180320 逆向-代码的二次开发(2)手工构造区块

最新推荐文章于 2019-03-29 01:11:02 发布
最新推荐文章于 2019-03-29 01:11:02 发布
阅读量296 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79898868
版权

1625-5 王子昂 总结《2018年3月20日》 【连续第535天总结】
A. 代码的二次开发(2)
B.

手工构造区块

区块间隙的空间大小是有限的,如果所需代码不多,那么上述方法方便快捷。但是如果需要添加的代码比较多的话,区块间隙就不够用了。此时必须手动添加区块。

手工构造区块必须熟悉PE格式,实际操作时一般可用工具辅助。
主要有3个工作要做:
1. 增加块头
2. 增加块头指向的数据段
3. 调整文件头中的映像尺寸

构造区块时,必须注意区块的对齐。如果不对齐,在某些系统下可能会报错。

  1. 修正块表
    块表在PE文件头之后,由一系列的IMAGE_SECTION_HEADER结构组成
    每个结构体描述一个块,结构体的顺序与块在文件中的顺序是相同的
    块表以一个空的结构体作为结束标志

想要添加一个新的区段,就需要添加一个块头
将其中的属性按需填写完成即可
注意块对齐的问题
2. 增加数据段
有了区块头,还需要为区块添加内容
在文件尾部插入0x1000h大小的数据块即可
3. 修正映像文件尺寸
因为扩大了文件的尺寸,所以必须修正SizeOfImage的值,在PE文件头中将其增加0x1000h即可

工具辅助构造区块

实际增加区块时,因为较为繁琐,所以一般使用工具来快速完成
使用LordPE打开文件,在区块的列表上,执行右键菜单中的add section header功能就可增加一个区块。勾选’autofix SizeOfImage’就可以自动修正映像尺寸的值了。不过数据段的内容还是需要自己添加

而CFF Explorer就更完善一些,可以自动增加对应的数据段

注意事项

一般软件PE头的区块表后是一段全0的空间(用以将后边的区块对齐),因此新增区块不会破坏文件
但有时也会发生区块表正好填充完对齐单位的情况,或者后面放着一些其他东西。此时就不太方便添加区块头了。
理论上来说,修正后面的偏移应该也可以,不过这工程量就有些大了233

C. 明日计划
获得函数的调用

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
区块结构(二)
s37
06-26 8911
1.区块:        区块是一种被包含在公开账簿(区块链)里的聚合了交易信息的容器数据结构。它由一个包含元数据的区块头和紧跟其后的构成区块主体的一长串交易组成。区块头是80字节,而平均每个交易至少是250字节,而且平均每个区块至少包含超过500个交易。区块结构2.区块头        区块头由三组区块元数据组成。首先是一组引用父区块哈希值的数据,这组元数据用于将该区块区块链中前一区块相连接。...
编译原理之手工构造C语言词法分析器
ArthurZhou96的博客
04-19 4789
编写一个(C语言)词法分析器:需求是:1对原来的数据进行预处理,删掉注释;(为了展示方便,就不删掉换行,制表符了,本来应该是要删掉这些的)2将词法正确的token分解出来,一共应该有5类,标识符,关键字,常数,界符,运算符,对于原来的源码,将token之间都加上空格;3对于词法不正确的token进行提示,表示词法不正确,具体有:浮点数的不正确,如.11,0.23.34,这样的;编程环境是:webs...
180319 逆向-代码二次开发(1)区块间隙的利用
whklhhhh的博客
04-03 368
1625-5 王子昂 总结《2018年3月19日》 【连续第534天总结】 A. 代码二次开发(1) B. 前言 这里的二次开发主要指的是在没有源码和接口的情况下扩充可执行文件的功能,目标是二进制的EXE或DLL文件,需要用汇编实现相关功能,或构造一个接口,调用其他语言实现功能。该技术主要是修改扩充PE结构,对PE文件进行DIY,因此又叫PEDIY技术 增加空间 最首要解...
加密与解密工具大礼包 2010年新品
cpongo5
03-10 310
经常逆向工程发现 应该搞个加密与解密的工具包,用起来也方便些。找了一下 果然有一个。如果不想下载 可以直接这里购买http://item.taobao.com/auction/item_detail-0db1-9b8c87022ec55fb3a0c6c8041695a730.htm里面包含如下软件:├─PE 工具│├─PE资源││├─资源编辑│││├─eXeScope│││├─reshac...
180321 逆向-代码二次开发(3)获得函数的调用
whklhhhh的博客
04-11 537
1625-5 王子昂 总结《2018年3月21日》 【连续第536天总结】 A. 代码二次开发(3) B. 获得函数的调用 在扩充程序功能时,有时会遇到调用的API函数不在输入表中 在应用程序调用DLL中的函数之前,DLL文件映像必须被映射到调用进程的地址空间中 方法有两种: 1. 加载时的隐式链接。即修改输入表,增加需要的API函数 2. 运行时的显示链接。即显式链接调用D...
UG二次开发逆向工程.rar
04-28
在这个"UG二次开发逆向工程.rar"的压缩包中,我们聚焦的是如何通过VS2008(Visual Studio 2008)来实现UG的逆向工程功能。 逆向工程,又称反求工程,是从现有的实物或设计数据出发,通过测量、分析,构建出产品的...
mybatis-plus快速逆向生成代码
03-07
0.解压后查看说明文档。 1.pom.xml中增加对应引入包 2.复制FastAutoGeneratorTest.java到自己的项目中 然后更改引入包路径 3.更改数据库源 4.更改生成代码路径 5.执行main方法
Android逆向-java代码基础(2)
01-09
总结来说,这个"Android逆向-java代码基础(2)"的教程将涵盖Java语言的核心概念,如类、对象、方法、变量、控制流、异常处理、集合框架以及在Android环境中的应用。掌握这些基础知识对于进行Android应用的逆向工程...
Android逆向-java代码基础(4)
01-09
本文将深入探讨Java代码基础在Android逆向中的应用,并结合"Android逆向-java代码基础(4)"这个主题进行详细阐述。 1. 类与对象:Java是一种面向对象的语言,它的核心是类和对象。在逆向分析中,理解类的结构、...
PolyWorks二次开发
01-23
PolyWorks二次开发方法介绍,可以实现对扫描仪的控制、点云的对齐、逆向及数模比对等后处理操作
190328 逆向-浅谈反调试
热门推荐
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
190319 逆向-花指令
whklhhhh的博客
03-20 4860
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
180517 逆向-反控制流平坦化(符号执行脚本)
whklhhhh的博客
05-17 4784
控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2111
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1874
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
180306 逆向-反调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1774
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 反调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
180705 逆向-Linux的逆向
whklhhhh的博客
07-12 1537
常用工具和命令 nm 列出目标文件的所有符号 objdump -d参数表示反编译.text段中的程序代码 readelf 查看ELF文件的各种信息 IDA gdb IDA 与PE程序基本类似,将ELF程序拖入IDA也可以快速的反汇编,主要借助hex-ray插件来反编译出可读性较高的伪代码 实验-passwd_generator trick patch dynam...
180307 逆向-反调试技术(2)CheckRemoteDebuggerPresent
whklhhhh的博客
03-23 1517
1625-5 王子昂 总结《2018年3月7日》 【连续第522天总结】 A. 反调试技术(2) B. CheckRemoteDebuggerPresent BOOL CheckRemoteDebuggerPresent( HANDL hProcess, PBOOL pbDebuggerPresent ); 这是另外一个MSDN上提供的检测调试器的函数,测试发现及时修改Be...
180515 逆向-被隐藏的真实(DDCTF_Re3)
whklhhhh的博客
05-15 1347
这题本来单纯地以为是很简单的题,听欧佳俊师傅讲了一下出题思路才发现他的想法真的比答题人多得多…… main函数里调用了三次get_pwd()这个函数来check输入 get_pwd中接受输入,然后对count自增,调用了Bitcoin对象的一个函数来校验输入 如果熟悉C++逆向的话,一眼就能看出来这是在调用虚函数 因为v2是对象的空间,在C++的对象构造中,开头4个字节指向的是虚函...
ida 逆向代码 --- 双精度浮点型jumpout
最新发布
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现方式通常是通过比较双精度浮点寄存器的值,并根据比较结果跳转到指定的地址。具体实现步骤如下: 1. 首先,使用IDA打开二进制程序,并进行逆向分析,找到双精度浮点型jumpout指令的位置。 2. 在跳转指令之前,通常会使用一条或多条指令将双精度浮点数的值加载到浮点寄存器中。 3. 找到进行比较的指令,该指令通常会使用浮点寄存器中的值与另一个双精度浮点数进行比较。比较操作可以是大于、小于、等于等。 4. 根据比较结果,使用条件跳转指令进行跳转。如果比较结果符合条件,则跳转到目标地址;否则,继续执行下一条指令。 5. 如果跳转成功,程序将会执行目标地址处的指令,否则继续执行下一条指令。 通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执行条件,来分析和修改程序的行为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值