WdIg-2023的博客

我们自己写一个木马，病毒等东西，往外释放的时候，通常会随即名称，随机路径填进资源里：添加资源，导入，选择exe。

代码提取IAT表信息，IAT Hook

F9，进入程序领空，搜索所有用户模块的跨模块调用，F2下断点x64Dbg：F7单步步入，F8单步步过进内核的时候，通常会带一个参数（最基本的是系统服务号）SSDT表：系统描述符表系统服务号作用：在内核中的SSDT表中进行对照寻找，实际上就是SSDT的索引在SSDT中寻找对应的内核函数。

我们再上一章节简要介绍了IAT表，我们知道如果程序调用dll中的函数时，必须通过IAT表来找到函数，我们基本了解了IAT表之后，我们今天来讲解一下导入表，通过本章节的学习，我们可以了解导入表，也能对IAT表有一个更深入的了解。

如果我们讲函数写在程序的源文件中，那么该函数就会被编译器直接编译到程序的二进制文件中，在程序调用该函数的时候，E8后跟的地址是直接写死的，程序直接在exe文件中找到函数，也被称为直接寻址，因为程序可以直接从自生的二进制文件中找到函数。我们知道，exe在运行的时候，会有自己独立的4GB空间，exe贴到4GB空间的时候，基本上都能按照exe文件预定的位置贴上去，但是dll文件就不一样，它每次贴的位置可能都不一样，所以MessageBox函数的地址也不一样，那程序如何调用MessageBox函数呢？

前面章节我们了解了PE文件中的导出表和重定位表，今天我们来学习如何来移动导出表和重定位表。

这一章我们继续来了解数据目录，我们来了解数据目录的第6个结构：重定位表。在了解重定位表之前，我们先来了解进程4GB空间，这有助于我们理解为什么PE中需要重定位表。当我们双击一个exe程序时，操作系统会为它分配虚拟的4GB空间（注意这里是虚拟的4GB空间，不同于物理4GB空间，如果是真实的4GB空间的话，我们的机器运行不了几个程序就会挂掉）。那么操作系统是如何分配这4GB的空间的呢？我们来简单解析一下：首先我们给出一张图，帮助我们理解：

我们前面在学习PE文件结构的时候，在可选PE头里跳过了最后一项，为一个有16个元素结构体数组，我们称它为数据目录。今天我们来学习数据目录的第一个结构：导出表。

静态链接库，动态链接库

源码功能：在程序中新增一个节，并添加ShellCode。这里直接给出源码，供大家参考，自行理解遍会有更好的理解。

在之前的学习中，我们已经了解了在节空白区添加代码，但是有些情况节是没有空白区的，那么我们要怎么来添加我们的shellcode呢？我们可以通过新增节来添加shellcode：

我们了解PE结构就知道，节与节之间有一些空白区，那么我们能否在这些空白区添加自己的代码呢？答案是肯定的，我们来看看这一节课的内容：

RVA转FOA源代码，C语言逆向，滴水逆向，

作业要求我们在上一章已经说明了，还有不懂的可以去上一张看一下，这里直接给出源码，代码我们就不做解释了，自己写出来或着自己理解一遍或许对PE会有更好的理解。编写一个程序，实现从FileBuffer拉升到ImageBuffer再转回FileBuffer并且完成存盘：

我们知道从文件直接读取数据是将文件在硬盘中直接复制过来，计算机是不能直接执行的，如果要让程序执行，必须要有一个“拉伸”的过程，也就是课程中所说的ImageBuffer，但是ImageBuffer是不能直接执行的，但是它已经具备了执行的条件，再执行之前，要将ImageBuffer放入到程序独立的4GB运行空间中，这里给出FileBuffer与ImageBuffer的图：

C语言提取文件PE头部信息

内存中数据写入文件，PE文件结构，滴水逆向作业

在之前的学习中，我们了解了C语言指针和多级指针，函数指针，在学习到后面需要提取程序的PE文件结构时，我发现必须要用到C语言的文件读写函数，在这里我们来介绍一下C语言的文件读写函数。

隐藏代码到数据区，指针被称为C语言的灵魂，也是令许多初学者头疼的地方，在前一章节中我们讲解到了多级指针，从反汇编角度带大家了解了指针，如果对指针不是很熟悉的话，大家可以取看一看：http://t.csdn.cn/Qw5oi，这一章节来带大家了解函数指针，并且为大家介绍函数指针的一个利用：将代码隐藏到数据区。我们在正向开发的过程中如果设计了一个功能函数，并且不想他人轻易地通过反汇编来得到我们功能函数的代码，那么我们可以通过将代码隐藏到数据区，这是一种简单的“加密”方式。

指针被称为C语言的灵魂，可见指针在C语言中的地位，指针在逆向中也是极其重要的，在查找数据时也是一种非常重要的手段。许多初学者对于一级指针也是学习的一知半解，在这里带大家从反汇编角度了解指针。在这里我们使用的编译器是visual c++ 6.0。