通过修改PE文件导入DLL

最新推荐文章于 2024-11-04 17:47:11 发布
最新推荐文章于 2024-11-04 17:47:11 发布
阅读量1k 收藏 4
点赞数
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/learn112/article/details/112727314
版权

通过修改PE文件导入DLL

修改思路

在这里插入图片描述

实例

1.查看IDT信息

图1
在这里插入图片描述

由上图我们可以得到以下信息:

IDT的RVA信息在文件偏移160h处,值为84CC

IDT的大小信息在文件偏移164h处,值为64h

1.1转到IDT处查看具体信息

转到84CC也就是文件偏移76CC

在这里插入图片描述

共有5个IID结构体(每个IID20个字节,对应一个DLL相关信息),最后一个IID为NULL

由上图我们发现并没有足够空间添加我们的DLL,

那么转移IDT

2.转移IDT

由图1可知IDT在.rdata节区,

查看.rdata节区是否有多余的空白区域
图二

在这里插入图片描述

由上图可知.rdata节区的文件偏移为5200h,大小为2E00h

转到8000h(5200+2E00),这里我们从后往前看,因为节区中一般后面才会是NULL区域
在这里插入图片描述

从7E60~7FFF都是NULL,

但是还不能直接将IDT转移至此处,

需要先看看.rdata节区头的信息,看看该空白区域是不是有效的NULL区域(不一定是NULL就能用,只有在节区头中规定了的区域才是有效的)

由图2可知:.rdata节区在文件中大小为2E00h,在内存中大小为2C56h,很明显还有1AA(2E00-2C56)的空间可以使用,那么我们可以放心的将IDT转移到此处

3.修改IDT的RVA与SIZE

转到文件偏移160h:
在这里插入图片描述

修改IDT的RVA与SIZE:
在这里插入图片描述

8C80就是文件偏移7E80处,大小多了14h(20个字节),就是我们添加的DLL

4.删除绑定导入表

绑定导入表是一种提高DLL加载速度的技术,如果其值为0,则不用修改,如果不为0,那么要将其置位0,使其不存在(因为绑定导入表不存在是允许的,但如果存在,里面信息记录错误,那么会导致程序运行时出错)

在这里插入图片描述

可以看到其值为0

5.创建IDT

将之前的IDT信息(84CC处)复制到新位置8C80(文件偏移7E80):

在这里插入图片描述

6.写入DLL信息

IID中有3个重要成员需要写入:

  1. INT的RVA
  2. DLL名字的RVA
  3. IAT的RVA

在这里插入图片描述

这里用的8D00,8D10,8D20对应文件偏移7F00,7F10,7F20

正好在下面,比较方便

7.设置INT,NAME,IAT

在这里插入图片描述

8.修改IAT所在节区属性

PE文件加载到内存时,PE装载器会修改IAT,将函数实际地址写入IAT,所以IAT所在节区必须要有可写属性,这是一种方法

因为可选头的最后一个成员Data Directory数组含有IAT,所以直接转到此区域为dummy添加IAT,然后将整个IAT大小添加8个字节即可,这是另外一种方法

先试试方法一

IAT在.rdata节区,修改.rdata属性

在这里插入图片描述

将40000040与80000000(可写属性值)进行bit OR运算,得到C0000040

在这里插入图片描述

9.验证

在这里插入图片描述
在这里插入图片描述

DLL导入成功

逆向工程核心原理之通过修改PE加载DLL
wangtiankuo的博客
07-02 776
1.1       给TextView.exe添加myhack3.dll1.1.1       查看IDT是否有地方再加一个dll查看IDT,发现没有地方再添加一个dll了,需要移动IDT到更大的地方。在文件中找一个空白的区域,将IDT移动过去。.rdata区域,从0x8C60后就是NULL了。但是,填充着NULL不一定意味着该区域是空白可用区域,因此要确定该区域是否为空白可用区域。内存中节区起始...
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
PE格式: 新建节并插入DLL
优快云
07-26 5646
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
PE输入表DLL注入
08-25 642
PE输入表DLL注入
PE文件中注入dll
B01814124的博客
08-20 589
0.前提 1.修改导入表的RVA值 84CC —— 8C80 0064 —— 0078 ;增加了新导入dll, IID结构体大小 2.删除绑定导入修改其值为0即可 3.创建新的IDT 将76CC-76EF复写到7E80 在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据 00 8D 00 00 00 00 00 00 10 8D 00 00 20 8D 00 00 (8D00–7F00 导入名称表 函数名称地址 8D10–7F10 名称 dll名称
通过修改PE文件的方式导入DLL(包含详细操作流程)
fanxiaoyao1的博客
06-20 1721
我们需要修改IDT表,增加一条我们字节DLL文件的IID以达到导入的目的。在NT头下IMAGE_DATA_DIRECTORY_ARRAY结构体,找到导入表,导入表第一个参数的值便为IDT的RVA RVA是程序的相对虚拟地址,我们要想在文件中精确定位IDT,必须要把RVA转位RAW,在上图中也叫FOA(文件偏移,文件中某个位置距离文件头的偏移),具体的计算公式:84CCh属于.rdata节区,VirtualAddress 和PointerToRawData可从节区头中获取。 VirtualAddress 是指
改写PE文件导入加载DLL
03-18
需要注意的是,直接修改PE文件导入表是一项精细的工作,需要对PE文件结构有深入的理解,否则可能导致文件损坏或无法运行。此外,这种方法也可能违反法律,因此在实际操作时应确保遵循合法和道德的准则。
深入解析PE文件导入表与DLL加载技术
需要注意的是,修改PE文件导入表以加载DLL是一个高级的技术操作,通常只在特定的情况下进行,比如软件逆向工程、安全研究、恶意软件开发或软件补丁应用。在实际操作中,由于这样的修改可能会违反软件使用条款、...
关于PE可执行文件修改.rar_PE修改_pe_pe文件修改
09-23
在实际操作中,我们需要使用专用工具,如OllyDbg、PE Explorer、CFF Explorer等,它们提供了可视化界面和API接口来方便地查看和修改PE文件。同时,学习汇编语言和逆向工程知识对于深入理解PE修改至关重要。 总结...
PE文件资源修改工具包
09-03
它允许用户打开、查看、添加、删除和修改PE文件中的各种资源。例如,你可以通过Resource Hacker来更改一个应用程序的图标,替换其内部的字符串表,甚至调整对话框的布局。这个工具支持多种类型的资源,包括对话框、...
pe读取器 读取各项文件可以修改pe注入器
05-06
读取pe文件各部分信息。准确度和loader一样
原创易语言版_EXE分析器[PE解析]_可分析DLL函数_导入函数_分析软件三大头_移动表-易语言
06-11
原创易语言 版_EXE分析器[PE解析]_可分析DLL函数_导入函数_分析软件三大头_移动表 a.可分进程shuj: 1.进程列表 2.进程模块 模块名 模块句柄 模块基址 模块大小 模块路径 3.通过特征码扫描易语言的程序 b.移动EXE文件到分析器即可对这个软件进行分析         1.可以快速分析PE的一些信息 比如         当前选中程序路径:D:\Program Files (x86)\Tencent\WeChat\WeChat.exe         模块句柄:0x00400000         主模块地址:0x00400000         主模块大小:0x00005000         模块数量:74         内存镜像基址:0x00400000         内存镜像大小:0x00079000         节数量:6         所有头大小:1024 c.分析DOS头:         PE标志 标志PE头的地址 d.分析NT头 e.可以分析标准PE头         1.机器码         2.节的数量         3.PE文件的特征值         4.可选PE头的大小         5.符号的数量         ... f.分析可选PE头         1.机器型号         2.链接器版本         3.代码节的RVa         4.shuj节rva         5.内存中节对其和文件对其值         6.ImaeBase 镜像基址         7.SizeOfImage 整个程序在内存中占用的空间         8.所有头大小         9.程序入口点         ..... g.可以分析shuj目录地址         1.导入表         2.导出表         3.zy表         4.IAT表         5.绑定导入表         ...... j.可以分析节表         Name:  .text          [节名称]         VirtualSize[内存中大小(对齐前的长度)]         VirtualAddress[节区在内存中的偏移地址(RVA)]         SizeOfRawData[文件中大小(对齐后的长度)]         PointerToRawData [文件中偏移(OffSet)]         Characteristics[标志(块属性)] l.可以分析DLL软件到哪些函数,可以分析DLL导出了哪些函数 p.可以分析软件的重定位表 以及移动导出表操作,移动导入表操作,偏移转换器。
PE 通过导入表注入 Dll
多一份贡献,多一份环保
08-17 1111
导入表注入,当程序被加载时,系统会根据程序导入表信息来加载需要用到的dll导入表注入的原理就是修改程序的导入表,将自己的dll添加到程序的导入表中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
修改PE导入表注入DLL——实例图文教程——让你看的明明白白
最新发布
2403_87755661的博客
11-04 1389
其实通过修改PE导入表注入DLL的教程很多,本文也只是其中的沧海一粟而已,但既然写出来,自我感觉应该还是有一点自我的东西的,至少自认为做到了思路清晰,每步都有据可依,让看客应该能做到“看的明明白白”!本贴以《英雄无敌》1游戏程序为例子,向其添加一个DLL,调用其中的导出函数可以在施展回城术魔法时,让玩家可以选择到达具体的城堡。本文的最后效果与下文是一样的,只是处理手法不同而已![原创]修改PE入口点方式注入自己编写的DLL——《英雄无敌》1代小回城术修改成大回城术。
PE文件本地DLL注入实现
flukeshen的博客
10-25 2340
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
修改PE文件引入表实现加载DLL
威化饼的一隅
04-08 3472
文章目录内容简介DLL结构DLL的编译链接(VS命令行中)DLL加载使用的DLL源代码PE文件关键结构MZ头NT映像头可选头部引入表IDT、INT、IAT关系代码实现思路关键数据结构节表IDT项验证结果 内容简介 编写Func.dll,并编写一个EXE程序,该程序能够加载Func.dll,并调用Func.dll中的导出函数,在加载Func.dll的时候,会弹出计算器calc.exe。 使用PE...
软件安全之代码注入技术 向目标 PE 文件注入 DLL notepad lpk.dll 远程线程函数 提权函数 OpenProcess VirtualAllocEx
SKPrimin的博客
12-06 3595
实验 4 代码注入技术 引言 1、实验说明 代码注入是将用户代码注入到其他进程或者可执行文件中,实现拦截目标进程运行过程的关键信息、改变目标进程或可执行文件原本执行流程等目的 2、实验目的 本实验通过远程线程和输入表注入,向目标进程注入代码、向目标 PE 文件注入 DLL,以加深对代码注入技术的理解。 3、实验原理 课程第 6 讲代码注入技术 4、实验环境 Windows 7 系统、Visual Studio 6.0 及以上版本 5、实验内容 (1)远程线程注入 (2)利用 Detours 实现输入表注入
《逆向工程》通过修改PE注入DLL
Starr
08-01 1096
文章目录通过修改PE加载DLL修改导入表查看IDT空间是否足够移动IDT 通过修改PE加载DLL TextView是一个文本查看工具,将文本文件拖入即可显示。 代码如下,注意按照32位编译,否则PEView不能分析64位IDT。 #include "windows.h" #include "stdio.h" LRESULT CALLBACK WndProc(HWND, UINT, WPARAM,...
DLL注入-静态修改PE
m0_52164435的博客
03-14 924
首先要知道,我们要完成的操作是通过修改PE结构来完成注入dllPE中有关于模块导入的是输入表结构,而输入表是一个IID数组,那么想要将我们的dll导入到程序中就需要将一个我们构造的IID结构写入这个数组中,此时需要考虑我们新写入的IID结构大小,假设原IID大小为old,那么显然,由于只导入了一个函数,我们新的IID结构大小newIIDSize = Old+ sizeof(IMAGE_IMPORT_DESCRIPTOR)。将以上各值填入原IID位置,填写的时候需要注意字节序是小端序,填写结果如下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值