PE第四节:解决随机基址或是函数随机地址问题-2

最新推荐文章于 2023-04-14 13:45:08 发布
原创 最新推荐文章于 2023-04-14 13:45:08 发布 · 813 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了解决随机基址及函数随机地址问题的两种方法:一是修改入口点函数,采用相对地址偏移;二是利用重定位表进行地址调整。通过具体示例解析了重定位表的工作原理。

解决随机基址或是函数随机地址问题,可以有两种方法。

1.修改入口点函数,根据相对地址偏移的方法。

2:重定位表的内容:

pRelocationDirectory_RVA:3cc000
pRelocationDirectory_FOA:3a3000
VirtualAddress    :00001000
SizeOfBlock       :000000D8
================= BlockData Start ======================
第[0001]项  数据项的数据为:[0006]  数据属性为:[3]  RVA的地址为:[00001006]  重定位的数据:[68264000]
第[0002]项  数据项的数据为:[0030]  数据属性为:[3]  RVA的地址为:[00001030]  重定位的数据:[6826400C]
第[0003]项  数据项的数据为:[0044]  数据属性为:[3]  RVA的地址为:[00001044]  重定位的数据:[6826400C]
第[0004]项  数据项的数据为:[0059]  数据属性为:[3]  RVA的地址为:[00001059]  重定位的数据:[68289210]

表数据说明: 每个重定位数据由两个字节组成,高4位表示的是重定位的类型,低12位标识的是需要修改偏移的地址。 高4位是3表示的是需要重定位。

例如,第[0001]项 数据项的数据为:[0006] 数据属性为:[3] RVA的地址为:[00001006] 重定位的数据:[68264000];

RVA里面的地址1006的数据内容是68264000,相当于注册在重定位表里面,dll加载时会自动修改68264000的基址地址。

demo程序下载路径:

https://download.youkuaiyun.com/download/onlyfunboy/19515908

Windows下ASLR机制(地址随机化)- 概念、PE操作、VS相关选项
bcbobo21cn的专栏
03-22 3463
1 ASLR机制 Address Space Layout Randomization=地址空间布局随机化; 是一种针对缓冲区溢出的安全保护技术; 没有ASLR时,每次进程执行,加载到内容中,代码所处堆栈stack的位置都是相同的,容易被破解; 如果开启了ASLR,操作系统加载器会针对基地址再去加上一个随机生成的偏移地址,然后再去加载程序模块,通过对堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度。 地址随机化需要程序自身和操作系统的双重支持...
绕过PE文件地址随机
11-21
通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化,方便逆向时地址的分析
PE格式解析-重定位表分析
走在成长的路上
12-28 1266
PE格式中的重定位表进行分析
PE文件结构(五)基址重定位
billvsme的专栏
10-07 6891
参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 基址重定位 链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo
PE文件关闭随机基址
qq_29176323的博客
04-11 767
1.使用010Editor打开exe或者dll文件 dll不建议关闭随机基址,否则多个dll可能会冲突 2. 找到下图的WORD字段 将IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE改成0即可
x64去动态基址pe32+去随机基址
weixin_33898876的博客
09-30 786
2019独角兽企业重金招聘Python工程师标准>>> ...
windows内存保护机制之地址空间分配随机化技术.doc
07-07
《Windows内存保护机制:地址空间分配随机化技术详解》 在当今信息化社会,计算机系统安全性的重要性日益凸显。作为全球广泛使用的操作系统,Windows的安全机制扮演着至关重要的角色。其中,地址空间分配随机化...
PE文件节区添加并实现对话框弹出
第四步,扩展节表项,新增一条节区描述符(IMAGE_SECTION_HEADER),设置名称(如“.newsec”)、虚拟大小、虚拟地址(按SectionAlignment对齐)、原始大小、原始偏移、标志位(如可读、可写、可执行)等属性;...
写一个PE的壳_Part 1:加载PE文件到内存
可乐松子的博客
05-25 1413
前面都是PE的零散的知识,可以通过给PE文件写一个壳将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE加壳和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式和脱壳很有帮助 下面是结合自己的实践写的笔记,不是教程的原版翻译 教程主要实现的壳的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
写一个PE的壳_Part 4:修复对ASLR支持+lief构建新PE
可乐松子的博客
05-27 898
文章目录1.解决思路step 1:当前现状step 2解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2:ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位表,因此无法产生可移动的二进制文件;Part 4中要处理MinGW生成的可执行文件(不能移动的,即不支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
PE文件揭秘】:深入理解Windows可执行文件的内部结构
![【PE文件揭秘】:深入理解Windows可执行文件的内部结构]...PE(Portable Executable)文件格式是Windows操作系统中广泛使用的一种可执行文件结构,它包含了程序的代码、数据以
去掉PE文件随机基址的方法
weixin_30448603的博客
07-10 1844
用010Editer打开点击下面箭头所指的NtHeader然后在上方变蓝的数据块内找到4081,然后修改为0081即可(懂得PE文件的朋友可以也可以一层一层自己找到这个字段,就是WORD IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE这个字段 ,把值1改为0即可。 未修改之前: OD加载的地址如图所示: IDA加载如图所示: 修改之后: OD加载的...
bypass 随机基址
weixin_45012273的博客
02-18 303
//有漏洞 并且开启了随机基址的程序 溢出点VerifyPassword返回地址 #include<windows.h> #include<tchar.h> #include <iostream> #define PASSWORD "1234" void* VerifyPassword(byte* pRet, void* pszPassword, int nSize) { char szBuffer[50] = { 0 }; *pRet = strcmp.
手工脱壳之AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 1305
一、工具及壳介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack壳特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编...
手工脱壳之 UPX 【随机基址】【模拟UPX部分算法】【手工C++重建重定位表】
aihan8042的博客
03-20 564
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,010Editor UPX壳 3.94: 有了上篇ASPack壳的经验,先查看数据目录表: 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口: 通...
Delphi_检查exe文件是否是"随机基址"
weixin_33786077的博客
06-12 161
ZC: cnpack 还是蛮好用的 1、代码: procedure TForm1.btnRandomizedBaseAddressClick(Sender: TObject); var pDosHdr :PImageDosHeader; pNtHdrs :PImageNtHeaders; pNtFileHdr :PImageFileHeader; ms...
程序基址随机化的处理
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-14 1037
由Daniel Pistelli创建的一套免费工具,包括一个名为CFF Explorer的PE编辑器和一个进程查看器。PE编辑器完全支持PE32/64。特殊字段的描述和修改(。NET支持),实用程序,重建器,十六进制编辑器,导入加器,签名扫描器,签名管理器,扩展支持,脚本,反汇编程序,依赖行走器等。net内部结构的PE编辑器。资源编辑器(支持Windows Vista图标)能够处理. net清单资源。什么是基址随机化,就是每次用OD和IDA打开的地址都不一样。右侧选择Option Headers。
去除程序的基址随机
weixin_53349587的博客
01-02 1421
一个程序用IDA或OD打开时,发现每次打开的地址都是不一样的: 类似这种地址,这种叫基址随机化,可以通过CFF Explorer进行去除基址随机化。 解决方案: 1.打开CFF Explorer,将要修改的程序拖进去: 2.点击Optional Header,找到DllCharacteristics,然后再点击右边的Click here: 把第一个DLL can move取消,然后点击OK,重新保存文件即可去除基址随机化。 ...
【LinuxC】GCC编译C程序,关闭随机基址
weixin_30500105的博客
05-22 804
1、编译、链接和运行程序 C代码示例: #include <stdio.h> #include <stdlib.h> int main() { printf("hello world!\n"); exit(0); } 编译运行参数如下: [root@localhost Desktop]# gcc -o hello hello.c [root...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值