逆向工程核心原理之通过修改PE加载DLL

最新推荐文章于 2025-06-21 13:43:37 发布
原创 最新推荐文章于 2025-06-21 13:43:37 发布 · 803 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向工程核心原理 #修改PE加载DLL

本文详细介绍了如何通过逆向工程技术修改PE文件的导入表(IDT),为TextView.exe添加myhack3.dll。首先,检查IDT空间,找到可扩展区域,接着创建新的IDT,并将原IDT内容复制到新位置。然后,更新导入表的RVA和Size,插入myhack3.dll的相关信息。最后,调整.rdata节区属性以确保加载时的可写性,确保PE加载器能正确处理IAT。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.1       给TextView.exe添加myhack3.dll

1.1.1       查看IDT是否有地方再加一个dll

查看IDT,发现没有地方再添加一个dll了,需要移动IDT到更大的地方。

在文件中找一个空白的区域,将IDT移动过去。.rdata区域,从0x8C60后就是NULL了。但是,填充着NULL不一定意味着该区域是空白可用区域,因此要确定该区域是否为空白可用区域。

内存中节区起始偏移是0x6000,大小为0x2C56,也就是被使用的是0x6000-0x8C56,之后的区域是没有被使用的,是空白可用区域。我们选择的0x8C60之后的区域是可以被使用的。

1.1.2       创建新的IDT

将IMAGE_OPTIONAL_HEADER中农IMPORT Table的RVA和Size修改成0x8C80和0x78


删除绑定导入表(将其值设置为0即可)。

将原IDT复制到新的IDT位置(RVA:8C80,RAW:7E80)

76cc-772f

最低0.47元/天 解锁文章

200万优质内容无限畅学
通过修改PE加载DLL
Mi1k7ea
06-24 3950
基本概念除了DLL动态注入技术外,还可以通过手工修改PE文件的方式来加载DLL,这种方式只要应用过一次之后,每当进程开始运行时便会自动加载指定的DLL。整体思路如下:1、查看IDT是否有充足的空间,若无则移动IDT至其他位置,若有则直接添加至列表末尾;2、若无,修改OPTIONAL头IMPORT TABLE的RVA值并增大Size值,删除绑定导入表BOUND IMPORT Table,复制原IAT...
逆向工程核心原理 Chapter24 | DLL卸载
ULGANOY的博客
09-03 1178
逆向工程核心原理第24章学习记录
改写PE文件导入表加载DLL
03-18
通过改写PE文件的导入段,实现DLL加载PE文件的导入段记录了系统所要加载DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
使用Reflector进行DLL文件的代码反编译指南
最新发布
weixin_35756637的博客
06-21 868
代码反编译技术是将编译后的程序代码还原为更易读的源代码的过程。这项技术广泛用于软件维护、学习和安全领域。尽管其应用有诸多益处,但同样伴随着法律和道德的限制。本章将为读者介绍反编译技术的基础知识,为理解后续章节内容打下基础。在IT行业中,反编译技术并非新概念,但在日常开发工作中,多数开发者可能对其了解不多。本章将简要介绍反编译技术的应用场景,重点探讨其基本原理和潜在价值。- 应用场景一:软件维护和升级。
第四课 通过修改PE加载DLL
xuenixiang.com
08-05 2283
下面通过实例来讲解 下面分析myhack3.dll的源码 首先看一下全部源码 #include "stdio.h" #include "windows.h" #include "shlobj.h" #include "Wininet.h" #include "tchar.h" #pragma comment(lib, "Wininet.lib"
逆向工程》通过修改PE注入DLL
Starr
08-01 1129
文章目录通过修改PE加载DLL修改导入表查看IDT空间是否足够移动IDT 通过修改PE加载DLL TextView是一个文本查看工具,将文本文件拖入即可显示。 代码如下,注意按照32位编译,否则PEView不能分析64位IDT。 #include "windows.h" #include "stdio.h" LRESULT CALLBACK WndProc(HWND, UINT, WPARAM,...
逆向工程dll注入基础
Starr
08-01 993
第三部分-dll注入-上 文章目录第三部分-dll注入-上21. windows消息钩取21.2 消息钩子21.3 SetWindowsHookEx21.5.1 调试23. dll注入CreateRemoteThread()AppInit_DLLsSetWindowsHookEx24. dll卸载原理实现 21. windows消息钩取 偷看或操作信息的行为就是钩取(hooking),其中最基本的...
逆向工程核心原理》学习笔记7 UPack加壳
EloflyS的博客
03-01 1426
逆向工程核心原理》学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
PE格式: 新建节并插入DLL
优快云
07-26 5659
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
PE读取加载DLL
03-25
直接在内存中加载dll , 自己用PE实现 LoadLibrary
LoadPE工具(修改了可正常运行).rar
02-19
LoadPE工具(修改了可正常运行)."_"
PE 通过导入表注入 Dll
多一份贡献,多一份环保
08-17 1145
导入表注入,当程序被加载时,系统会根据程序导入表信息来加载需要用到的dll,导入表注入的原理就是修改程序的导入表,将自己的dll添加到程序的导入表中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
2-PE文件加载过程详解(DLL内存加载及代码示例)
weixin_40332490的博客
01-05 1240
PE文件加载过程之DLL内存加载
逆向工程-PE文件结构
阿Q在行走
02-06 340
pe通常由以下几部分组成,DOS文件、标准PE头、可选头、节表和相应的节。 DOS文件头: _IMAGE_DOS_HEADER{ WORD e_magic; //MZ标记*,用于判断是否为可执行文件1 WORD e_cblp; //bytes on last page WORD e_cp; //pages of file WORD e_crlc; //relocations W...
DLL系列------编程实现感染PE文件加载DLL
ebxds的专栏
12-13 3150
编程实现感染PE文件加载DLL 这篇文章是在网上看到的,貌似我找不到原文了。但是网上的排版非常乱,而且觉得此篇此篇文章对学习pe文件有很大帮助。 首先发张图让大家对PE文件有个整体认识 PE文件是Windows系统可执行文件采用的普遍格式,像我们平时接触的EXE、DLL、OCX,甚至SYS文件都是属于PE文件的范畴。很多Win32病毒都是基于感染PE文件来进行
修改PE文件引入表实现加载DLL
威化饼的一隅
04-08 3620
文章目录内容简介DLL结构DLL的编译链接(VS命令行中)DLL加载使用的DLL源代码PE文件关键结构MZ头NT映像头可选头部引入表IDT、INT、IAT关系代码实现思路关键数据结构节表IDT项验证结果 内容简介 编写Func.dll,并编写一个EXE程序,该程序能够加载Func.dll,并调用Func.dll中的导出函数,在加载Func.dll的时候,会弹出计算器calc.exe。 使用PE...
DLL隐藏和逆向
m0_75243362的博客
11-08 2566
DLL注入新手详解示例
逆向工程实验一 PE头及导入表应用
zzzfff__的博客
11-17 1402
熟悉PE文件格式,通过对PE文件头分析,理解PE文件格式,掌握主要数据结构的定位及其功能,如入口点、节表、节、导入表等。研究如何利用工具对各部分的内容进行读取分析显示,理解RVA、VA、FOA之间的关系;初步掌握汇编程序的调试方法。
内存加载PE文件工具:PE加载
- **代码保护**:在某些情况下,PE加载器可能需要对加载的代码进行保护,防止调试和逆向工程。 - **动态加载**:动态加载DLL文件,并提供函数指针的获取,使程序能够调用动态链接库中的函数。 - **代码修改**:在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值