pBR->VirtualAddress != 0; i++)
    {
        int SizeofBlock = pBR->SizeOfBlock;
        int num = (SizeofBlock - 8) / 2;
        PWORD p = (PWORD)((char*)pBR + 8);
        for (int j = 0; j < num; j++)
        {
            int type = (*(p + j) & 0xF000) >> 12;
            if (type == 3)
            {
                int VAddress = (*(p + j) & 0x0FFF) + pBR->VirtualAddress ;
                char* FAddress = rvaTofoa(VAddress, buffer) + buffer;
                *((int*)FAddress) = *((int*)FAddress)+0x100000;
            }
        }
        pBR = (PIMAGE_BASE_RELOCATION)((char*)pBR + pBR->SizeOfBlock);
    }

}

努力不当无业游民
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
PE_修正重定位
qq_42363151的博客
09-25 308
PE
滴水逆向三期实践15:根据重定位修正地址
Rivival_S 的博客
10-28 2413
占坑
pe 重定位修正 作用学习笔记
黑子风暴
05-28 187
.windpws系统 exe 文件 中的重定位 重定位一般应用在DLL中 举例: 1.exe 加载2个DLL a.dll =内存地址 0x1000000 第二个载入 分配内存 b.dll =内存地址 0x2000000 1.exe call 2000001 调用 意思是调用b.dll中的函数 但是 b.dll 中存在一个call 0x1000001 硬编码 绝对地址 b.dll 加载到内存中2000000 本应该是call 0x2000001 但是在
2.10 PE结构:重建重定位结构
CSDN
09-09 4610
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被加载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
重定位1
08-03
重定位是PE(Portable Executable)文件格式中一个关键的数据结构,它在调试版本、动态链接库以及使用了/FIXED:NO链接选项的发布版程序中起着至关重要的作用。PE文件是Windows操作系统上执行程序和库的标准格式。...
ImageBase64Utils.java
04-23
将图片文件转化为字节数组字符串,并对其进行Base64编码处理 、对字节数组字符串进行Base64解码并生成图片
类别25:Sprite,ImageBase类别继承
02-15
在JavaScript编程中, Sprite 和 ImageBase 是两个与图像处理相关的类别,它们经常被用于游戏开发或者复杂的图形用户界面。这两个类别的概念源自于面向对象编程,它们之间存在继承关系,这意味着 Sprite 类通常会从 ...
cordova-imageBase64:Cordova插件,提供将图像转换为base64的功能(Android和iOS)
05-07
cordova-imageBase64 一个cordova插件,提供将图像转换为base64的功能。安装插件cordova plugin add https://github.com/autobotsrocks/cordova-imageBase64用法转换位置图片window . autobots . imageBase64 . base...
vmpdump:由VTIL支持的动态VMP转储程序和导入修复程序
03-17
VMPDump 由VTIL支持的动态VMP转储程序和导入修复程序。 适用于VMProtect 3.X x64。... [-disable-reloc] :可选设置,用于指示VMPDump标记输出图像中的重定位已被剥离,从而迫使该图像加载到转储的ImageBase上。 如果需
重定位添加/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
重定位
dre4merp
05-16 490
首先我们要知道PE文件在映射进内存的时候有一个默认基址保存在可选头的ImageBase中 所以每次在映射进内存的时候都会在这个地址进行映射,都是所有的dll的默认基址都是一样的,如果一个dll的默认基址已经被其他dll占据了怎么办。只能映射到别的地方。从而ImageBase中的值就没有了参考价值。 程序中有许多常量值是按照基址为ImageBase编写的, Offset HEX Assembly 10001000 55 push ebp
移动重定位和模拟windows重定位过程
weixin_43990313的博客
07-20 363
移动重定位 思路 大体上和移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
arcengine遍历属性_【原创】upx脱壳重定位修复
weixin_39612297的博客
11-25 155
作者论坛账号:psycongroo前言一个风和日丽的下午,鸟儿在枝头高唱,花儿在草中盛放,而我,在电脑前暴怒。本来满怀欣喜的脱了个简单的upx壳,没想到却让我暴跳如雷。“这是什么啊,怎么用了官方的脱壳命令还运行不了。”对自己发自灵魂的拷问,再一次从旁印证,菜,真的是菜的抠脚。于是乎我疯狂点击x32dbg,那一瞬间我以为我疯了,自己反编译调试自己的代码,这总感觉有点令人抓狂。在一两下的F9...
重定位 (1)
richard1230的博客
10-09 1337
1.重定位的需求: 在生成程序的时候,很多涉及到地址的代码,都使用一个绝对的虚拟内存地址(这个虚拟内存地址是假设程序加载到0x400000的地方时才能够使用的),但是当程序的加载基址产生变化的时候,新的加载基址和默认的加载基址就不一样了,那些涉及到地址的代码就不能运行了,此时就需要将那些涉及到地址的代码,把他们的操作数修改(去掉默认加载基址,再加上新的加载基址)才能够使程序运行起来. 2.产生重定...
重定位,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2774
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位重定位的是哪些信息,第二个,IAT修复重定位有什么关系。 通俗的说,重定位里面记录的就是写死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位进行重定位。 IAT修复重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
写一个PE的壳_Part 2:ASLR+修复输入(IAT)+重定位支持(.reloc)
可乐松子的博客
05-26 3541
文章目录Part 2:输入重定位1.ASLR预备知识2.输入支持detail 1:什么是输入?detail 2:PE Header描述detail 3:真实的输入detail 4:编程处理数据结构编程实现扩展:LIEF中重建Import Table介绍3.管理重定位detail 1:什么是重定位?detail 2:重定位结构detail 3:编程处理4.结果展示5.参考 Part 2:输入重定位 本文主要处理Part 1中遗留的2张:输入重定位(执行一个ASLR使能的文件不
PE文件解析--重定位
qq_31125257的博客
12-22 501
一、系统加载程序的过程 双击打开一个exe时,系统会为该exe创建一个进程,分配独立的虚拟4G空间。低2G为用户空间,前后64k不会被分配,0-FFFF用于做各种检查,空指针一般就指向这里;后64K用于与内核交互,高2G空间是内核使用的 一般情况下,exe都是可以按照ImageBase的地址进行加载的,因为exe是第一个贴进虚拟4G空间的,但DLL文件不是;DLL文件是有exe使用它的时候才会加载到相应的exe进程空间;当然DLL也可以被另一个DLL调用; 当DLL文件加载到进程空间的时候,可能会出现
imagebase64 转svg nodejs
最新发布
02-08
要将 imagebase64 转换为 SVG,可以利用 Node.js 中的一些相关库和模块来完成这个任务。 首先,可以使用 Node.js 中的 Buffer 对象将 imagebase64 转换成二进制数据。然后,可以使用一些 SVG 相关的库,比如 svg.js 或者 svg-generator 等,来创建一个新的 SVG 对象。 接着,根据具体的需求和图片的格式,可以通过编程的方式将二进制数据渲染成 SVG 的格式。这可能涉及到调整图片的大小、位置和颜色等属性,以便于在 SVG 中正确显示。 同时,Node.js 中还有一些可以用于处理图片的库,比如 image-to-svg 或者 sharp 等,可以帮助进行图片处理和转换。 最后,将生成的 SVG 对象保存为文件或者在 Web 页面中直接显示出来,这取决于具体的应用场景和需求。 总的来说,利用 Node.js 中的相关库和模块,可以比较轻松地将 imagebase64 转换成 SVG 格式,并且可以根据实际需求进行进一步的处理和调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力不当无业游民

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值