pe文件的Import table导入表的手工修复

最新推荐文章于 2024-05-28 09:36:46 发布
最新推荐文章于 2024-05-28 09:36:46 发布
阅读量273 收藏
点赞数
分类专栏: 软件安全相关 文章标签: pe文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_ZHEDA/article/details/132311456
版权

一、实验目的:

        实验提供了一个不能正常运行的程序,如果在正常运行的情况下,程序的功能是弹出一个messagebox,然后正常退出。要做的,是通过排查错误,找到问题所在,修改程序,使其正常运行。
 

二、实验步骤:

        1.通过OD(olly debug) 和 stud_pe工具查看这个程序的十六进制

        2.修复INT(Import Name Table)表和IAT(Import Address Table)表

        3.修复扩张header中的directory部分

三、具体操作:

最开始打开这个exe文件,打开失败,出错了,需要找到错误,并且进行修复:

 

1.使用OD查看这个程序的时候,发现JUMP指令的目标地址处都是空的

 可以看到402008位置的数据都是0

之后,使用stud_pe进行查看的时候,发现,Import Table都没有找到,里面的RVA 和 size数据都是空的

 ​​​​​​

 

2.利用stud_pe打开这个程序,然后,找到INT表和IAT表进行填充

 (1)先确定各个字段的数值:

 (2)然后在这个位置进行填写:

填写后的结构:

part1:第一行,就是IAT表,里面分别是2个dll的各自的1个函数,第一个kernel32.dll中的exit函数的address是2076,占据4字节,然后1个全0的4字节作为这个dll的结束,第二个是user32.dll中的MessageBoxA函数,是205c,占据4个字节,然后是全0的4字节作为这个dll的结束。

这个,好像就是那个什么original First Thunk

part2: INT表的完全,这个INT表一共有3个20字节的内容,第三个全0的20字节作为结束标志

先来完成kernel32.dll的IID。第一个4字节,是关于调用的函数的INT地址,也就是exit函数字符串的RVA。查表得到204c。第4个4字节是kernel32.dll的RVA,查表得到为2084,最后一个4字节是exit的IAT,查表得到为2000。

part3:还有1个和 上面Original First Thunk相同的 First Thunk:

就是最后的16字节

 

3.最后,需要填入 Import Table部分的那8个字节的数据:

注意:Import Table在扩展头中一共占据8个字节的内容,前4个字节就是第一个INT的起始字节RVA,后4个字节就是总共的这3个INT占据的字节数:

这里分别是2010 和 003c

 

4.最后查看修复结果:

 修复成功,芜湖~

诚威_lol_中大努力中
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pe结构分析之手工修复导入
ChuMeng1999的博客
10-25 1418
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入概念非常清楚。常见输入的结构是为了示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来示。 INT:全称import name table输入名称。简单来说,INT存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
修复PE 文件导入
09-02
修复PE 文件导入的源代码,VS2003 工程
探索软件逆向的奥秘:VMProtect 3.x IAT修复利器
最新发布
gitblog_00055的博客
05-28 576
探索软件逆向的奥秘:VMProtect 3.x IAT修复利器 项目地址:https://gitcode.com/woxihuannisja/vmp3-import-fix 在逆向工程与软件保护的世界里,每一项工具都是解锁软件秘密的关键。今天,我们要介绍的是一个针对VMProtect 3.x版本的强大工具——“VMProtect 3.x IAT Fix and Rebuild Import Tab...
C/C++ 导入与IAT内存修正
CSDN
09-17 7333
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入的脱壳修复等。关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点让其暂停在OEP位置,此时程序已经在内存解码,同时也可以获取到程序的OEP位置,转储就是将程序原封不动的读取出来并放入临时空间中,然后对空间中的节和OEP以及内存对齐进行修正,最后将此文件在内存保存出来即可。
dump文件导入修复工具——Imports Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-21 1112
最近在学习VMP脱壳,用到了该工具,记录分享一下。 功能: 根据进程的导入,在该进程的dump文件中分配一块空间,在文件中创建导入。 下载: 非开源 很多地方可以下载到,这里分享一个csdn下载地址: https://download.csdn.net/download/shadow20080578/85012603 使用前提: 1、导入修复好的进程 2、导入没有被修复好的dump文件 使用方法: 打开主界面 1、在主界面上面选中导入修复好的进程 2、主界
进程导入修复工具——Universal Import Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-09 3807
下载 非开源,下载UniversalImportFixer(UIF)v1.2FINAL-系统安全文档类资源-CSDN下载 使用前提: 需要先修复进程内的API调用,如:vmp保护的进程,API调用都会变成对vmp函数的调用,需要先将它们修复成对真实API函数的调用。 需要管理员权限打开。 功能: 根据代码段调用的API函数,对内存中进程的导入相关结构进行修复。 使用方法: 打开主界面: 填入进程ID,代码段的起始位置,代码段后面段的起始位置(代码段结束位置+1) 新..
简单的手动修复输入
weixin_30834783的博客
02-26 197
学习于 加密与解密3 手工构造输入 构造输入完毕后 再到 数据目录的输入位置填写地址和大小就行了 转载于:https://www.cnblogs.com/zcc1414/p/3982398.html...
PE文件导入解析(C++)
05-01
导入通常包含以下信息:DLL名称、导入地址(IAT,Import Address Table)、导入查找(ILT,Import Lookup Table)和名称映射。解析导入可以帮助我们了解程序依赖哪些外部函数。 在C++中,解析导入通常需要...
易语言源码易语言导入导出PE源码.rar
03-31
PE是Windows操作系统中可执行文件(.exe和.dll)的标准格式,包含了关于程序的各种元数据,如导入和导出函数、资源信息、线程局部存储区等。在易语言中处理PE可以帮助我们更好地理解程序结构,并实现一些高级...
改写PE文件导入加载DLL
03-18
理解PE文件结构及其导入对于逆向工程、软件安全分析和恶意软件研究至关重要。本文将深入探讨如何改写PE文件导入来实现DLL的加载。 首先,我们需要了解PE文件导入结构。导入包含以下几个关键部分: 1. ...
import_Exel_yangqing.rar_Table_table导入excel
09-19
就是把图中Table中的信息放入Excel保存, 需要导入jxl.jar (在网上可以下载,然后放到lib文件夹中) 通过java操作excel格的工具类库 支持Excel 95-2000的所有版本 生成Excel 2000标准格式 支持字体、数字、日期操作...
输入修复工具ImportFix
07-26
ImportFix od附带重建输入神器。输入修复,基址修改工具。
第34章-手脱UPX,修复IAT1
08-03
提示无效的 win32 程序,我们需要修复 IAT,我们需要用到一个工具,名字叫做 Import REConstructor,不要关闭 OD,将让其断在 OEP
注入技术--修改pe文件导入进行注入
weixin_30849403的博客
03-13 437
1.修改导入,即添加一个新的导入描述符及其iat,int. 这样系统加载该pe文件时将自动加载添加的dll,从而实现dll注入 2.思路: 可以手工修改,但是复杂程度一点也不比写代码低,而且低效. 通过代码实现可以一劳永逸. 新增一个节来存储新的导入. 其实也可以在原来的pe文件找空隙插入进去,但是又很难实现通用,因为不同的pe文件空隙位置大小不同.容易出错 新增的导入描述符通过序...
2.9 PE结构:重建导入结构
热门推荐
CSDN
09-08 1万+
脱壳修复是指在进行加壳保护后的二进制程序脱壳操作后,由于加壳操作的不同,有些程序的导入可能会受到影响,导致脱壳后程序无法正常运行。因此,需要进行修复操作,将脱壳前的导入覆盖到脱壳后的程序中,以使程序恢复正常运行。一般情况下,导入被分为IAT(Import Address Table导入地址)和INT(Import Name Table导入名称)两个部分,其中IAT存储着导入函数的地址,而INT存储着导入函数的名称。在脱壳修复中,一般是通过将脱壳前和脱壳后的输入进行对比,找出IAT和INT
importREC修复Import
编程开发资料库
08-18 664
1、用ollydbg找到正确的OEP(脱壳和修复导入都要用到)2、脱壳在当前进程,如脱壳出来的程序不能运行,提示无法定位程序输入点,需要使用importREC修复导入。3、打开importREC,选正ollydbg正在调试的进程,填入正确的OEP,点ITA AutoSearch,如oep正确将得到正确提示,点GetImport,得到正确的导入。点Fix Dump,选择脱壳出来的保存文件,Do...
程序输入修复
积累点滴,保持自我
12-07 2270
1.使用的一款修复输入的工具:Import REConstructor,如下图所示:  2.一个加过壳的程序在经过脱壳后,输入一般会出现问题,出现各种程序不能运行的情况,这时就需要修复输入。打开未脱壳的程序(因为该修复输入的程序)
PE导入-实例
跃然实验室
06-11 454
目标:notepad 工具:LordPE 目标:在文件中找到这个函数 LordPE--计算RVA到Offset的值 Import RVA:0000A048 Offset: 00009448 FirstThunk RVA:0000A224 Offset: 00009624 O...
手工实现各种脱壳后的修复
CSDN
09-25 8123
PE(Portable Executable导入是Windows操作系统中可执行文件(如DLL和EXE)的一部分,用于记录该文件所依赖的外部模块和函数。导入PE文件结构中的一部分,负责描述程序在运行时需要引用的外部符号,以便操作系统在加载程序时能够解析这些符号并正确地链接到相应的函数或模块。
golang 实现pe文件格式的导入查询
05-30
要实现Pe文件格式的导入查询,可以使用Golang的debug/pe包。下面是一个简单的示例代码: ```go package main import ( "debug/pe" "fmt" "os" ) func main() { if len(os.Args) != 2 { fmt.Println("Usage: pe_imports <exe/dll>") os.Exit(1) } file, err := pe.Open(os.Args[1]) if err != nil { fmt.Println("Error opening file:", err) os.Exit(1) } defer file.Close() imports, err := file.ImportedSymbols() if err != nil { fmt.Println("Error getting imported symbols:", err) os.Exit(1) } fmt.Printf("Imported symbols for %s:\n", os.Args[1]) for _, symbol := range imports { fmt.Printf("%s (from %s)\n", symbol.Name, symbol.Library) } } ``` 运行该程序,并传递一个PE文件的路径作为参数,即可输出该PE文件导入信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值