原創(chuàng):星綻紫輝 http://m.shnenglu.com/rawdata 2009-3-6
權(quán)作筆記。
如果要將某個dll注入PE文件(不需要裝載dll和運行PE),只需要拷貝原來的Import表,然后復(fù)制該表到文件對齊間隙區(qū),然后在后面寫入自定義的dll結(jié)構(gòu)。一般新加的結(jié)構(gòu)為0x14長,這個結(jié)構(gòu)對應(yīng)的值都是RVA,通過RVA計算出RAW,該RAW對應(yīng)的便是dll名字,序數(shù),偏移地址等信息(可以先從dll的export表中讀取所以導(dǎo)出函數(shù)信息再寫入PE文件,export表的結(jié)構(gòu)比Import表更簡單)。
通過RVA計算RAW,簡單計算方法:如果RVA被分成5塊,文件也肯定被分成5塊,只要保證塊塊之間一一對應(yīng),偏移相同就可以很容易在RVA和RAW之間相互轉(zhuǎn)換。
總結(jié):
需要修改的地方:
1.Import表的表頭信息:位置,大小必須重新修訂
2.將新的Import表放入空白區(qū)(間隙處)
需要注意的地方:
△ 理論上任意跨區(qū)的空白區(qū)都可以,但是如果該區(qū)的屬性為只讀,且不為初始化數(shù)據(jù),就會執(zhí)行失敗。原因:PE加載后會自動修改該區(qū)的數(shù)據(jù)。比較好的做法是:不去尋找間隙,而是增加一個區(qū)段,然后設(shè)置該區(qū)段屬性為讀寫和初始化數(shù)據(jù),然后將新的Import表寫到該區(qū)。
△不需要修改IAT表
結(jié)果:dll在PE運行時自動加載。 (rawdata)