[求助][求助]关于写壳时壳的重定位问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 2 楼好好去撸 pe 权威指南的知识把~ 2015-8-9 19:34 0
hunxiaozi 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 134 粉丝 0 关注私信	hunxiaozi 3 楼目测ImageBase有点问题，如果重定位正确，ImageBase应该是0x01000000，而不是0x00400000。 2015-8-10 08:40 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 4 楼需要重定位的地址的RVA要在重定位表中，并且FileHeader->Characteristics &= ~IMAGE_FILE_RELOCS_STRIPPED; 2015-8-10 08:58 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 5 楼那意思是要将壳的重定位表复制到待加壳的重定位表中吗？ 2015-8-10 10:59 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 6 楼处理重定位的方式有两种 1.自己动态计算重定位偏移 call @F @@: pop ebx sub ebx, offset @B lea eax, [ebx+offset Sleep] push 1 call eax 传统的壳大部分都是采用这种 2.重定位表处理把壳的loader部分写成stub 加壳前，把stub基址修复成新的壳区段地址，然后再附加上去比如bambam,npack,ZProtect,eXPressor都是这类结构根据你不同的需求来决定了 2015-8-27 11:17 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 7 楼 [QUOTE=Anskya;1389013]处理重定位的方式有两种 1.自己动态计算重定位偏移 call @F @@: pop ebx sub ebx, offset @B lea eax, [ebx+offset Sleep] push 1 call eax 传统的壳大部分都是采用这种 2.重定位表...[/QUOTE] 非常感谢楼上大哥给的提示，后来我在论坛找到一个code ，是动态获取的运行时地址的， // RetAddress : [ esp + 8 ] long __stdcall RunAddressSubIfAddress(long RetAddress) { long* pRetAddress; long ret ; if(0 == RetAddress) //触发异常 { DB(0xCC); DB(0xEB); DB(0xCC); } pRetAddress = &RetAddress; pRetAddress --; ret = (pRetAddress) - 5 - (long)GetRunAddressSubIfAddress; pRetAddress = RetAddress; return ret; } __declspec(naked) long __stdcall GetRunAddressSubIfAddress() { __asm call RunAddressSubIfAddress; //这里没有给数 } // 将编译地址转换为运行时地址 PVOID __stdcall GetRunAddress(PVOID pData) { // 编译值 + 偏移(运行时 - 编译时) long sub = GetRunAddressSubIfAddress(); long ret = (long)((long)pData + sub); return (PVOID) ret; } 原理就是修正 = 运行时地址（返回地址 - 5） - 编译地址（函数名）任何编译地址 + 修正值就得到了运行时地址。非常感谢！ 2015-9-5 22:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 2 楼好好去撸 pe 权威指南的知识把~ 2015-8-9 19:34 0
hunxiaozi 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 134 粉丝 0 关注私信	hunxiaozi 3 楼目测ImageBase有点问题，如果重定位正确，ImageBase应该是0x01000000，而不是0x00400000。 2015-8-10 08:40 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 4 楼需要重定位的地址的RVA要在重定位表中，并且FileHeader->Characteristics &= ~IMAGE_FILE_RELOCS_STRIPPED; 2015-8-10 08:58 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 5 楼那意思是要将壳的重定位表复制到待加壳的重定位表中吗？ 2015-8-10 10:59 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 6 楼处理重定位的方式有两种 1.自己动态计算重定位偏移 call @F @@: pop ebx sub ebx, offset @B lea eax, [ebx+offset Sleep] push 1 call eax 传统的壳大部分都是采用这种 2.重定位表处理把壳的loader部分写成stub 加壳前，把stub基址修复成新的壳区段地址，然后再附加上去比如bambam,npack,ZProtect,eXPressor都是这类结构根据你不同的需求来决定了 2015-8-27 11:17 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 7 楼 [QUOTE=Anskya;1389013]处理重定位的方式有两种 1.自己动态计算重定位偏移 call @F @@: pop ebx sub ebx, offset @B lea eax, [ebx+offset Sleep] push 1 call eax 传统的壳大部分都是采用这种 2.重定位表...[/QUOTE] 非常感谢楼上大哥给的提示，后来我在论坛找到一个code ，是动态获取的运行时地址的， // RetAddress : [ esp + 8 ] long __stdcall RunAddressSubIfAddress(long RetAddress) { long* pRetAddress; long ret ; if(0 == RetAddress) //触发异常 { DB(0xCC); DB(0xEB); DB(0xCC); } pRetAddress = &RetAddress; pRetAddress --; ret = (pRetAddress) - 5 - (long)GetRunAddressSubIfAddress; pRetAddress = RetAddress; return ret; } __declspec(naked) long __stdcall GetRunAddressSubIfAddress() { __asm call RunAddressSubIfAddress; //这里没有给数 } // 将编译地址转换为运行时地址 PVOID __stdcall GetRunAddress(PVOID pData) { // 编译值 + 偏移(运行时 - 编译时) long sub = GetRunAddressSubIfAddress(); long ret = (long)((long)pData + sub); return (PVOID) ret; } 原理就是修正 = 运行时地址（返回地址 - 5） - 编译地址（函数名）任何编译地址 + 修正值就得到了运行时地址。非常感谢！ 2015-9-5 22:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复