180320 逆向-代码的二次开发(2)手工构造区块

最新推荐文章于 2022-12-31 17:50:11 发布
最新推荐文章于 2022-12-31 17:50:11 发布
阅读量296 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79898868
版权

1625-5 王子昂 总结《2018年3月20日》 【连续第535天总结】
A. 代码的二次开发(2)
B.

手工构造区块

区块间隙的空间大小是有限的,如果所需代码不多,那么上述方法方便快捷。但是如果需要添加的代码比较多的话,区块间隙就不够用了。此时必须手动添加区块。

手工构造区块必须熟悉PE格式,实际操作时一般可用工具辅助。
主要有3个工作要做:
1. 增加块头
2. 增加块头指向的数据段
3. 调整文件头中的映像尺寸

构造区块时,必须注意区块的对齐。如果不对齐,在某些系统下可能会报错。

  1. 修正块表
    块表在PE文件头之后,由一系列的IMAGE_SECTION_HEADER结构组成
    每个结构体描述一个块,结构体的顺序与块在文件中的顺序是相同的
    块表以一个空的结构体作为结束标志

想要添加一个新的区段,就需要添加一个块头
将其中的属性按需填写完成即可
注意块对齐的问题
2. 增加数据段
有了区块头,还需要为区块添加内容
在文件尾部插入0x1000h大小的数据块即可
3. 修正映像文件尺寸
因为扩大了文件的尺寸,所以必须修正SizeOfImage的值,在PE文件头中将其增加0x1000h即可

工具辅助构造区块

实际增加区块时,因为较为繁琐,所以一般使用工具来快速完成
使用LordPE打开文件,在区块的列表上,执行右键菜单中的add section header功能就可增加一个区块。勾选’autofix SizeOfImage’就可以自动修正映像尺寸的值了。不过数据段的内容还是需要自己添加

而CFF Explorer就更完善一些,可以自动增加对应的数据段

注意事项

一般软件PE头的区块表后是一段全0的空间(用以将后边的区块对齐),因此新增区块不会破坏文件
但有时也会发生区块表正好填充完对齐单位的情况,或者后面放着一些其他东西。此时就不太方便添加区块头了。
理论上来说,修正后面的偏移应该也可以,不过这工程量就有些大了233

C. 明日计划
获得函数的调用

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
区块结构(二)
s37
06-26 8911
1.区块:        区块是一种被包含在公开账簿(区块链)里的聚合了交易信息的容器数据结构。它由一个包含元数据的区块头和紧跟其后的构成区块主体的一长串交易组成。区块头是80字节,而平均每个交易至少是250字节,而且平均每个区块至少包含超过500个交易。区块结构2.区块头        区块头由三组区块元数据组成。首先是一组引用父区块哈希值的数据,这组元数据用于将该区块区块链中前一区块相连接。...
编译原理之手工构造C语言词法分析器
ArthurZhou96的博客
04-19 4789
编写一个(C语言)词法分析器:需求是:1对原来的数据进行预处理,删掉注释;(为了展示方便,就不删掉换行,制表符了,本来应该是要删掉这些的)2将词法正确的token分解出来,一共应该有5类,标识符,关键字,常数,界符,运算符,对于原来的源码,将token之间都加上空格;3对于词法不正确的token进行提示,表示词法不正确,具体有:浮点数的不正确,如.11,0.23.34,这样的;编程环境是:webs...
180319 逆向-代码二次开发(1)区块间隙的利用
whklhhhh的博客
04-03 368
1625-5 王子昂 总结《2018年3月19日》 【连续第534天总结】 A. 代码二次开发(1) B. 前言 这里的二次开发主要指的是在没有源码和接口的情况下扩充可执行文件的功能,目标是二进制的EXE或DLL文件,需要用汇编实现相关功能,或构造一个接口,调用其他语言实现功能。该技术主要是修改扩充PE结构,对PE文件进行DIY,因此又叫PEDIY技术 增加空间 最首要解...
加密与解密工具大礼包 2010年新品
cpongo5
03-10 310
经常逆向工程发现 应该搞个加密与解密的工具包,用起来也方便些。找了一下 果然有一个。如果不想下载 可以直接这里购买http://item.taobao.com/auction/item_detail-0db1-9b8c87022ec55fb3a0c6c8041695a730.htm里面包含如下软件:├─PE 工具│├─PE资源││├─资源编辑│││├─eXeScope│││├─reshac...
180321 逆向-代码二次开发(3)获得函数的调用
whklhhhh的博客
04-11 537
1625-5 王子昂 总结《2018年3月21日》 【连续第536天总结】 A. 代码二次开发(3) B. 获得函数的调用 在扩充程序功能时,有时会遇到调用的API函数不在输入表中 在应用程序调用DLL中的函数之前,DLL文件映像必须被映射到调用进程的地址空间中 方法有两种: 1. 加载时的隐式链接。即修改输入表,增加需要的API函数 2. 运行时的显示链接。即显式链接调用D...
catia逆向建模步骤_catia与逆向工程
weixin_39639381的博客
12-20 2675
一、引言为了适应先进制造技术的发展,需要将实物样件或手工模型转化为CAD数据,以便利用快速成型(Rapid prototyping,RP)系统、计算机辅助制造(C0mPuter AidedManufacture,CAM)系统、产品数据管理(Product Data Management,PDM)等先进技术对其进行处理和管理,并进行进一步修改和再设计优化。此时,就需要一个一体化的解决方案:从样...
Go代码规范
zero
10-26 1057
Go语言安全编码规范-翻译 英文地址 翻译:blood_zer0、Lingfighting 如果翻译的有问题:联系我(zer0zhang)。匆忙翻译肯定会有很多错误,欢迎大家一起讨论Go语言安全能力建设。 介绍 Go语言-Web应用程序安全编码实践是为了给任何使用Go进行编程与Web开发的人员提供指导。 这本书是Checkmarx安全研究团队共同努力的结晶,它遵循OWASP安全编码实践快速参考指南。 这本书主要的目的是为了帮助开发人员避免常见错误,同时通过"实践方法"学习编程语言心得。本书提供了关于"如
这一年,这些书:2022年读书笔记
热门推荐
Heartsuit的博客
12-31 3万+
Note: 以下 `markdown` 格式文本由 `json2md` 自动转换生成,可参考[JSON转Markdown:我把阅读数据从MongoDB中导出转换为.md了](https://blog.csdn.net/u013810234/article/details/113360229)了解具体的转换过程。2022年读书笔记
UG二次开发逆向工程.rar
04-28
在这个"UG二次开发逆向工程.rar"的压缩包中,我们聚焦的是如何通过VS2008(Visual Studio 2008)来实现UG的逆向工程功能。 逆向工程,又称反求工程,是从现有的实物或设计数据出发,通过测量、分析,构建出产品的...
mybatis-plus快速逆向生成代码
03-07
0.解压后查看说明文档。 1.pom.xml中增加对应引入包 2.复制FastAutoGeneratorTest.java到自己的项目中 然后更改引入包路径 3.更改数据库源 4.更改生成代码路径 5.执行main方法
Android逆向-java代码基础(2)
01-09
总结来说,这个"Android逆向-java代码基础(2)"的教程将涵盖Java语言的核心概念,如类、对象、方法、变量、控制流、异常处理、集合框架以及在Android环境中的应用。掌握这些基础知识对于进行Android应用的逆向工程...
Android逆向-java代码基础(4)
01-09
本文将深入探讨Java代码基础在Android逆向中的应用,并结合"Android逆向-java代码基础(4)"这个主题进行详细阐述。 1. 类与对象:Java是一种面向对象的语言,它的核心是类和对象。在逆向分析中,理解类的结构、...
PolyWorks二次开发
01-23
PolyWorks二次开发方法介绍,可以实现对扫描仪的控制、点云的对齐、逆向及数模比对等后处理操作
190328 逆向-浅谈反调试
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
190319 逆向-花指令
whklhhhh的博客
03-20 4860
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
180517 逆向-反控制流平坦化(符号执行脚本)
whklhhhh的博客
05-17 4784
控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2111
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1874
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
ida 逆向代码 --- 双精度浮点型jumpout
最新发布
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值