今天要尝试的导出表相关编程内容是:覆盖函数地址部分的指令代码。

这种覆盖技术,是将AddressOfFunctions指向的地址空间指令字节码实施覆盖,这种技术又繁衍出两种:

暴力覆盖,即将所有的代码全部替换为新代码。新代码可能含有原来代码的全部功能,也可能不包含原有代码功能。

完美覆盖,通过构造指令,实施新代码与源代码的共存和无遗漏运行。因为完美覆盖涉及代码的重定位,相对复杂一些,今天尝试暴力覆盖。目标是我自己写了一个dll导出一个加法函数,然后我要用另一个自定义函数替换这个函数,让他直接返回0。

1.首先定义测试用的dll,以及测试用的exe。

2.找到要替换的函数的FOA,这里面是指找到_Add函数,思路是先通过PE头找到导出表,信息,根据导出表信息(RVA)计算FOA从而找到导出表在文件中的位置,然后分析导出表结构,找到导出函数列表地址(RVA),计算FOA,在计算的导出表地址处找到导出函数地址(ROA),计算FOA,这样就算是找到了函数的代码段了。细节如下如:

上图是找到了导出函数列表地址24A8.

导出函数列表地址24A8转成FOA是12A8,在这里找到了导出函数地址1010,然后继续转成FOA位410 , so 410就是该导出函数实现的代码段了。

3.接下来的事就是把自己写好的新功能函数的机器码拷贝到上面的代码段就行了,获取机器码也有个方法,就是先自己用C++写好,然后调试看反汇编,在内存里直接把翻译好的机器码整个(整个函数)拿出来就行了。

这样得到的直接返回一个0的函数的机器码是:55 8b ec 33 c0 5d c3

4.替换2找到的代码段位置,也是替换到5d c3,剩余的不够的位置用90(NOP)补齐。

5.保存文件之后再继续测试一发,发现不管给_Add()函数传什么都会直接返回0的。

去看此时加载的D.dll的Add函数再次确认下函数代码对应机器码已经被修改,同时反汇编代码的汇编解释也是错的。

最后提示一点就是这个姿势需要注意一点就是堆栈平衡问题,上面的测试其实都是基于C++dll调用的,默认是调用者负责释放参数堆栈:

而有的时候需要在函数里面去把这个函数的堆栈平衡了,这个地方要注意一下。还有就是覆盖的时候最好是把内容少的覆盖到内容多的函数里,不然的话可能会破坏掉其他的函数,如果你觉得我只要这个覆盖的函数的功能就行了,别的破坏就破坏了,这样还是不行,因为这个函数的实现有可能依赖于里面自己实现的其他函数的支持。

Windows PE导出表编程3(暴力覆盖导出函数)的更多相关文章

  1. Windows PE导出表编程4(重构导出表实现私有函数导出)

    本次是尝试调用DLL里面的私有函数. 一: 之前先探索一下,首先可以考虑用偏移量来调用,就是如果知道了某个私有函数和某个导出的公共函数的相对便宜的话,直接加载dll获取公共函数地址,然后自己手动去偏移 ...

  2. Windows PE导出表编程2(重组导出表函数地址)

    本次要做的尝试是通过修改导出表的函数地址,实现程序功能的更改,实现这个最大的限制就是堆栈平衡问题. 先写一个DLL和EXE为了测试. DLL代码如下: 这样的话有两个导出函数(我们假设是一个密码验证之 ...

  3. 【学习】Windows PE文件学习(一:导出表)

    今天做了一个读取PE文件导出表的小程序,用来学习. 参考了<Windows PE权威指南>一书. 首先, PE文件的全称是Portable Executable,可移植的可执行的文件,常见 ...

  4. Windows PE变形练手3-把通用模板机器码直接覆盖目标PE

    把通用模板机器码直覆盖目标PE 这个地方真是尝试了好久,遇到很多坑点,Win PE那本书上的东西有点不够,也就直接写书上的例子会发现很多地方不是说的那样,里面提供的信息太少了,就比如里面并没有提被注入 ...

  5. WindowsPE 第五章 导出表编程-1(枚举导出表)

    导出表编程-1-枚举导出表 开始前先回忆一下导出表: 1.枚举dll函数的导出函数名字: 思路: (1)加载dll到内存里. (2)获取PE头,逐步找到可选头部. (3)然后找到里面的第一个结构(导出 ...

  6. 逆向-PE导出表

    PE-导出表 ​ 动态链接库要想给别人用实现加载时或运行时链接就必须提供函数和数据的地址.exe一般不会有这个,大部分是DLL文件的.导出分为名字导出和序号导出. 名字导出先找名字,再通过名字表的索引 ...

  7. Windows PE变形练手2-开发一套自己的PE嵌入模板

    PE嵌入模板 编写一段代码,生成一个已经处理过重定位信息,同时所有的内容都在代码段里,并且没有导入表的PE程序,把这个程序嵌入到其他PE的相关位置,能够独立的运行,接下来是整理了2个模板,一个是Hel ...

  8. Windows PE 第十三章 PE补丁技术

    PE补丁技术 这章很多东西之前都见过,也单独总结过,比如动态补丁里说的远程代码注入,还有hijack什么的.之前整理过的这里就不细说了,大体说下思路.这里总结一些之前没总结过的东西. 资料中把补丁分为 ...

  9. PE文件结构详解(三)PE导出表

    上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,D ...

随机推荐

  1. 反射的常用API

    反射的常用API 加载程序集 Assembly assembly = Assembly.Load("程序集名称"); // 从前目录加载程序集,提供程序集名称,无后缀 Assemb ...

  2. rest framework parsers

    解析器 机交互的Web服务更倾向于使用结构化的格式比发送数据格式编码的,因为他们发送比简单的形式更复杂的数据 -马尔科姆Tredinnick,Django开发组 REST框架包含许多内置的解析器类,允 ...

  3. 测试工程师Docker进阶

    学习整理来源 B站 狂神说Java https://space.bilibili.com/95256449/ 四.docker镜像 1.镜像是什么 镜像是一种轻量级.可执行的独立软件包,用来打包软件运 ...

  4. P2424 约数和 【整除分块】

    一.题目 P2424 约数和 二.分析 因为都是加法,那么肯定有的一个性质,即前缀和的思想,就是$$ { ans =\sum_{i=1}^y f(i)} - {\sum_{i=1}^x f(i)}   ...

  5. P1008_三连击(JAVA语言)

    /*  * 题目描述 将1,2,⋯,9共9个数分成3组, 分别组成3个三位数,且使这3个三位数构成1:2:3的比例,试求出所有满足条件的3个三位数. 输入输出格式 输入格式: 木有输入 输出格式: 若 ...

  6. Jenkins教程:使用Jenkins进行持续集成

    [注]本文译自: https://www.edureka.co/blog/jenkins-tutorial/   本文将重点介绍 Jenkins 架构和 Jenkins 构建管道,并向您展示如何在 J ...

  7. [Fundamental of Power Electronics]-PART I-2.稳态变换器原理分析-2.5/2.6 多极点滤波器电压纹波估计及要点小结

    2.5 含两极点低通滤波器变换器的输出电压纹波估计 在分析包含两极点低通滤波器的变换器如Cuk变换器及Buck变换器(图2.25)输出时,小纹波近似将会失效.对于这些变换器而言,无论输出滤波电容的值是 ...

  8. 带你全面认识CMMI V2.0(一)

    新发布的CMMI V2.0在方法论和方法上都提出了一些战略上的变化和改进.这些更新提供了新的要求.历史标准的演进以及以往实践的延续. CMMI V2.0和CMMI V1.3的变化 CMMIV2.0的定 ...

  9. lms框架分布式事务使用简介

    lms框架的分布式事务解决方案采用的TCC事务模型.在开发过程中参考和借鉴了hmily.使用AOP的编程思想,在rpc通信过程中通过拦截器的方式对全局事务或是分支事务进行管理和协调. 本文通过lms. ...

  10. OO第三单元小结

    目录 JML理论基础 JML工具链 openjml使用 openjml总结 jmlunitng使用 代码分析 第一次作业 第二次作业 第三次作业 测试&bug分析 黑盒测试 白盒测试(Juni ...