移動導出表到新增節

原創 hambaga 2020-07-04 09:08

一、爲什麼要移動導出表

移動導出表是指將導出表以及其內部的三張子表移動到新增節,這個操作是軟件加密的第一步。因爲軟件加密會把節進行加密,而數據目錄是在節裏的,加密後操作系統不認識了,因此我們要把數據目錄裏面的東西移動到一個新的節裏。

二、怎麼移動

在這裏插入圖片描述

上圖是導出表的結構,移動導出表的步驟,我個人的做法分爲以下幾步:

  1. 計算新增節的大小,必須能放下導出表,3張子表,所有按名字導出的函數名;
  2. 新增一個節,並設置其屬性爲可讀,含已初始化數據;
  3. 原封不動地拷貝3張子表到新增節;
  4. 遍歷 AddressOfNames,計算函數名的字節數,然後依次添加到新增節,添加同時更新 AddressOfNames 表裏的RVA;
  5. 拷貝導出表到新增節,修改3張子表的RVA;
  6. 修改目錄項中新導出表的RVA。

三、代碼實現

// 移動導出表到新增節
DWORD MoveExportTableToNewSection(LPVOID pFileBuffer, LPVOID *pNewFileBuffer, DWORD dwFileBufferSize)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_EXPORT_DIRECTORY pExportTable = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pFileBuffer + \
		RvaToFoa(pFileBuffer, pOptionHeader->DataDirectory[0].VirtualAddress));
	PDWORD pAddressOfFunctions = (PDWORD)((DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pExportTable->AddressOfFunctions));
	PWORD pAddressOfNameOrdinals = (PWORD)((DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pExportTable->AddressOfNameOrdinals));
	PDWORD pAddressOfNames = (PDWORD)((DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pExportTable->AddressOfNames));

	// 計算新增節的大小
	// = NumberOfFunctions * 4 + NumberOfNames * (2 + 4) + 所有函數名的字節 + sizeof(_IMAGE_EXPORT_DIRECTORY)
	// 然後文件對齊
	DWORD dwNewSectionSize = 0;
	dwNewSectionSize += pExportTable->NumberOfFunctions * 4; // AddressOfFunctions 的空間
	dwNewSectionSize += pExportTable->NumberOfNames * (2 + 4); // AddressOfNames + AddressOfNameOrdinals 的空間
	size_t i = 0;
	for (i = 0; i < pExportTable->NumberOfNames; i++)
	{		
		LPCSTR lpszFuncName = (LPCSTR)((DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pAddressOfNames[i]));
		dwNewSectionSize += strlen(lpszFuncName) + 1;
	}
	dwNewSectionSize += sizeof(_IMAGE_EXPORT_DIRECTORY);
	dwNewSectionSize = Align(dwNewSectionSize, pOptionHeader->FileAlignment);
	//printf("新增節的大小 = %x\n", dwNewSectionSize);

	DWORD dwNewBufferSize = AddSection(pFileBuffer, pNewFileBuffer, dwFileBufferSize, dwNewSectionSize);
	
	pDosHeader = (PIMAGE_DOS_HEADER)*pNewFileBuffer;
	pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	// 修改新增節屬性爲可讀、含已初始化數據
	pSectionHeader[pPEHeader->NumberOfSections - 1].Characteristics = 0x40000040;

	pExportTable = (PIMAGE_EXPORT_DIRECTORY)((DWORD)*pNewFileBuffer + \
		RvaToFoa(*pNewFileBuffer, pOptionHeader->DataDirectory[0].VirtualAddress));

	pAddressOfFunctions = (PDWORD)((DWORD)*pNewFileBuffer + RvaToFoa(*pNewFileBuffer, pExportTable->AddressOfFunctions));
	pAddressOfNameOrdinals = (PWORD)((DWORD)*pNewFileBuffer + RvaToFoa(*pNewFileBuffer, pExportTable->AddressOfNameOrdinals));
	pAddressOfNames = (PDWORD)((DWORD)*pNewFileBuffer + RvaToFoa(*pNewFileBuffer, pExportTable->AddressOfNames));
	
	// 把3張子表拷貝到新節,更新指針
	LPVOID pInsert = (LPVOID)((DWORD)*pNewFileBuffer + pSectionHeader[pPEHeader->NumberOfSections - 1].PointerToRawData);
	memcpy(pInsert, pAddressOfFunctions, 4 * pExportTable->NumberOfFunctions);
	pAddressOfFunctions = (PDWORD)pInsert;
	pInsert = (LPVOID)((DWORD)pInsert + 4 * pExportTable->NumberOfFunctions);
	memcpy(pInsert, pAddressOfNameOrdinals, 2 * pExportTable->NumberOfNames);
	pAddressOfNameOrdinals = (PWORD)pInsert;
	pInsert = (LPVOID)((DWORD)pInsert + 2 * pExportTable->NumberOfNames);
	memcpy(pInsert, pAddressOfNames, 4 * pExportTable->NumberOfNames);
	pAddressOfNames = (PDWORD)pInsert;
	pInsert = (LPVOID)((DWORD)pInsert + 4 * pExportTable->NumberOfNames);
	// 拷貝函數名
	for (i = 0; i < pExportTable->NumberOfNames; i++)
	{
		LPCSTR lpszFuncName = (LPCSTR)((DWORD)*pNewFileBuffer + RvaToFoa(*pNewFileBuffer, pAddressOfNames[i]));
		memcpy(pInsert, lpszFuncName, strlen(lpszFuncName) + 1);
		// 更新函數名的RVA地址
		pAddressOfNames[i] = FoaToRva(*pNewFileBuffer, (DWORD)pInsert - (DWORD)*pNewFileBuffer);
		pInsert = (LPVOID)((DWORD)pInsert + strlen(lpszFuncName) + 1);
	}
	// 拷貝導出表
	memcpy(pInsert, pExportTable, sizeof(_IMAGE_EXPORT_DIRECTORY));
	pExportTable = (PIMAGE_EXPORT_DIRECTORY)pInsert;
	pExportTable->AddressOfFunctions = FoaToRva(*pNewFileBuffer, (DWORD)pAddressOfFunctions - (DWORD)*pNewFileBuffer);
	pExportTable->AddressOfNameOrdinals = FoaToRva(*pNewFileBuffer, (DWORD)pAddressOfNameOrdinals - (DWORD)*pNewFileBuffer);
	pExportTable->AddressOfNames = FoaToRva(*pNewFileBuffer, (DWORD)pAddressOfNames - (DWORD)*pNewFileBuffer);
	
	// 修改目錄項,指向新的導出表
	pOptionHeader->DataDirectory[0].VirtualAddress = FoaToRva(*pNewFileBuffer, (DWORD)pExportTable - (DWORD)*pNewFileBuffer);
		
	return dwNewBufferSize;
}

四、運行結果

depends walker 和 LordPE 識別正確
在這裏插入圖片描述

在這裏插入圖片描述
調用新DLL的函數,沒有問題。
在這裏插入圖片描述

五、完整代碼

https://blog.csdn.net/Kwansy/article/details/106234264

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Windows BitLocker解鎖PE工具

常用筆記本的朋友肯定又遇到忘記的密碼的場景, 今天遇到指紋無法解鎖導致需要PIN解鎖,用PE嘗試修改密碼。發現硬盤有BitLocker加密,無法進行修改   嘗試各種方法,發現一款帶BitLocker解鎖工具純淨PE(只有解鎖BitLoc

瘦瘦的胖子 2020-07-07 13:16:41

防靜態跟蹤和防動態跟蹤

一 參考網址 反靜態分析和反動態跟蹤 二 靜態跟蹤概念 方法: 將關鍵代碼,藏起來或者加密.使得反彙編出來的程序中,看不到或者無法識別,則做到防靜態分析. 工具: IDA Pro可以將程序反彙編,查看其破解源碼. 三 逆向操作

学海无涯-学以致用 2020-07-07 06:52:24

移動重定位表到新增節

一、爲什麼要移動重定位表 數據目錄中的表是分散在各個節裏的,如果對節進行加密,操作系統找不到表,就無法加載程序。因此加密前要先把表移動到新的節裏。 二、怎麼移動 計算重定位表的大小,首先要遍歷重定位表,累加 SizeOfBlock

hambaga 2020-07-04 09:08:21

操作系統是如何使用重定位表的

一、重定位表的結構 重定位表是數據目錄中第6項,它的結構如圖示: 重定位表由多個塊(block)組成,每個塊內部由三部分組成——VirtualAddress、SizeOfBlock 和若干個2字節偏移。SizeOfBlock 表

hambaga 2020-07-04 09:08:21

導入表注入原理和C語言實現

一、導入表注入的原理 注入是把DLL加載到另一個進程的4GB地址空間中,實現方式有很多種,導入表注入是我學的第一種注入,是通過修改程序的導入表,把自己的DLL添加到導入表中,來實現這個目的。 導入表是連續存儲在節裏的,它後面還有其

hambaga 2020-07-04 09:08:21

PE 數字簽名

http://www.youdzone.com/signature.html  英文文章,介紹了證書與簽名的關係。 http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_sign

keidoekd2345 2020-06-25 06:31:55

PE:AddNewSection

DWORD AddNewSection(IN PVOID pFileBuffer, OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIM

zmmycsdn 2020-06-23 10:32:11

PE:copyBaseRelocation2NewSection

DWORD copyBaseRelocation2NewSection(IN PVOID pFileBuffer,OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader

zmmycsdn 2020-06-23 09:54:38

PE文件之miansha

首先來簡單瞭解一下殺毒軟件查殺病毒的原理,當前殺毒軟件對病毒的查殺主要有特徵代碼法和行爲監測法。其中前一個比較方法古老,又分爲文件查殺和內存查殺,殺毒軟件公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致

丸子头 2020-06-22 13:28:06

PE學習筆記1

文章目錄與PE相關概念地址擴展虛擬內存VA相對虛擬內存地址RVA文件偏移FOA特殊地址數據目錄節對齊PE文件結構 學習筆記來源《Windows.PE權威指南》這本書 與PE相關概念 地址 VA(Virtual Address):虛

我还在_ 2020-06-19 01:40:59

Project Euler NO46

Christian Goldbach 提出每個奇合數都可以寫作一個質數與一個平方數的二倍之和: 9 = 7 + 212 15 = 7 + 222 21 = 3 + 232 25 = 7 + 232 27 = 19 + 222 33

q2234037172 2020-06-16 06:19:03

Project Euler NO43

1406357289是一個pandigital數,因爲它包含了0到9之間每個數字且只包含了一次。此外它還有一個有趣的子串整除性質。 令d1表示其第一位數字,d2表示第二位,以此類推。這樣我們可以得到: d2d3d4=406 能被 2 整

q2234037172 2020-06-16 06:19:03

Project Euler NO22

文件names.txt (右鍵另存爲)是一個46K大小的文本文件,包含5000多個英文名字。利用這個文件,首先將文件中的名字按照字母排序,然後計算每個名字的字母值,最後將字母值與這個名字在名字列表中的位置相乘,得到這個名字的得分。 例

q2234037172 2020-06-16 06:19:03

Project Euler NO41

如果一個數字將1到n的每個數字都使用且只使用了一次,我們將其稱其爲一個n位的pandigital數。例如,2143是一個4位的pandigital數

q2234037172 2020-06-16 06:19:03

Project Euler NO34

145 是一個奇怪的數字, 因爲 1! + 4! + 5! = 1 + 24 + 120 = 145. 找出所有等於各位數字階乘之和的數字之和。注意

q2234037172 2020-06-16 06:19:03