今天要尝试的导出表相关编程内容是:覆盖函数地址部分的指令代码。

这种覆盖技术,是将AddressOfFunctions指向的地址空间指令字节码实施覆盖,这种技术又繁衍出两种:

暴力覆盖,即将所有的代码全部替换为新代码。新代码可能含有原来代码的全部功能,也可能不包含原有代码功能。

完美覆盖,通过构造指令,实施新代码与源代码的共存和无遗漏运行。因为完美覆盖涉及代码的重定位,相对复杂一些,今天尝试暴力覆盖。目标是我自己写了一个dll导出一个加法函数,然后我要用另一个自定义函数替换这个函数,让他直接返回0。

1.首先定义测试用的dll,以及测试用的exe。

2.找到要替换的函数的FOA,这里面是指找到_Add函数,思路是先通过PE头找到导出表,信息,根据导出表信息(RVA)计算FOA从而找到导出表在文件中的位置,然后分析导出表结构,找到导出函数列表地址(RVA),计算FOA,在计算的导出表地址处找到导出函数地址(ROA),计算FOA,这样就算是找到了函数的代码段了。细节如下如:

上图是找到了导出函数列表地址24A8.

导出函数列表地址24A8转成FOA是12A8,在这里找到了导出函数地址1010,然后继续转成FOA位410 , so 410就是该导出函数实现的代码段了。

3.接下来的事就是把自己写好的新功能函数的机器码拷贝到上面的代码段就行了,获取机器码也有个方法,就是先自己用C++写好,然后调试看反汇编,在内存里直接把翻译好的机器码整个(整个函数)拿出来就行了。

这样得到的直接返回一个0的函数的机器码是:55 8b ec 33 c0 5d c3

4.替换2找到的代码段位置,也是替换到5d c3,剩余的不够的位置用90(NOP)补齐。

5.保存文件之后再继续测试一发,发现不管给_Add()函数传什么都会直接返回0的。

去看此时加载的D.dll的Add函数再次确认下函数代码对应机器码已经被修改,同时反汇编代码的汇编解释也是错的。

最后提示一点就是这个姿势需要注意一点就是堆栈平衡问题,上面的测试其实都是基于C++dll调用的,默认是调用者负责释放参数堆栈:

而有的时候需要在函数里面去把这个函数的堆栈平衡了,这个地方要注意一下。还有就是覆盖的时候最好是把内容少的覆盖到内容多的函数里,不然的话可能会破坏掉其他的函数,如果你觉得我只要这个覆盖的函数的功能就行了,别的破坏就破坏了,这样还是不行,因为这个函数的实现有可能依赖于里面自己实现的其他函数的支持。

Windows PE导出表编程3(暴力覆盖导出函数)的更多相关文章

  1. Windows PE导出表编程4(重构导出表实现私有函数导出)

    本次是尝试调用DLL里面的私有函数. 一: 之前先探索一下,首先可以考虑用偏移量来调用,就是如果知道了某个私有函数和某个导出的公共函数的相对便宜的话,直接加载dll获取公共函数地址,然后自己手动去偏移 ...

  2. Windows PE导出表编程2(重组导出表函数地址)

    本次要做的尝试是通过修改导出表的函数地址,实现程序功能的更改,实现这个最大的限制就是堆栈平衡问题. 先写一个DLL和EXE为了测试. DLL代码如下: 这样的话有两个导出函数(我们假设是一个密码验证之 ...

  3. 【学习】Windows PE文件学习(一:导出表)

    今天做了一个读取PE文件导出表的小程序,用来学习. 参考了<Windows PE权威指南>一书. 首先, PE文件的全称是Portable Executable,可移植的可执行的文件,常见 ...

  4. Windows PE变形练手3-把通用模板机器码直接覆盖目标PE

    把通用模板机器码直覆盖目标PE 这个地方真是尝试了好久,遇到很多坑点,Win PE那本书上的东西有点不够,也就直接写书上的例子会发现很多地方不是说的那样,里面提供的信息太少了,就比如里面并没有提被注入 ...

  5. WindowsPE 第五章 导出表编程-1(枚举导出表)

    导出表编程-1-枚举导出表 开始前先回忆一下导出表: 1.枚举dll函数的导出函数名字: 思路: (1)加载dll到内存里. (2)获取PE头,逐步找到可选头部. (3)然后找到里面的第一个结构(导出 ...

  6. 逆向-PE导出表

    PE-导出表 ​ 动态链接库要想给别人用实现加载时或运行时链接就必须提供函数和数据的地址.exe一般不会有这个,大部分是DLL文件的.导出分为名字导出和序号导出. 名字导出先找名字,再通过名字表的索引 ...

  7. Windows PE变形练手2-开发一套自己的PE嵌入模板

    PE嵌入模板 编写一段代码,生成一个已经处理过重定位信息,同时所有的内容都在代码段里,并且没有导入表的PE程序,把这个程序嵌入到其他PE的相关位置,能够独立的运行,接下来是整理了2个模板,一个是Hel ...

  8. Windows PE 第十三章 PE补丁技术

    PE补丁技术 这章很多东西之前都见过,也单独总结过,比如动态补丁里说的远程代码注入,还有hijack什么的.之前整理过的这里就不细说了,大体说下思路.这里总结一些之前没总结过的东西. 资料中把补丁分为 ...

  9. PE文件结构详解(三)PE导出表

    上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,D ...

随机推荐

  1. dubbo实战之四:管理控制台dubbo-admin

    欢迎访问我的GitHub https://github.com/zq2599/blog_demos 内容:所有原创文章分类汇总及配套源码,涉及Java.Docker.Kubernetes.DevOPS ...

  2. 在linux下如何搭建jmeter的环境

    首先 我们可以选择不同版本的jmeter 转载原连接:https://blog.csdn.net/lyl0724/article/details/79474388 Jmeter历史版本下载地址 htt ...

  3. C# 应用 - 使用 HttpWebRequest 发起 Http 请求

    helper 类封装 调用 1. 引用的库类 \Reference Assemblies\Microsoft\Framework\.NETFramework\v4.6\System.dll Syste ...

  4. C# 应用 - 封装类访问 Postgresql 数据库

    引入库类 连接数据库 访问数据库 1)增删改数据库 2)查数据库 数据转换 事务 1. 引入库类 引入 Npgsql.dll using Npgsql; using NpgsqlTypes; 2. 连 ...

  5. Apache配置 10. 访问控制-禁止解析PHP

    (1)简述 对于使用PHP语言编写的网站,有一些目录是有需求上传文件的.如果网站代码有漏洞,让黑客上传了一个用PHP写的木马,由于网站可以执行PHP程序,最终会让黑客拿到服务器权限. 为了避免这种情况 ...

  6. C指针与二维数组

    先贴上完整的代码: #include<stdio.h> int main(int argc, char *argv[]){ int a[3] [5]={1,2,3,4,5,6,7,8,9, ...

  7. 事件 on

    $(选择器).on(事件名称,事件的处理函数) 事件名称:js事件去掉on的部分,例如js中onclick,这里就是click 例如:<input type="button" ...

  8. PAT (Basic Level) Practice (中文)1055 集体照 (25 分) 凌宸1642

    PAT (Basic Level) Practice (中文)1055 集体照 (25 分) 凌宸1642 题目描述: 拍集体照时队形很重要,这里对给定的 N 个人 K 排的队形设计排队规则如下: 每 ...

  9. 发送请求时携带了参数,但是浏览器network没有显示的排错思路

    发送请求时携带了参数,但是浏览器network没有显示的排错思路 不知道大家有没有遇到这样子的情况就是发送请求的时候明明携带了参数,但是浏览器的network中就是没有!请看下图和代码! 我发送请求用 ...

  10. Dubbo 编解码那些事

    一.背景 笔者在一次维护基础公共组件的过程中,不小心修改了类的包路径.糟糕的是,这个类被各业务在facade中进行了引用.传递.幸运的是,同一个类,在提供者和消费者的包路径不一致,没有引起各业务报错. ...