移动导出表,重定位表,手动修复重定位表

原创 于 2024-04-04 21:00:33 发布 · 327 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #windows #操作系统

要写这几个函数会频繁用到FOA转VA

//文件里的偏移转化为内存偏移
DWORD FOAToVA(DWORD FOA, PVOID pFileBuffer) {
   
   
	PIMAGE_DOS_HEADER pDosHeader = pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
   
   
		printf("File is not PE\n");
		free(pFileBuffer);
		return FALSE;
	}
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader + pFileHeader->SizeOfOptionalHeader;
	if (FOA < pSecHeader->PointerToRawData) {
   
   
		return FOA + (DWORD)pFileBuffer;
	}
	for (size_t i = 0; i < pFileHeader->NumberOfSections; i++) {
   
   
		if (FOA >= pSecHeader->PointerToRawData && FOA < (pSecHeader->PointerToRawData + pSecHeader->SizeOfRawData)) {
   
   
			return pSecHeader->VirtualAddress + (FOA - pSecHeader->PointerToRawData);
		}
		pSecHeader++;
	}
	return 0;
}

//移动导出表
BOOL MoveExportTable(PVOID fileName,PVOID newFileName) {
   
   
	if (!IncreaseSection(fileName)) {
   
   
		printf("Increase section failed\n");
		return FALSE;
	}
	PVOID pFileBuffer = FileToFileBuffer(newFileName);
	//定位导出表
	PIMAGE_DOS_HEADER pDosHeader = pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
   
   
		printf("File is not PE\n");
		free(pFileBuffer);
		return FALSE;
	}
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER
最低0.47元/天 解锁文章
123qweqew
关注
VMP学习笔记之壳的重定位修复(五)
u014738665的博客
10-14 977
理论知识: 1、为什么需要重定位 因为特殊情况这块地址不给用了你要挪到另外一个地方,你本来是在哪里的挪到另外一个地方你还是在哪里 如下图所示: 小明在教室A是第一排,搬到教室B小明还是第一排 2、待修复数据如下: push 0xFACE0002 -------->修复后是:0 mov edi,0xFACE0003 -------->修复后是:新区段首地址VMcontext jmp dword ptr ds:[eax*4+0x474FCF] -------->修复后是:.
用x32/x64dbg脱DLL壳(IAT修复重定位表修复)
qq_41866334的博客
05-06 7171
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT,dump并fix pe文件即可. ...
PE_修正重定位表
qq_42363151的博客
09-25 419
PE
ELF修复重定位问题
weixin_33884611的博客
06-28 848
参考:Linux动态库原理(二)重定位https://blog.youkuaiyun.com/hudaliquan/article/details/50055523ELF文件格式(中文版)https://blog.youkuaiyun.com/yayong/article/details/178160通过GDB调试理解GOT/PLThttps://blog.youkuaiyun.com/qq_32400847/article/det...
2.10 PE结构:重建重定位表结构
优快云
09-09 5749
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被加载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
PE之移动导出
windows小菜鸡的博客
08-18 742
1、移动各种的目的 (1)在程序启动时,系统会根据导入导出等进行初始化工作。为了保护程序,一般会对exe程序的二进制进行加密等工作,但是一旦将这些也进行了加密,那么系统在初始化的时候没办法找到这些,也无法启动程序。 (2)在对程序加密之前,需要对一些关键的进行移动后,再对原来的数据进行加密,这样才不能破坏原来的程序。 (3)学会移动各种,是对程序加密/破解的基础。 2、如何移动导出 上一篇文章,提到了如何对导出进行解析,导出的结构如图下。 导出的位置是在可选PE头的第一项,如图,我们可
dll重定位内存注入
WorryFree
09-13 1357
内存注入,dll注入,重定位注入,手动加载PE
Orb:支持拖拽与导出的JavaScript数据透视
从标题“Orb:数据透视 javascript 库”可以看出,该工具的核心定位是一个用于生成和管理数据透视的客户端 JavaScript 解决方案,适用于需要对大量结构化数据进行实时聚合、筛选、排序与可视化的应用场景。...
构建可重定位固件镜像:PIE支持在Linker Script中的实现路径(跨平台移植必备)
![链接脚本基础与嵌入式应用案例]...# 1. 可重定位固件与PIE技术概述 在嵌入式系统与安全固件设计中,可重定位固件通过位置无关执行(Position-Independent Execution, PIE
obsidium 重定位
zcc1414的专栏
08-30 552
一般  VC  VB  没有重定位表
输出重定位表的重建
08-18
利用这个,如果特征码定位到了输出重定位表上的时候,你重建就能达到免杀的目的
重定位表添加/删除工具
05-14
自己写的用于重定位表的添加/编辑/删除工具
call x86 优化 重定位_关于脱壳后重定位修复 自己写了个半成品工具
weixin_42501331的博客
03-03 158
[/align][align=left]BYTE actionCode[][2] = {/*------------EAX------------------------------*/{ 0x2B, 0x05 },//sub eax,dword ptr ds:[0x3107B0]{ 0x29, 0x05 },//sub dword ptr ds:[0x3107B0],eax{ 0x2A, 0x0...
关于内存加载DLL后修复重定位的问题
IT男也疯狂
05-27 2507
看网上的代码好累,摸索整理了一下,顺便巩固下PE 首先介绍下PE头,分为2个部分 1、DOS头 (IMAGE_DOS_HEADER) typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // ASCII字符MZ  WORD e_c
手工脱壳之 UPX 【随机基址】【模拟UPX部分算法】【手工C++重建重定位表
aihan8042的博客
03-20 547
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,010Editor UPX壳 3.94: 有了上篇ASPack壳的经验,先查看数据目录: 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口: 通...
重定位表,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2967
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位表重定位的是哪些信息,第二个,IAT修复跟重定位有什么关系。 通俗的说,重定位表里面记录的就是写死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位表进行重定位。 IAT修复和重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
滴水逆向三期实践15:根据重定位表修正地址
Rivival_S 的博客
10-28 3111
占坑
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 599
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000时,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位表 重定位表修复 重定位修复 重定位的修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址加上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
重定位的原理&实现
xuplus的专栏
04-15 8139
重定位  病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值