call x86 优化 重定位_关于脱壳后重定位修复 自己写了个半成品工具

最新推荐文章于 2024-04-04 21:00:33 发布
最新推荐文章于 2024-04-04 21:00:33 发布
阅读量117 收藏
点赞数
文章标签: call x86 优化 重定位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42501331/article/details/114976548
版权

[/align]

[align=left]BYTE actionCode[][2] = {

/*------------EAX------------------------------*/

{ 0x2B, 0x05 },//sub eax,dword ptr ds:[0x3107B0]

{ 0x29, 0x05 },//sub dword ptr ds:[0x3107B0],eax

{ 0x2A, 0x05 },//sub al,byte ptr ds:[0x3107B0]

{ 0x28, 0x05 },//sub byte ptr ds:[0x3107B0],al

{ 0x03, 0x05 },//add eax,dword ptr ds:[0x3107B0]

{ 0x01, 0x05 },//add dword ptr ds:[0x3107B0],eax

{ 0x02, 0x05 },//add al,byte ptr ds:[0x3107B0]

{ 0x00, 0x05 },//add byte ptr ds:[0x3107B0],al

{ 0x39, 0x05 },// cmp dword ptr ds:[0x3107B0],eax

{ 0x38, 0x05 },//cmp byte ptr ds:[0x3107B0],al

{ 0x3B, 0x05 },//cmp eax,dword ptr ds:[0x3107B0]

{ 0x3A, 0x05 },//cmp al,byte ptr ds:[0x3107B0]

/*-----------------EDI------------------------*/

{ 0x8B, 0x3D },//mov edi, dword ptr ds : [0x302420];

{ 0x89, 0x3D },//mov dword ptr ds : [0x302420], edi

{ 0x03, 0x3D },//add edi, dword ptr ds : [0x302420];

{ 0x01, 0x3D },//add dword ptr ds : [0x302420], edi

{ 0x2B, 0x3D },//sub edi, dword ptr ds : [0x302420];

{ 0x29, 0x3D },//sub dword ptr ds : [0x302420], edi

{ 0x39, 0x3D },//cmp dword ptr ds : [0x30F008], edi

{ 0x3B, 0x3D },//cmp edi, dword ptr ds : [0x30F008]

/*--------------------EBX-------------------------*/

{ 0x8B, 0x1D },//002D1248    8B1D 20243000   mov ebx, dword ptr ds : [0x302420];

{ 0x89, 0x1D },//002F3A62    891D 70563100   mov dword ptr ds : [0x315670], ebx

{ 0x03, 0x1D },//00177FA8    031D 20243000   add ebx, dword ptr ds : [0x302420]

{ 0x01, 0x1D },//00177FA8    011D 20243000   add dword ptr ds : [0x302420], ebx

{ 0x2B, 0x1D },//002D1248    2B1D 20243000   sub ebx, dword ptr ds : [0x302420];

{ 0x29, 0x1D },//00177FA8    291D 20243000   sub dword ptr ds : [0x302420], ebx

{ 0x39, 0x1D },//002D15B3    391D 08F03000   cmp dword ptr ds : [0x30F008], ebx

{ 0x3B, 0x1D },//00177FA8    3B1D 08F03000   cmp ebx, dword ptr ds : [0x30F008]

/*----------------------ECX-------------------------*/

{ 0x8B, 0x0D },//002D1248    8B0D 20243000   mov ecx,dword ptr ds:[0x302420]          ;

{ 0x89, 0x0D },//002F3A62    890D 00F03000   mov dword ptr ds:[0x30F000],ecx

{ 0x03, 0x0D },//00177FA8    030D 20243000   add ecx,dword ptr ds:[0x302420]

{ 0x01, 0x0D },//00177FA8    010D 20243000   add dword ptr ds:[0x302420],ecx

{ 0x2B, 0x0D },//002D1248    2B0D 20243000   sub ecx,dword ptr ds:[0x302420]

{ 0x29, 0x0D },//00177FA8    290D 20243000   sub dword ptr ds:[0x302420],ecx

{ 0x39, 0x0D },//002D15B3    390D 08F03000   cmp dword ptr ds:[0x30F008],ecx

{ 0x3B, 0x0D },//00177FA8    3B0D 08F03000   cmp ecx,dword ptr ds:[0x30F008]

/*---------------------EDX-------------------------*/

{ 0x8B, 0x15 },//002D1248    8B15 20243000   mov edx,dword ptr ds:[0x302420]          ;

{ 0x89, 0x15 },//002F3A62    8915 00F03000   mov dword ptr ds:[0x30F000],edx

{ 0x03, 0x15 },//00177FA8    0315 20243000   add edx,dword ptr ds:[0x302420]

{ 0x01, 0x15 },//00177FA8    0115 20243000   add dword ptr ds:[0x302420],edx

{ 0x2B, 0x15 },//002D1248    2B15 20243000   sub edx,dword ptr ds:[0x302420]

{ 0x29, 0x15 },//00177FA8    2915 20243000   sub dword ptr ds:[0x302420],edx

{ 0x39, 0x15 },//002D15B3    3915 08F03000   cmp dword ptr ds:[0x30F008],edx

{ 0x3B, 0x15 },//00177FA8    3B15 08F03000   cmp edx,dword ptr ds:[0x30F008]

/*---------------------ESI-------------------------*/

{ 0x8B, 0x35 },//002D1248    8B35 20243000   mov esi,dword ptr ds:[0x302420]          ;

{ 0x89, 0x35 },//002F3A62    8935 00F03000   mov dword ptr ds:[0x30F000],esi

{ 0x03, 0x35 },//00177FA8    0335 20243000   add esi,dword ptr ds:[0x302420]

{ 0x01, 0x35 },//00177FA8    0135 20243000   add dword ptr ds:[0x302420],esi

{ 0x2B, 0x35 },//002D1248    2B35 20243000   sub esi,dword ptr ds:[0x302420]

{ 0x29, 0x35 },//00177FA8    2935 20243000   sub dword ptr ds:[0x302420],esi

{ 0x39, 0x35 },//002D15B3    3935 08F03000   cmp dword ptr ds:[0x30F008],esi

{ 0x3B, 0x35 },//00177FA8    3B35 08F03000   cmp esi,dword ptr ds:[0x30F008]

/*-----------------------赋值立即数--------------------------------*/

{ 0xC7, 0x05 },//003016B1    C705 B0453100 9C7C3000   mov dword ptr ds : [0x3145B0], 00307C9C

{ 0xC6, 0x35 },//00177FAE    C605 B0453100 30   mov byte ptr ds : [0x3145B0], 0x30

{ 0x83, 0x25 },//003016FE    8325 D41A3100 00   and dword ptr ds : [0x311AD4], 0x0

{ 0x83, 0x0D },//00177FAE    830D D41A3100 00   or dword ptr ds : [0x311AD4], 0x0

{ 0x83, 0x35 },//00177FAE    8335 D41A3100 00   xor dword ptr ds : [0x311AD4], 0x0

{ 0x80, 0x25 },//00177FB4    8025 D41A3100 00   and byte ptr ds : [0x311AD4], 0x0

{ 0x80, 0x0D },//00177FAE    800D D41A3100 00   or byte ptr ds : [0x311AD4], 0x0

{ 0x80, 0x35 },//00177FAE    8035 D41A3100 00   xor byte ptr ds : [0x311AD4], 0x0

/*------------------------------直接乘除加减----------------------------*/

{ 0xF7, 0x25 },//00177FB4    F725 B0073100   mul dword ptr ds : [0x3107B0]

{ 0xF7, 0x2D },//00177FB4    F72D B0073100   imul dword ptr ds : [0x3107B0]

{ 0xFF, 0x0D },//00177FB4    FF0D B0073100   dec dword ptr ds : [0x3107B0]

{ 0xFF, 0x05 },//00177FB4    FF05 B0073100   inc dword ptr ds : [0x3107B0]

{ 0xF7, 0x35 },//00177FB4    F735 B0073100   div dword ptr ds : [0x3107B0]

{ 0xF7, 0x3D },//00177FB4    F73D B0073100   idiv dword ptr ds : [0x3107B0]

/*----------------------------跳转和压栈出栈----------------------------*/

{ 0xFF, 0x15 },//002D1077    FF15 28203000   call dword ptr ds : [0x302028];

{ 0xFF, 0x25 },//002D1744 - FF25 70243000   jmp dword ptr ds : [0x302470]

{ 0xFF, 0x35 },//002F35E5    FF35 2C3F3100   push dword ptr ds : [0x313F2C]

{ 0x8F, 0x05 }//002F35E5    8F05 2C3F3100   pop dword ptr ds : [0x313F2C]

};

zhang十泉
关注
解析php中call_user_func_array的作用
01-21
一、直接调用方法复制代码 代码如下:function test($a, $b) {echo ‘测试一:’.$a.$b;}//调用test方法,array(“asp”, ‘php’)对应相应的参数call_user_func_array(‘test’, array(...call_user_func_array(array
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 378
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000时,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位重定位修复 重定位修复 重定位修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址加上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
关于内存加载DLL后修复重定位的问题
IT男也疯狂
05-27 2353
看网上的代码好累,摸索整理了一下,顺便巩固下PE 首先介绍下PE头,分为2个部分 1、DOS头 (IMAGE_DOS_HEADER) typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // ASCII字符MZ  WORD e_c
2.10 PE结构:重建重定位表结构
CSDN
09-09 4665
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被加载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
用x32/x64dbg脱DLL壳(IAT表修复重定位修复)
qq_41866334的博客
05-06 5266
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
重定位表,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2805
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位重定位的是哪些信息,第二个,IAT修复重定位有什么关系。 通俗的说,重定位表里面记录的就是死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位表进行重定位。 IAT修复重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
php自定义函数call_user_func和call_user_func_array详解
10-28
`call_user_func_array`函数与`call_user_func`功能类似,但不同的是它接收一个数组作为参数,数组的每个元素依次作为回调函数的参数。这种方式比`call_user_func`更灵活,特别是当参数数量较多或者参数需要从数组中...
MyCCL_V2.1特征码修改定位工具
12-14
关于内存复合特征码定位原理和文件定位是相同的,只是用程序把生成的文件全部装载到内存中去了,然后用杀毒软件对内存进行查杀。找到报毒的文件,然后手工删除或者在特征码设置中手动添加即刻。其余操作和文件定位...
PHP中call_user_func_array回调函数的用法示例
01-20
call_user_func_array — 调用回调函数,并把一个数组参数作为回调函数的参数 mixed call_user_func_array ( callable $callback , array $param_arr ) 把第一个参数作为回调函数(callback)调用,把参数数组作...
什么是重定位?为什么需要重定位?(嵌入式下)
热门推荐
漩涡小林的博客
11-11 1万+
一、必须知道的几个概念。1、链接地址和运行地址。①运行地址,顾名思义就是程序运行的时候的地址,也就是你用工具将代码下载到RAM的那个地址,也叫加载地址。②链接地址,由链接脚本指定的地址。为什么需要链接脚本指定地址呢?你想一下,在c语言编程中,当我们需要调用一个A函数的时候,编译器是怎么找到这个A函数?编译器肯定是知道它被放在哪里才可以找到它。那就是链接脚本的作用,链接脚本其实在程序被执行之前都已经指
RelocX重定位修复
03-27
RelocX DLL脱壳后的重定位修复工具,挺方便的,不用自己找重定位地址,试过多次基本都可以很快搞定重定位修复
移动导出表,重定位表,手动修复重定位
最新发布
pluginL的博客
04-04 222
这几个函数会频繁用到FOA转VA。
手工脱壳之 UPX 【随机基址】【模拟UPX部分算法】【手工C++重建重定位表】
aihan8042的博客
03-20 387
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,010Editor UPX壳 3.94: 有了上篇ASPack壳的经验,先查看数据目录表: 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口: 通...
重定位的原理&实现
xuplus的专栏
04-15 7888
重定位  病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
VMP学习笔记之壳的重定位修复(五)
u014738665的博客
10-14 797
理论知识: 1、为什么需要重定位 因为特殊情况这块地址不给用了你要挪到另外一个地方,你本来是在哪里的挪到另外一个地方你还是在哪里 如下图所示: 小明在教室A是第一排,搬到教室B小明还是第一排 2、待修复数据如下: push 0xFACE0002 -------->修复后是:0 mov edi,0xFACE0003 -------->修复后是:新区段首地址VMcontext jmp dword ptr ds:[eax*4+0x474FCF] -------->修复后是:.
滴水逆向三期实践15:根据重定位表修正地址
Rivival_S 的博客
10-28 2533
占坑
DLL文件脱壳重定位修复部分)
yizhenweifeng的专栏
02-15 1万+
标 题:DLL文件脱壳重定位修复部分)作 者:kanxue 时 间:2008-03-16 10:42 链 接:http://bbs.pediy.com/showthread.php?t=61334   13.5 DLL文件脱壳   DLL文件的脱壳与EXE文件步骤差不多,所不同的是,DLL文件多了个基址重定位表等要考虑。   在2003年出版的《加密与解密》(第二版)中以
浅谈程序脱壳后的优化
weixin_34082789的博客
04-24 261
这篇文章的目的是想让大家了解如何利用现有的工具优化脱壳后的程序。 因为要让脱壳优化过的程序可以用汉化工具正常汉化的话,要求要稍微高一些,我就基于优化后的文件可正常用汉化工具汉化这样的目标来讲解。这篇文章主要是为新手服务的,所以肯定比较罗唆,高手可以略过。这篇文章中我采用 dwing 的 WinUpack 0.39 final 讲述。采用 WinUpack 来讲解的原因主要...
ELF修复重定位问题
weixin_33884611的博客
06-28 750
参考:Linux动态库原理(二)重定位https://blog.csdn.net/hudaliquan/article/details/50055523ELF文件格式(中文版)https://blog.csdn.net/yayong/article/details/178160通过GDB调试理解GOT/PLThttps://blog.csdn.net/qq_32400847/article/det...
RHEL 6 x86_64 上 Oracle 11g R2 安装指南与系统配置优化
本文将详细介绍如何在RHEL 6 (x86_x64)平台上安装Oracle 11g R2版本,这对于IT管理员或开发人员来说是一项关键技能。文章由作者蓝创星空整理,旨在帮助用户解决在RHEL 6 64位系统中安装Oracle数据库时遇到的问题,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值