滴水三期:day38.1-移动导出表和重定位表

原创 已于 2023-04-22 03:27:13 修改 · 938 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #c++ #PE结构 #C #系统安全

于 2023-04-12 20:31:22 首次发布
文章详细阐述了如何在PE文件中移动导出表和重定位表到新的节,以便于加密或其他处理。首先,通过增加新节并将导出表的内容复制到新节,然后更新数据目录中的相应RVA。接着,介绍了移动重定位表的步骤,包括计算新节大小,复制表内容到新节,并根据新的ImageBase修复表中的地址。最后,文章提到修复重定位表以适应新的ImageBase,确保PE文件的正常运行。

一、为什么要移动各种表

  • 一个PE文件中有很多节,有的用来存储代码、有的存储数据,而PE文件的各种表也都分散存储在这些节当中,所以各种表的信息与程序的代码和数据都混在一起了,如果直接对整个程序进行加密,那系统在初始化程序时就会出问题!(比如:在程序启动的时候,这些表的数据被加密了,系统就无法根据这些表将用到的DLL中的函数地址存储到IAT表中)
  • 所以对程序加密或破解之前,会先移动各种表到程序新增的节当中,再对剩下的数据(DOS头、NT头等所有头和节表都不能加密,不然操作系统根本就不认这是一个Windows可执行程序了,程序就启动不起来了)进行加密
  • 学会移动各种表,是对程序加密/破解的基础

二、移动导出表

1.步骤说明

  • 学到现在这些操作直接在FileBuffer中做即可(多一个RVA转FOA),不用先拉伸,再在ImageBuffer中做这么麻烦了

  • 结合图示来理解移动的步骤

    image-20230411201040021

  1. 在PE文件中新增一个节,大小可以按照下面的长度求和对齐计算出来,但其实可以估算0x1000字节足够了

    新增节别忘了修改PE头当中的一些字段:NumberOfSections、SizeOfImage、重新开辟一个FileBuffer、新增节表、修改节表中的字段(Name、Misc.VirtualSize、VirtualAddress、SizeOfRawData、PointerToRawData、Characteristics)。详见day33.1-新增节、扩大节-添加代码

  2. 复制AddressOfFunctions指向的函数地址表到新节中(2,3,4别忘了RVA转FOA),长度为4 * NumberOfFunctions字节

  3. 接着复制AddressOfNameOrdinals指向的函数序号表到新节中,长度为2 * NumberOfNames字节

  4. 复制AddressOfNames指向的函数名称表到新节中,长度为4 * NumberOfNames字节

  5. 还要复制函数名称表中元素所指向的函数名称字符串到新节中,长度可以遍历函数名称表,用strlen()函数依次求出每个字符串长度,再求和;每复制一个字符串到新节中,就修改对应的函数名称表中的地址值(而且要注意:函数名称表中存的是RVA,所以把字符串复制到新节后还需要把FOA转成RVA,再存入)

    为什么需要移动字符串?因为如果光移动函数名称表,对剩下的数据加密(字符串也包含其中),那么当需要根据函数名去调用导出函数时,只能根据函数名称表查到名称字符串所在地址,但是字符串被加密,就无法匹配了

  6. 复制导出表IMAGE_EXPORT_DIRECTORY到新节中,大小固定40字节

  7. 修改导出表中的成员值,指向三个子表在新节中的位置(下面三个值都是RVA,所以要根据此时三张子表在新节中的FOA转成RVA

    • AddressOfFunctions
    • AddressOfNameOrdinals
    • AddressOfNames

  8. 最后修复导出表数据目录中的VirtualAddress,指向导出表IMAGE_EXPORT_DIRECTORY在新节中的位置(也要FOA转RVA

2.代码编写

#include "stdafx.h"
#include <stdlib.h>
#include <string.h>

typedef unsigned short WORD;
typedef unsigned int DWORD;
typedef unsigned char BYTE;

#define MZ 0x5A4D
#define PE 0x4550
#define IMAGE_SIZEOF_SHORT_NAME 8

//DOS头
struct _IMAGE_DOS_HEADER {
   
   
	WORD e_magic;  //MZ标记
	WORD e_cblp;
	WORD e_cp;
	WORD e_crlc;
	WORD e_cparhdr;
	WORD e_minalloc;
	WORD e_maxalloc;
	WORD e_ss;
	WORD e_sp;
	WORD e_csum;
	WORD e_ip;
	WORD e_cs;
	WORD e_lfarlc;
	WORD e_ovno;
	WORD e_res[4];
	WORD e_oemid;
	WORD e_oeminfo;
	WORD e_res2[10];
	DWORD e_lfanew;  //PE文件真正开始的偏移地址
};

//标准PE头
struct _IMAGE_FILE_HEADER {
   
   
	WORD Machine;  //文件运行平台
	WORD NumberOfSections;  //节数量
	DWORD TimeDateStamp;  //时间戳
	DWORD PointerToSymbolTable;
	DWORD NumberOfSymbols;
	WORD SizeOfOptionalHeader;  //可选PE头大小
	WORD Characteristics;  //特征值
};

//数据目录
struct _IMAGE_DATA_DIRECTORY{
   
   
    DWORD VirtualAddress;
    DWORD Size;
};

//可选PE头
struct _IMAGE_OPTIONAL_HEADER {
   
   
	WORD Magic;  //文件类型
	BYTE MajorLinkerVersion;
	BYTE MinorLinkerVersion;
	DWORD SizeOfCode;   //代码节文件对齐后的大小
	DWORD SizeOfInitializedData;  //初始化数据文件对齐后的大小
	DWORD SizeOfUninitializedData;  //未初始化数据文件对齐后大小
	DWORD AddressOfEntryPoint;  //程序入口点(偏移量)
	DWORD BaseOfCode;  //代码基址
	DWORD BaseOfData;  //数据基址
	DWORD ImageBase;   //内存镜像基址
	DWORD SectionAlignment;  //内存对齐粒度
	DWORD FileAlignment;  //文件对齐粒度
	WORD MajorOperatingSystemVersion;
	WORD MinorOperatingSystemVersion;
	WORD MajorImageVersion;
	WORD MinorImageVersion;
	WORD MajorSubsystemVersion;
	WORD MinorSubsystemVersion;
	DWORD Win32VersionValue;
	DWORD SizeOfImage;  //文件装入虚拟内存后大小
	DWORD SizeOfHeaders;  //DOS、NT头和节表大小
	DWORD CheckSum;  //校验和
	WORD Subsystem;
	WORD DllCharacteristics;
	DWORD SizeOfStackReserve;  //预留堆栈大小
	DWORD SizeOfStackCommit;  //实际分配堆栈大小
	DWORD SizeOfHeapReserve;  //预留堆大小
	DWORD SizeOfHeapCommit;  //实际分配堆大小
	DWORD LoaderFlags;
	DWORD NumberOfRvaAndSizes;  //目录项数目
	_IMAGE_DATA_DIRECTORY DataDirectory[16]; //数据目录
};

//NT头
struct _IMAGE_NT_HEADERS {
   
   
	DWORD Signature;  //PE签名
	_IMAGE_FILE_HEADER FileHeader;
	_IMAGE_OPTIONAL_HEADER OptionalHeader;
};

//节表
struct _IMAGE_SECTION_HEADER{
   
   
	BYTE Name[IMAGE_SIZEOF_SHORT_NAME];  //节表名
	union{
   
   
		DWORD PhysicalAddress;
		DWORD VirtualSize;  //内存中未对齐大小
	}Misc;
	DWORD VirtualAddress;  //该节在内存中偏移地址
	DWORD SizeOfRawData;  //该节在硬盘上文件对齐后大小
	DWORD PointerToRawData;  //该节在硬盘上文件对齐后偏移地址
	DWORD PointerToRelocations;
	DWORD PointerToLinenumbers;
	WORD NumberOfRelocations;
	WORD NumberOfLinenumbers;
	DWORD Characteristics;  //该节特征属性
};

//导出表
struct _IMAGE_EXPORT_DIRECTORY{
   
   						
    DWORD Characteristics;  //未使用		
    DWORD TimeDateStamp;  //时间戳		
    WORD MajorVersion;  //未使用		
    WORD MinorVersion;	//未使用		
    DWORD Name;  //指向该导出表文件名字符串  *
    DWORD Base;  //导出函数起始序号  *
    DWORD NumberOfFunctions;  //所有导出函数的个数  *		
    DWORD NumberOfNames;  //以函数名字导出的函数个数  *
    DWORD AddressOfFunctions;  //导出函数地址表RVA  *					
    DWORD AddressOfNames;  //导出函数名称表RVA  *						
    DWORD AddressOfNameOrdinals;  //导出函数序号表RVA  *						
};

/*计算文件大小函数
参数:文件绝对路径
返回值:返回文件大小(单位字节)
*/
int compute_file_size(char* filePath){
   
   
	FILE* fp = fopen(filePath,"rb");
    if(!fp){
   
   
		printf("打开文件失败");
		exit(0);
	}
    fseek(fp,0,2);
	int size = ftell(fp);
	//fseek(fp,0,0); 单纯计算文件大小,就不需要还原指针了
	fclose(fp);
	return size;
}

/*将文件读入FileBuffer函数
参数:文件绝对路径
返回值:FileBuffer起始地址
*/
char* to_FileBuffer(char* filePath){
   
   
    FILE* fp = fopen(filePath,"rb");
    if(!fp){
   
   
		printf("打开文件失败");
		exit(0);
	}
    int size = compute_file_size(filePath);
    
	char* mp = (char*)malloc(sizeof(char) * size);  //分配内存空间
    if(!mp){
   
   
        printf("分配空间失败");
        fclose(fp);
        exit(0);
    }
    
    int isSucceed = fread(mp,size,1,fp);
    if(!isSucceed){
   
   
        printf("读取数据失败");
        free(mp);
        fclose(fp);
        exit(0);
    }
    
    fclose(fp);
    return mp;
}

/*计算NewBuffer大小函数
参数:NewBuffer起始地址
返回值:unsigned int类型(单位:字节)
*/
DWORD compute_NewBuffer_size(char* newBufferp){
   
   
	_IMAGE_DOS_HEADER* _image_dos_header = NULL;
	_IMAGE_FILE_HEADER* _image_file_header = NULL;
	_IMAGE_OPTIONAL_HEADER* _image_optional_header = NULL;
	_IMAGE_SECTION_HEADER* _image_section_header = NULL;

	_image_dos_header = (_IMAGE_DOS_HEADER*)newBufferp;
	_image_file_header = (_IMAGE_FILE_HEADER*)(newBufferp + _image_dos_header->e_lfanew + 4);
	_image_optional_header = (_IMAGE_OPTIONAL_HEADER*)((char*)_image_file_header + 20);
	_image_section_header = (_IMAGE_SECTION_HEADER*)((char*)_image_optional_header + _image_file_header->SizeOfOptionalHeader);
	
	_IMAGE_SECTION_HEADER* last_image_section_header = _image_section_header + _image_file_header->NumberOfSections - 1;
	DWORD sizeofNewBuffer = last_image_section_header->PointerToRawData + last_image_section_header->SizeOfRawData;
	return sizeofNewBuffer;
}

/*NewBuffer存盘函数
参数:需要写出数据的内存首地址,保存绝对路径,写出的数据大小(单位:字节)
返回值:成功返回1,失败返回0
*/
int save_to_disk(char* newBufferp,char* storagePath,DWORD size){
   
   
	FILE* fp = fopen(storagePath,"wb");
	if(!fp){
   
   
		printf("打开文件失败");
		return 0;
	}
	int isSucceed = fwrite(newBufferp,size,1,fp);
	if(!isSucceed){
   
   
        free(newBufferp);
        fclose(fp);
        return 0;
    }
	fclose(fp);
	return 1;
}

/*虚拟内存偏移地址->文件偏移地址函数
参数:FileBuffer起始地址,RVA地址值
返回值:RVA对应的FOA,返回0则表示非法RVA
*/
DWORD RVA_to_FOA(char* fileBufferp,DWORD RVA){
   
   
	_IMAGE_DOS_HEADER* _image_dos_header = NULL;
	_IMAGE_FILE_HEADER* _image_file_header = NULL;
	_IMAGE_OPTIONAL_HEADER* _image_optional_header = NULL;
	_IMAGE_SECTION_HEADER* _image_section_header = NULL;

	_image_dos_header = (_IMAGE_DOS_HEADER*)fileBufferp;
	_image_file_header = (_IMAGE_FILE_HEADER*)(fileBufferp + _image_dos_header->e_lfanew + 4);
	_image_optional_header = (_IMAGE_OPTIONAL_HEADER*)((char*)_image_file_header + 20);
	_image_section_header = (_IMAGE_SECTION_HEADER*)((char*)_image_optional_header + 
		_image_file_header->SizeOfOptionalHeader);

	bool flag = 0; //用来判断最终RVA值是否在节中的非空白区
	if(RVA < _image_section_header->VirtualAddress)
		return RVA;
	for(int i = 0;i < _image_file_header->NumberOfSections;i++){
   
   
		if(RVA >= _image_section_header->VirtualAddress 
			&& RVA < _image_section_header->VirtualAddress + _image_section_header->Misc.VirtualSize){
   
   
			flag = 1;
			break;
		}else{
   
   
			_image_section_header++;
		}
	}
	if(!flag)
		return 0;
	DWORD mem_offset_from_section = RVA - _image_section_header->VirtualAddress;
	return _image_section_header->PointerToRawData + mem_offset_from_section;	
}

/*文件偏移地址函数->虚拟内存偏移地址
参数:FileBuffer起始地址,FOA地址值
返回值:FOA对应的RVA,返回0则表示非法FOA
*/
DWORD FOA_to_RVA(char* fileBufferp,DWORD FOA){
   
   
	_IMAGE_DOS_HEADER* _image_dos_header = NULL;
	_IMAGE_FILE_HEADER* _image_file_header = NULL;
	_IMAGE_OPTIONAL_HEADER* _image_optional_header = NULL;
	_IMAGE_SECTION_HEADER* _image_section_header = NULL;

	_image_dos_header = (_IMAGE_DOS_HEADER*)fileBufferp;
	_image_file_header = (_IMAGE_FILE_HEADER*)(fileBufferp + _image_dos_header->e_lfanew + 4);
	_image_optional_header = (_IMAGE_OPTIONAL_HEADER*)((char*)_image_file_header + 20);
	_image_section_header = (_IMAGE_SECTION_HEADER*)((char*)_image_optional_header + 
		_image_file_header->SizeOfOptionalHeader);

	bool flag = 0;//用来判断最终FOA值是否在节中的非空白区
	if(FOA < _image_section_header->PointerToRawData)
		return FOA;
	for(DWORD i = 0;i < _image_file_header->NumberOfSections;i++){
   
   
		DWORD tempSize = (_image_section_header->Misc.VirtualSize < _image_section_header->SizeOfRawData ? _image_section_header->Misc.VirtualSize : _image_section_header->SizeOfRawData);
		if(FOA >= _image_section_header->PointerToRawData && FOA < _image_section_header->PointerToRawData + tempSize){
   
   
			flag = 1;
			break;
		}
		_image_section_header++;
	}

	if(!flag)
		return 0;
	DWORD file_offset_from_section = FOA - _image_section_header->PointerToRawData
最低0.47元/天 解锁文章
GEE训练教程:基于Sentinel-2的多指数(NDVI、NDRENDMI)的时序可视化监测
此星光明博客
12-07 50
本文介绍了一套基于Google Earth Engine平台Sentinel-2卫星数据的农田健康监测系统。该系统通过计算NDVI、NDRENDMI三种植被指数,建立5年历史基线,实现对农作物健康状况的时空分析异常检测。系统具备10米空间分辨率,每5天更新一次,支持云阴影去除、反射率转换等预处理功能,可自动生成健康状态图、异常热力图时序分析图。该方案适用于精准农业管理、灾害评估保险定损等场景,具有科学性强、实用性好、经济性优等特点,未来可扩展机器学习分类多源数据融合功能。
LC-LLM: Explainable Lane-Change Intention and Trajectory Predictions with Large Language Models
c_cpp_csharp的专栏
06-29 413
为了确保在动态环境中安全驾驶,自动驾驶汽车应具备提前准确预测周围车辆变道意图并预测其未来轨迹的能力。现有的运动预测方法有足够的改进空间,特别是在长期预测精度可解释性方面。在本文中,我们通过提出LC-LLM来应对这些挑战,这是一种可解释的车道变化预测模型,利用了大型语言模型(LLM)强大的推理能力自我解释能力。从本质上讲,我们将变道预测任务重新述为一个语言建模问题,以自然语言处理异构驾驶场景信息作为LLM的输入提示,并使用监督微调技术专门为我们的变道预测工作定制LLM。
滴水逆向三期实践13:移动导出
Rivival_S 的博客
10-28 1440
为什么要移动各种1、这些是编译器生成的,里面存储了非常重要的信息。 2、在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到 IAT 中(IAT后面会讲) 3、为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 我们知道数据目录的各种是存在各个节里的,而exe的代码的信息也是在节里,与客户字节的代码数据都混在一起了,如果进行加密(加壳),那系统在初始化的时候会出问题! 综上,学会移动各种,是对程序加密/破解的基础。 移动
滴水三期day37.1-重定位表
Edimade的博客
04-11 997
一、引入重定位表1.程序加载过程 > 2.问题一:DLL装载地址冲突 > 3.问题二:全局变量的绝对地址 > 4.引入)二、重定位表结构1.重定位表 > 2.重定位表结构 > 3.页、块、节的关系)三、为什么学重定位表1.破解方面 > 2.反反调试)四、作业(1.重定位表这样设计的好处 > 2.编写C程序打印重定位表信息)
移动导出移动重定位表滴水逆向三期51笔记+作业源码】
WdIg-2023的博客
03-28 560
前面章节我们了解了PE文件中的导出重定位表,今天我们来学习如何来移动导出重定位表
【逆向】通过新增节移动导出重定位表(附完整代码,直接可运行)
fzucaicai的博客
10-17 990
但是我之前一直不理解,特么为毛要挪动函数名字符串啊,这玩意不是等dll解密出来就能用了吗? 百思不得其解,去问大佬们,大佬们说的我都听又听不懂,学又学不会。很淦 但是我只能装作听懂的样子,感谢大佬们的赐教,其实我是不懂的,经过一番摸索,我终于悟了! 首先给大家看看用def导出的dll应该怎么使用 首先 ,加了密后,只有使用Dll的时候,dll才会解密,那在dll外想要调用dll
PE文件(九)重定位表
最新发布
2301_78838647的博客
07-15 1285
默认情况下.DLL的ImageBase为0x10000000,所以如果一个程序要用的DLL没有合理的修改分配装载起始地址,就可能出现多个DLL的ImageBase都是同一个地址,造成装载冲突。如果只移动函数名称的话,对剩下的数据加密后,当需要根据函数名去调用导出函数时,由于字符串被加密,只能根据函数名称查到名称字符串所在地址,但是无法匹配字符串。6.修改导出中的成员值,指向三个子在新节中的位置,由于各个子导出的地址数据是RVA,因此需要将FOA转成RVA。
Linux kernel-2.6.38.1-i686.cfg
09-09
Linux kernel-2.6.38.1-i686.cfg
昇思25天学习打卡营第12天 | LLM原理实践:MindNLP ChatGLM-6B StreamChat
loveisastory的博客
07-06 829
本文主要介绍了使用mindnlp下载chatglm-6B预训练模型,并基于此模型,通过输入提示词完成回答文本生成的模型推理任务,从而实现了一个简单的聊天应用。
移动重定位表模拟windows重定位过程
weixin_43990313的博客
07-20 459
移动重定位表 思路 大体上移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位表的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
PE目录项之重定位表(解析、移动、模拟运作)
qq_35289660的博客
07-03 2011
PE目录项之重定位表(解析、移动、模拟运作) 文章目录PE目录项之重定位表(解析、移动、模拟运作)0.说明1.解析重定位表1)作用(2)详解2.移动重定位表到新建节区3.模拟重定位表工作(1重定位表的工作(2)模拟它工作4.C源代码(1)解析重定位表(2)移动重定位表(3)模拟重定位表工作 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水逆向视频总结(部分截图来自于滴水课件) 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:124588
滴水逆向三期实践14:移动重定位表
Rivival_S 的博客
10-28 832
重定位表移动相比导出就简单太多了,因为重定位表相当于只有一个大。统计一下这个“大”的大小,全部移动到新节就行了。因为是使用下一块 VirtualAddress SizeOfBlock是否全0来判断重定位表是否结束的,所以拷贝的时候也把这8字节的全0内容也加上一起拷贝进新节。 最后修改数据目录中的 VirtualAddress指向新节 RVA 即可。 代码有详细注释 #include "Currency.h" #include "windows.h" #include "st...
PE_移动重定位表
qq_42363151的博客
09-25 166
PE
滴水逆向三期实践15:根据重定位表修正地址
Rivival_S 的博客
10-28 3144
占坑
手工解析PE(将重定位表移动到新增节中)
GNAIXGNAHZ的博客
07-03 340
手工解析PE(将重定位表移动到新增节中)
移动重定位表到新增节
hambaga的博客
05-20 422
一、为什么要移动重定位表 数据目录中的是分散在各个节里的,如果对节进行加密,操作系统找不到,就无法加载程序。因此加密前要先把移动到新的节里。 二、怎么移动 计算重定位表的大小,首先要遍历重定位表,累加 SizeOfBlock,然后新增一个节,大小是的大小文件对齐。最后把复制到新增节的开头,然后更新数据目录的VirtualAddress指向新的重定位表。 三、代码 // 移动重定位表到新增节,返回新缓冲区的大小 DWORD MoveRelocationTableToNewSection(LPVOID
移动导出重定位表
qq_41232519的博客
09-06 531
文章目录一、移动导出二、移动重定位表 一、移动导出 第一步:在DLL中新增一个节,并返回新增后的FOA 第二步:复制AddressOfFunctions 长度:4*NumberOfFunctions 第三步:复制AddressOfNameOrdinals 长度:NumberOfNames*2 第四步:复制AddressOfNames 长度:NumberOfNames*4 第五步:复制所有的函数名 长度不确定,复制时直接修复AddressOfNames
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值