移动导出表

最新推荐文章于 2024-07-15 21:01:41 发布
原创 最新推荐文章于 2024-07-15 21:01:41 发布
· 337 阅读 · 2 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了移动导出表的技术实现,包括添加节、RVA与FOA转化、导出表操作等步骤。首先,通过fopen()和fclose()函数处理文件流,接着详细阐述了RVA到FOA及反之的转化过程。然后,详细说明了如何添加新的节,以及移动导出表的具体步骤,涉及到函数地址和名称的更新。最后,提到了相关代码实现和实验对比。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

移动导出表:

思路:

添加节之后新建一个句柄用来重新安排结构情况,然后将的句柄的内容写入读入的数据流中。

前期知识:

fopen()和 fclose()

两个函数都是文件操作函数,对数据流进行操作
fopen将文件读入一个文件流,文件流就是文件原本的形式。
fclose()将文件流关闭。
fwrite():fwrite(NewBuffer,pOptionalHeader->SizeOfImage,1,fp);
可以直接将内存写入数据流中

RVA 和 FOA的转化:

FOA->RVA:修改新的导出表的AddressOfFunctions、AddressOfNameOrdinals、AddressOfNames地址,需要转化成RVA
RVA->FOA:定位导出地址表、导出名称表、导出序号表需要将内容转化成FOA

添加节:

1.判断节表空间是否够2个节表的长度(最后一个节表需要全部为0)
2.对节表进行赋值
3.FileHeader的节区数量+1
4.OptionalHeader的ImageBase的大小+0x1000

移动导出表:

1.申请一个新的内存NewBuffer,将原来内存复制。
2.定位三个表的位置(需要RVA -> FOA)
3.复制三个表的内容到新的句柄
4.复制函数名称(每复制一个函数名就要计算偏移RVA添加到函数名称表的地址中)
5.复制IMAGE_EXPORT_DIRECTORY结构体
6.修改新的导出表的AddressOfFunctions、AddressOfNameOrdinals、AddressOfNames地址
7.修改VirtualAddress值,指向新的导出表地址
8.读取文件,将修改后的新的句柄写入文件流中

代码

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer)
{
   
    DWORD FOA = NULL;
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeaders = NULL;
    PIMAGE_FILE_HEADER pFileHeader = NULL;
    PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
    pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeaders + 4);
    pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
    pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
    if(RVA <= pOptionalHeader->SizeOfHeaders)
        return RVA;
    for(;RVA >(pSectionHeader->Misc.VirtualSize  + pSectionHeader->VirtualAddress);pSectionHeader++);//定位到所在的节
    FOA = RVA - pSectionHeader->VirtualAddress + pSectionHeader->PointerToRawData;
    return FOA;
}
DWORD FOATORVA(DWORD FOA,LPVOID pFileBuffer)
{
   
    DWORD RVA = NULL;
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeaders = NULL;
    PIMAGE_FILE_HEADER pFileHeader = NULL;
    PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
    pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeaders + 4);
    pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
    pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
    if(FOA <= pOptionalHeader->SizeOfHeaders)
        return RVA;
    for
最低0.47元/天 解锁文章
TD.Jia
关注
PE之移动导出
windows小菜鸡的博客
08-18 722
1、移动各种的目的 (1)在程序启动时,系统会根据导入导出等进行初始化工作。为了保护程序,一般会对exe程序的二进制进行加密等工作,但是一旦将这些也进行了加密,那么系统在初始化的时候没办法找到这些,也无法启动程序。 (2)在对程序加密之前,需要对一些关键的进行移动后,再对原来的数据进行加密,这样才不能破坏原来的程序。 (3)学会移动各种,是对程序加密/破解的基础。 2、如何移动导出 上一篇文章,提到了如何对导出进行解析,导出的结构如图下。 导出的位置是在可选PE头的第一项,如图,我们可
移动导出新增
hambaga的博客
05-20 540
一、为什么要移动导出 移动导出是指将导出以及其内部的三张子移动新增,这个操作是软件加密的第一步。因为软件加密会把进行加密,而数据目录是在里的,加密后操作系统不认识了,因此我们要把数据目录里面的东西移动到一个新的里。 二、怎么移动 上图是导出的结构,移动导出的步骤,我个人的做法分为以下几步: 计算新增的大小,必须能放下导出,3张子,所有按名字导出的函数名; 新增一个,并设置其属性为可读,含已初始化数据; 原封不动地拷贝3张子新增; 遍历 AddressOfNames,计
滴水逆向三期实践13:移动导出
Rivival_S 的博客
10-28 1329
为什么要移动各种? 1、这些是编译器生成的,里面存储了非常重要的信息。 2、在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到 IAT 中(IAT后面会讲) 3、为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 我们知道数据目录的各种是存在各个里的,而exe的代码的信息也是在里,与客户字的代码和数据都混在一起了,如果进行加密(加壳),那系统在初始化的时候会出问题! 综上,学会移动各种,是对程序加密/破解的基础。 移动
pE文件操作--移动导出
qq_31125257的博客
12-28 829
一、什么是导出? 先回顾一下导出的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子;其中地址存储的是导出的函数地址,名称存储的是以名字导出的函数的函数名的RVA,序号存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种? 这些是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些做初始化的工作,如将用到的DLL中的函数地址存储到IAT; 为了
导出导出导出导出导出导出导出导出导出导出
01-02
2. **导出的目的**:导出的主要目的是方便数据的移动和交换,这可能是为了备份数据以防意外丢失,或者是为了在不支持直接数据库连接的应用程序中使用数据,比如在统计分析软件中进行更复杂的数据处理。 3. **导出...
Oracle导出除忽略以外的其他
01-11
"Oracle导出除忽略以外的其他"这个任务涉及到Oracle的Data Pump工具,它提供了高效的数据导入和导出功能。在本篇中,我们将详细探讨如何使用Oracle Data Pump(expdp)来实现这一目标。 1. **Oracle Data Pump...
PE结构->【导出】工具包
06-22
在PE文件中,导出是一个非常重要的组成部分,它定义了该文件可以提供给其他模块调用的函数或数据。本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address ...
移动导出和重定位
qq_41232519的博客
09-06 489
文章目录一、移动导出二、移动重定位 一、移动导出 第一步:在DLL中新增一个,并返回新增后的FOA 第二步:复制AddressOfFunctions 长度:4*NumberOfFunctions 第三步:复制AddressOfNameOrdinals 长度:NumberOfNames*2 第四步:复制AddressOfNames 长度:NumberOfNames*4 第五步:复制所有的函数名 长度不确定,复制时直接修复AddressOfNames
PE文件之移动导出(自学笔记)
Sanshul的博客
12-22 413
PE文件之移动导出(自学笔记)
移动导出移动重定位【滴水逆向三期51笔记+作业源码】
WdIg-2023的博客
03-28 519
前面章我们了解了PE文件中的导出和重定位,今天我们来学习如何来移动导出和重定位
滴水逆向——PE移动导出
sunr.
04-13 968
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到IAT中. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种的信息与客户字的代码和数据都混在一起了,如果进行加密,那系统...
PE文件(九)移动导出和重定位
最新发布
2301_78838647的博客
07-15 1080
默认情况下.DLL的ImageBase为0x10000000,所以如果一个程序要用的DLL没有合理的修改分配装载起始地址,就可能出现多个DLL的ImageBase都是同一个地址,造成装载冲突。如果只移动函数名称的话,对剩下的数据加密后,当需要根据函数名去调用导出函数时,由于字符串被加密,只能根据函数名称查到名称字符串所在地址,但是无法匹配字符串。6.修改导出中的成员值,指向三个子在新中的位置,由于各个子导出的地址数据是RVA,因此需要将FOA转成RVA。
PE目录项之导出(解析、移动
qq_35289660的博客
06-23 1874
PE目录项之导出 文章目录PE目录项之导出0.说明1.简述导出a.位置b.导出的结构c.导出的工作方式① 根据函数名导出② 根据序号导出函数③ 总结2.解析导出a.注意要点b.源代码3.移动导出所有结构到新建的区a.移动导出的原因b.大概流程c.注意事项d.源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流或询问????^ __ ^ 有不懂的直接留言,我必回!???????? 1.简述导出 导出,顾名思义就是要导出
手工解析PE(将导出移动新增中)
GNAIXGNAHZ的博客
06-30 338
手工解析PE(将导出移动新增中)
【练习】数据移动---parfile导出中指定行:
weixin_30906185的博客
12-16 105
要求: ①创建存放数据的文件; ②使用默认的bad文件生成方式; ③使用truncate选项方式。 1.准备条件: [oracle@host03 ~]$ mkdir datadump [oracle@host03 ~]$ ls base.ctl base_data.bad base_data.dat base.log datadump [oracle@host03 ~]...
移动导出-重定位(滴水)
若面朝大海边竹妮春暖花开的博客
05-02 558
PE文件的各种示编译器生成的,里面存储了非常重要的信息 在程序启动的时候,系统会根据这些做初始化的工作 当要对程序进行加密时,需要将这些移到自己创建的里,不然程序运行不起来 ...
Android开发导出移动Excel格技巧
具体步骤可能包括创建Excel文档,设置工作(Sheet),并填充数据。在Android中,我们不能直接使用Excel应用程序接口,但可以通过jxl.jar或Apache POI这样的Java库来创建和操作Excel文件。导出完成后,需要将文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值