脱壳与加壳-加壳-5-加密导入表
导入表知识可以:https://www.cnblogs.com/Sna1lGo/p/14461530.html
步骤
1 找到导入表
2 提取导入表的数据结构,自己用自己的数据结构来存储,把原本的导入表的数据结构加密,不让操作系统来处理
3 把存储的操作系统的数据结构保存在区段里面
4 擦除原理的导入表
5 自己修复导入表
额外处理:
加密API明文名称:利用hash值,给API的名称算一个hash值,然后利用hash碰撞来得到我们要使用的API
手工操作实现加密导入表
找到导入表
导入表在PE文件在中的NT头下的可选pe头里面的最后一个数据目录表下面的第二个宏定义的位置
利用010Editor先找到
可以看到对应的导入表的RVA地址是多少,在010中后面自己写上了foa就可以先拿来用着
然后跳转到foa的地址
一个导入表结构体,有20个字节,20个字节用16进制来表示就是从0-14
判断导入表的数量
通过下一个全为0的结构体来识别有多少个导入表
移动导入表
这里直接采用010Editor把原来的导入表结构体内容直接复制粘贴到开辟的区段里面就好了
加密
这里省略
修改原来的导入表的首地址
原来的导入表的首地址存放的是导入表的RVA,这里需要把添加了foa的新的导入表的地址转换为rva然后再重新填回到原来的可选PE头对于的导入表的首地址
抹去原来的导入表的数据
直接找到原来导入表对应的FOA直接全部用0填充完了就好了
总结
首先找到导入表的位置,然后得到导入表,把导入表的内容保存到新的区段里面(可以修改导入表的内容为自己看得懂的),然后修改可选PE头的数据目录表中记录导入表的地址为新的地址,然后给PE文件的自己的导入表随便弄一个假的导入表,然后再自己再修复导入表
标签:脱壳,加密,加壳,地址,导入,PE,数据结构 来源: https://www.cnblogs.com/Sna1lGo/p/14702133.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。