星綻紫輝(rawdata)的Blog

                    
          原創：星綻紫輝 http://m.shnenglu.com/rawdata   2009-3-6

 
         權作筆記。

         如果要將某個dll注入PE文件（不需要裝載dll和運行PE）,只需要拷貝原來的Import表，然后復制該表到文件對齊間隙區，然后在后面寫入自定義的dll結構。一般新加的結構為0x14長，這個結構對應的值都是RVA,通過RVA計算出RAW,該RAW對應的便是dll名字，序數，偏移地址等信息（可以先從dll的export表中讀取所以導出函數信息再寫入PE文件，export表的結構比Import表更簡單）。


         通過RVA計算RAW,簡單計算方法：如果RVA被分成5塊，文件也肯定被分成5塊，只要保證塊塊之間一一對應，偏移相同就可以很容易在RVA和RAW之間相互轉換。



         總結：
         需要修改的地方：
         1.Import表的表頭信息：位置，大小必須重新修訂
         2.將新的Import表放入空白區(間隙處)

         需要注意的地方：
         △ 理論上任意跨區的空白區都可以，但是如果該區的屬性為只讀，且不為初始化數據，就會執行失敗。原因：PE加載后會自動修改該區的數據。比較好的做法是：不去尋找間隙，而是增加一個區段，然后設置該區段屬性為讀寫和初始化數據，然后將新的Import表寫到該區。

         △不需要修改IAT表

         結果：dll在PE運行時自動加載。 （rawdata）