移动重定位表和模拟windows重定位过程

最新推荐文章于 2024-07-15 21:01:41 发布
最新推荐文章于 2024-07-15 21:01:41 发布
阅读量431 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43990313/article/details/107466476
版权
本文探讨了移动重定位表的过程,与移动导出表相比较为简单,主要涉及重定位表内容的复制。同时,文章还介绍了如何模拟Windows的重定位操作,通过设定系统偏移调整ImageBase来实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

移动重定位表

思路

大体上和移动导出表相同,相比而言简单一些,不用寻址三个表。直接复制重定位表的内容即可。可以参照我写的移动导出表的那一篇博文。

代码

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer)
{
   
    DWORD FOA = NULL;
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeaders = NULL;
    PIMAGE_FILE_HEADER pFileHeader = NULL;
    PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
    pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeaders + 4);
    pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
    pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
    if(RVA <= pOptionalHeader->SizeOfHeaders)
        return RVA;
    for(;RVA >(pSectionHeader->Misc.VirtualSize  + pSectionHeader->VirtualAddress);pSectionHeader++);//定位到所在的节
    FOA = RVA - pSectionHeader->VirtualAddress + pSectionHeader->PointerToRawData;
    return FOA;
}
DWORD FOATORVA(DWORD FOA,LPVOID pFileBuffer)
{
   
    DWORD RVA = NULL;
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeaders = NULL;
    PIMAGE_FILE_HEADER pFileHeader = NULL;
    PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
    pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeaders + 4);
    pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
    pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
    if(FOA <= pOptionalHeader->SizeOfHeaders)
        return RVA;
    for(;FOA>(pSectionHeader->SizeOfRawData + pSectionHeader->PointerToRawData);pSectionHeader++);//定位到所在的节
    RVA = FOA - pSectionHeader->PointerToRawData + pSectionHeader->VirtualAddress;
    return RVA;

}


LPVOID ReadPEFile(LPSTR lpszFile)//读取文件
{
   
    FILE *pFile = NULL;//文件流
    DWORD fileSize = 0;//文件大小
    LPVOID pFileBuffer = NULL;//文件存储的缓冲区

    //打开文件
    pFile  = fopen(lpszFile,"rb");
    if(!pFile)
    {
   
        printf("无法打开exe文件!");
        return NULL;
    }
    //读取文件的大小
    //SEEK_SET: 文件开头SEEK_CUR: 当前位置;SEEK_END: 文件结尾
    fseek(pFile,0L,SEEK_END);//fseek用于得到文件位置指针当前位置相对于文件首的偏移字节数
    fileSize = ftell(pFile);
    fseek(pFile,0L,SEEK_SET);
    //分配缓冲区 pFileBuffer缓冲区的
    pFileBuffer = malloc(fileSize);
    if(!pFileBuffer)
    {
   
        printf("分配文件失败!");
        fclose(pFil
最低0.47元/天 解锁文章
TD.Jia
关注
滴水逆向——移动重定位表
sunr.
04-14 593
1.移动要点: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 #...
移动重定位表到新增节
hambaga的博客
05-20 398
一、为什么要移动重定位表 数据目录中的表是分散在各个节里的,如果对节进行加密,操作系统找不到表,就无法加载程序。因此加密前要先把表移动到新的节里。 二、怎么移动 计算重定位表的大小,首先要遍历重定位表,累加 SizeOfBlock,然后新增一个节,大小是表的大小文件对齐。最后把表复制到新增节的开头,然后更新数据目录的VirtualAddress指向新的重定位表。 三、代码 // 移动重定位表到新增节,返回新缓冲区的大小 DWORD MoveRelocationTableToNewSection(LPVOID
PE_移动重定位表
qq_42363151的博客
09-25 138
PE
PE目录项之重定位表(解析、移动模拟运作)
qq_35289660的博客
07-03 1886
PE目录项之重定位表(解析、移动模拟运作) 文章目录PE目录项之重定位表(解析、移动模拟运作)0.说明1.解析重定位表(1)作用(2)详解2.移动重定位表到新建节区3.模拟重定位表工作(1)重定位表的工作(2)模拟它工作4.C源代码(1)解析重定位表(2)移动重定位表(3)模拟重定位表工作 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水逆向视频总结(部分截图来自于滴水课件) 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:124588
滴水逆向三期实践14:移动重定位表
Rivival_S 的博客
10-28 766
重定位表移动相比导出表就简单太多了,因为重定位表相当于只有一个大表。统计一下这个“大表”的大小,全部移动到新节就行了。因为是使用下一块 VirtualAddress SizeOfBlock是否全0来判断重定位表是否结束的,所以拷贝的时候也把这8字节的全0内容也加上一起拷贝进新节。 最后修改数据目录中的 VirtualAddress指向新节 RVA 即可。 代码有详细注释 #include "Currency.h" #include "windows.h" #include "st...
移动导出表-重定位表(滴水)
若面朝大海边竹妮春暖花开的博客
05-02 558
PE文件的各种表示编译器生成的,里面存储了非常重要的信息 在程序启动的时候,系统会根据这些表做初始化的工作 当要对程序进行加密时,需要将这些表移到自己创建的节里,不然程序运行不起来 ...
MCL.rar_MCL节点定位_传感器 移动_移动节点_节点定位_节点移动
07-14
MCL算法通过不断模拟粒子(代表可能的节点位置)的运动重采样过程,逐渐逼近真实位置。 1. **算法流程**: - **初始化**:在可能的区域中随机分布粒子,每个粒子代表一个节点位置的假设。 - **预测**:根据节点...
第八章重定位[收集].pdf
10-12
- 在手动重定位过程中,用户可以更加精细地控制板材的移动方向距离,以满足特定的加工需求。 #### 三、重定位过程详解 以“第八章重定位[收集].pdf”中的部分内容为例,我们可以详细了解重定位的具体步骤: 1. ...
基于可重定位分区分配算法的内存管理的设计与实现-课程设计报告.docx
最新发布
05-17
本课程设计报告详细介绍了基于可重定位分区分配算法的内存管理设计与实现,旨在帮助学习者深入理解操作系统中内存连续分配方式的不同算法,并通过实际编程模拟操作系统内存分配算法的实现。课程设计的核心内容涵盖了...
fzsl.rar_omnet 定位_传感器 移动
09-19
无线传感器网络(Wireless Sensor Networks, WSN)在近年来得到了广泛的研究应用,其核心任务之一是移动节点的定位定位技术对于环境监测、目标追踪、灾难救援等领域至关重要。本文将详细探讨一种在OMNeT++仿真...
【机器人】语义地图构建、定位导航、三维重构、重定位、动态物体识别、移动避障、手势识别、人脸识别、语音合成与识别等功能.zip
01-04
在现代机器人技术的研究应用领域中,语义地图构建、定位导航、三维重构、重定位、动态物体识别、移动避障、手势识别、人脸识别、语音合成与识别等功能是极为关键的技术模块。它们共同构成了智能机器人感知环境、...
输出表重定位表的重建
08-18
利用这个,如果特征码定位到了输出表重定位表上的时候,你重建就能达到免杀的目的
移动导出表-重定位表
lygl35的博客
02-27 207
移动导出表重定位表
qq_41232519的博客
09-06 489
文章目录一、移动导出表二、移动重定位表 一、移动导出表 第一步:在DLL中新增一个节,并返回新增后的FOA 第二步:复制AddressOfFunctions 长度:4*NumberOfFunctions 第三步:复制AddressOfNameOrdinals 长度:NumberOfNames*2 第四步:复制AddressOfNames 长度:NumberOfNames*4 第五步:复制所有的函数名 长度不确定,复制时直接修复AddressOfNames
移动导出表,移动重定位表【滴水逆向三期51笔记+作业源码】
WdIg-2023的博客
03-28 519
前面章节我们了解了PE文件中的导出表重定位表,今天我们来学习如何来移动导出表重定位表
PE文件(九)移动导出表重定位表
2301_78838647的博客
07-15 1080
默认情况下.DLL的ImageBase为0x10000000,所以如果一个程序要用的DLL没有合理的修改分配装载起始地址,就可能出现多个DLL的ImageBase都是同一个地址,造成装载冲突。如果只移动函数名称表的话,对剩下的数据加密后,当需要根据函数名去调用导出函数时,由于字符串被加密,只能根据函数名称表查到名称字符串所在地址,但是无法匹配字符串。6.修改导出表中的成员值,指向三个子表在新节中的位置,由于各个子表在导出表的地址数据是RVA,因此需要将FOA转成RVA。
手工解析PE(将重定位表移动到新增节中)
GNAIXGNAHZ的博客
07-03 302
手工解析PE(将重定位表移动到新增节中)
WIN32 PE结构 重定位表
whl0071的专栏
02-25 272
什么是重定位重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址被应用程序占据了或者被其它的DLL占据了,也是很正常的,这时它就不得不进行重定位了。 哪些数据需要重定位: :00401000 55...
重定位表
u013685578的专栏
08-15 500
为什么需要重定位表 An:因为模块再加载时可能预先设定的加载地址让别的模块给占用了, 那么这个时候就需要重定位         表来修改地址 解析重定位表注意事项 Q1:如何解析重定位表         1,数据目录表中下标为 5 的表项就是重定位表         2,PIMAGE_BASE_RELOCATION 是重定位表         3,通过 PIMAGE_BASE_RELOCATI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值