滴水逆向——PE移动导出表

最新推荐文章于 2025-05-28 23:39:14 发布
最新推荐文章于 2025-05-28 23:39:14 发布
阅读量968 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/z17805008775/article/details/105497821
版权
本文探讨了为何需要移动PE文件的导出表,这些表包含关键信息并用于程序初始化。在加密程序时,由于表与代码混杂,直接加密可能导致系统初始化错误。作者分享了移动和加密过程中的挑战,包括AddressOfName的匹配问题及LordPE中函数名显示错误的问题,旨在为程序加密和逆向工程提供基础。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.为什么要移动各种表?

a.这些表是编译器生成的,里面存储了非常重要的信息。      

b.在程序启动的时候,系统会根据这些表做初始化的工作:      
      比如,将用到的DLL中的函数地址存储到IAT表中.      

c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是:    
      各种表的信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统在初始化的时候会出问题!  

总结:           
           学会移动各种表,是对程序加密/破解的基础.        

 

2.移动关键:         

3.代码实现:

#include<stdio.h>
#include<stdlib.h>
#include<windows.h>

#define test 1
#define size_surplus_sizeofheader 0x50

DWORD ToLoaderPE(LPSTR file_path, PVOID* pFileBuffer);
BOOL MemoryToFile(PVOID pMemBuffer, DWORD size, LPSTR lpszFile);
DWORD FoaToImageOffset(PVOID pBuffer, DWORD dwFoa);
DWORD RvaToFileOffset(PVOID pBuffer, DWORD dwRva);
DWORD GetSctionEmptySpace(PVOID pFileBuffer, DWORD SectionOrdinal);
DWORD Alignment(DWORD alignment_value, DWORD addend, DWORD address);
DWORD MoveExportTable(PVOID pFileBuffer, DWORD FileBuffer, PVOID* pFileBuffer_ExportTable);
DWORD SizeOfExportTableSection(PVOID pFileBuffer);
VOID LogExportTable(PVOID pFileBuffer);

//char file_path[] = "c:\\users\\desktop\\notepad.exe";
char file_path[] = "c:\\users\\desktop\\dll1test.dll";
//char file_path[] = "c:\\users\\desktop\\ipmsg2007.exe";
char write_movexportable_file_path[] = "D:\\Lib\\dll1test.dll";

//返回PE文件大小
DWORD ToLoaderPE(LPSTR file_path, PVOID* pFileBuffer)
{
	FILE *pFile = NULL;
	DWORD FileSize = 0;
	PVOID pFileBufferTemp = NULL;

	pFile = fopen(file_path, "rb");

	if (!pFile)
	{
		printf("(ToLoaderPE)Can't open file!\n");
		return 0;
	}

	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	printf("FileBuffer: %#x\n", FileSize);
	fseek(pFile, 0, SEEK_SET);
	pFileBufferTemp = malloc(FileSize);

	if (!pFileBufferTemp)
	{
		printf("(ToLoaderPE)Allocate dynamic memory failed!\n");
		fclose(pFile);
		return 0;
	}

	DWORD n = fread(pFileBufferTemp, FileSize, 1, pFile);

	if (!n)
	{
		printf("(ToLoaderPE)Read file failed!\n");
		free(pFileBufferTemp);
		fclose(pFile);
		return 0;
	}
	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;
	fclose(pFile);
	return FileSize;
}

BOOL MemoryToFile(PVOID pMemBuffer, DWORD size, LPSTR lpszFile)
{
	FILE *fp;
	fp = fopen(lpszFile, "wb");
	if (fp != NULL)
	{
		fwrite(pMemBuffer, size, 1, fp);
	}
	fclose(fp);
	printf("Store file success!\n");
	return 1;
}


DWORD RvaToFileOffset(PVOID pBuffer, DWORD dwRva)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if (!pBuffer)
	{
		printf("(RvaToFileOffset)Can't open file!\n");
		return 0;
	}

	if (*((PWORD)pBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("(RvaToFileOffset)No MZ flag, not exe file!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pBuffer;
	if (*((PDWORD)((DWORD)pBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("(RvaToFileOffset)Not a valid PE flag!\n");
		return 0;
	}

	//printf("ImageOffset: %#x\n", dwRva);
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pBuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4); // 这里必须强制类型转换
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_SECTION_HEADER pSectionTemp = pSectionHeader;

	if (dwRva <= pOptionHeader->SizeOfHeaders)
		return (DWORD)dwRva;
	else
	{
		for (int n = 0; n < pPEHeader->NumberOfSections; n++, pSectionTemp++)
		{	//判断 :   文件对齐+文件偏移>file_panyi>文件偏移  (即是在文件的哪个节中)
			if ((dwRva >= pSectionTemp->VirtualAddress) && (dwRva < pSectionTemp->VirtualAddress + pSectionTemp->Misc.VirtualSize))
			{
				return dwRva - pSectionTemp->VirtualAddress + pSectionTemp->PointerToRawData;
			}
		}
	}
	printf("RvaToFoa failed!\n");
	return 0;
}

DWORD FoaToImageOffset(PVOID pBuffer, DWORD dwFoa)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if (!pBuffer)
	{
		printf("(FoaToImageOffset)Can't open file!\n");
		return 0;
	}

	if (*((PWORD)pBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("(FoaToImageOffset)No MZ flag, not exe file!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pBuffer;
	if (*((PDWORD)((DWORD)pBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("(FoaToImageOffset)Not a valid PE flag!\n");
		return 0;
	}
	printf("FileOffset: %#x\n", dwFoa);

	pNTHeader
最低0.47元/天 解锁文章
2022卡塔尔世界杯胜负预测(小组赛)
01-09
国际足联世界杯(FIFA World Cup),简称“世界杯”,是由全...2022年12月18日,在2022卡塔尔世界杯足球赛决赛中,阿根廷队法国队在常规时间和加时赛战成3比3平,通过点球大战,阿根廷队以总比分7比5获胜,夺得冠军。
### 体育营销2022年中国足球球迷营销价值报告:卡塔尔世界杯背景下的球迷画像商业机遇述 本文详细
05-26
报告指出,足球不仅是体育运动,更是社会变革和经济发展的工具,尤其在2022年卡塔尔世界杯期间,足球将成为品牌营销的重要媒介。全球足球球迷数量达34.6亿,中国拥有2.89亿球迷,是全球最大的球迷群体之一,其中近九...
40685-springboot卡塔尔世界杯门户网站 (免费源码论文)可计算机毕业设计JAVAPHP爬虫APP小程序C#、C++、python数据可视化大数据全套文案
vx_BS81330的博客
10-03 1464
论文主要是对卡塔尔世界杯门户网站设计实现进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求,以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对卡塔尔世界杯门户网站设计实现进行了一些具体测试。
java基于Web的卡塔尔世界杯门户网站设计开发+40685(免费源码论文)可计算机毕业设计JAVAPHP爬虫APP小程序C#、C++、python数据可视化大数据全套文案
BS53804的博客
12-05 1620
本文采用的数据库是Mysql,使用SpringBoot框架开发,实现了一个卡塔尔世界杯门户网站设计实现。卡塔尔世界杯门户网站设计实现的主要使用者分为管理员端、普通用户端、票务用户端、媒体用户端。
【关注可白嫖源码】2025最新 毕业设计项目推荐
VX_BYSJ9276的博客
09-27 3346
哈喽,大家好,大四的同学马上要开始毕业设计了,大家好准备了吗? 博主给大家详细整理了计算机毕业设计最新项目,对项目有任何疑问(部署跟文档),都可以问博主哦~ 计算机毕业设计选题大全 25届毕业生最新题目 一、JavaWeb管理系统毕设项目 中医病案管理系统 流浪动物救助 专利管理系统 “伴我成长”课外读物信息平台 博物馆导览小程序 青年信息综合管理平台 酒店智慧管家 等等
计算机毕业设计题目大全(论文+源码)
一个码农的博客
03-27 1893
这里收集了一些全网最全的毕业设计案例,供大家参考
计算机毕业设计题目大全(论文+源码)_kaic
毕业设计、远程调试、小程序、管理系统、JAVA、C#、IDEA、VS开发工具等
01-31 1万+
基于微信小程序的时钟管理系统设计开发 基于Java的校园生活服务系统的设计实现 基于安卓平台的个人理财软件的设计实现 基于JavaScript的旧书交易网站系统设计实现 基于STM32G431的数字密码锁的设计实现 基于JSP的在线英语考试系统的设计实现 基于JavaScript的音游网站的设计实现 基于Java的单机拼图游戏的设计实现 基于Java的课程微视频网站的设计实现 基于Web的多媒体素材管理系统的设计实现 基于Java的校园二手商品销售网站设计实现
基于Python和条形图实现的世界杯数据可视化源码+详细项目说明+数据.tar
11-16
基于Python和条形图实现的世界杯数据可视化源码+详细项目说明+数据.tar 1 前言 要说时下最热门的活动,非2022卡塔尔世界杯莫属了。正好借此次机会,回顾一下过往的世界杯,就其历史数据一些数据的呈现和分析工作...
FIFA2022卡塔尔世界杯.zip
03-04
2022年卡塔尔世界杯的数据集包含了足球比赛中各种详细的数据,这些数据能够帮助分析球队和球员的表现,以及比赛的战术和策略。数据集详细记录了球员助攻、进球、红牌、射门情况和点球得分等多种数据,为深入研究提供...
基于世界杯数据可视化项目python实现源码+项目说明+数据集.zip
06-06
基于世界杯数据可视化项目python实现源码+项目说明+数据集.zip 【优质项目推荐】 1.项目代码功能经验证ok,确保稳定可靠运行。欢迎下载使用!在使用过程中,如有问题或建议,请及时私信沟通,帮助解答。 2.项目主要...
SpringBoot实战:高效获取视频资源
热门推荐
阿Q的小窝
05-28 2万+
在短视频行业高速发展的背景下,海量内容数据日益增长,每天都有新的视频、评论、点赞、分享等数据涌现。如何高效、精准地获取并处理这些庞大的数据,已成为各大平台和开发者面临的核心挑战。
【Netty系列】Netty 框架介绍
技术改变世界
05-28 1015
Netty是一个基于 Java NIO(Non-blocking I/O)的异步事件驱动网络应用框架,旨在快速开发高性能、高可靠性的网络服务器和客户端。它简化了 TCP/UDP 等协议的编程,并提供了高度可定制的组件,适用于高并发场景(如游戏服务器、即时通讯、分布式系统等)。
软件开发MVC三层架构杂谈
小L的博客
05-24 1728
本文深入探讨了MVC(Model-View-Controller)架构及其在实际开发中的应用,特别是如何将Model层细分为Service层和DAO层,形成Controller、Service和DAO的三层架构。
Redis击穿,穿透和雪崩详解以及解决方案
最新发布
hqxstudying的博客
05-28 1386
Java 开发中,Redis 作为常用的缓存中间件,可能会面临这三类经典问题。
Spring Boot项目中实现单点登录(SSO)完整指南
wa_ka_ka的博客
05-28 1743
单点登录(Single Sign-On, SSO)是一种身份验证机制,允许用户使用一组凭证(如用户名和密码)登录多个相关但独立的系统。
黑马redis-实验篇2报错汇总
feiyinjiu的博客
05-23 414
1.Incompatible types. Found: 'java.lang.Long', required: 'java.lang.Integer' 将Integer count = query().eq("user_id", userId).eq("follow_user_id", followUserId).count();1.将所有的import javax.servlet.http.HttpServletRequest;不需要特意的找这些包,运行的时候看哪个报错就改哪个就行。
从零开始搞个简易分布式部署环境
循此苦旅,以达天际
05-28 1808
【云服务器搭建简易分布式开发环境指南】 本文介绍如何在云服务器上搭建一个简易的分布式开发环境。主要内容包括: 选择租用云服务器并安装Docker环境,解决常见安装问题 配置多版本JDK(8/11/17)容器环境,提供环境变量切换脚本 创建MySQL 5.7和8.0容器并配置资源限制 部署Redis和RabbitMQ容器服务 配置Nginx反向代理 强调使用容器资源限制参数(--memory/--cpus)的重要性 特点:所有组件都部署在单个云服务器上,通过Docker容器模拟分布式环境,节省成本且便于测试。
初识C++:模版
2401_87194328的博客
05-23 1281
该博客主要讲解模版的相关内容
springboot--实战--大事件--用户接口开发
m0_73856804的博客
05-27 1977
定义了一种简洁的、自包含的格式,用于通信双方以JSON数据格式安全的传输信息。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如,算法用于防篡改第二部分:Payload(有效载荷),携带一些自定义信息,默认信息。例如。而外在表示为一段无规律的64个可打印字符原因:借助base64编码方式(Base64:是一种基于64个可打印字符(A-Z a-z 0-9 + /)来表示二进制数据的编码方式)来完成,将json字符串变为64个可打印字符,
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值