为什么DLL的.reloc块中插入表项后加载时出错???-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼重定位表的总Size修正了没有？应该还有简单的解决方法，在这个地址使用之前用代码手动帮其修正重定位后的值应该也可以吧 2006-9-9 20:48 0
Eanry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	Eanry 3 楼理论上应该可以，但应该要写一大段代码（如调用系统的GetProcessInfoA函数等获取基址后对比默认基址，若不同再自己进行修正等），但没有使用重定位表来得简单明了。我曾经想过借用EIP的值来进行修正，但结果系统不接受EIP作源操作数。另外我总结出每个重定位列表的表项数必须为偶数，即（列表长度-8）/2的结果不能是奇数。这应该是32位系统的问题吧，奇数项要插入0000来修正。已经查过PE头的.reloc段的总长，实际是3000B长，RVA中是26B8长。但实际段内的有用数据只得2020B，其余为00。该DLL修改后用OD查过实际内存，发觉加入的代码的地址已经被修正，但在调用的EXE文件中显式用LoadLibraryA函数加载调用时却中途出现异常：非法访问内存[1612000]，提示Shift F7/F8/F9忽略，返回后EAX的值为FFFFFFFF。不知为何，比较前后的DLL，只是插入了一个重定位表项。插入后则加载出错，但是插入的项起了作用，可以被重定位。另外查过重定位表的最后一项指向的RVA也已经被重定位了，也就是说整个重定位表能被全部执行使用。真是不明白！纳闷！！！ 2006-9-10 09:15 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼在原重定位表后面追加一个表能行的： Relocation Block: VirtualAddress: xxxxx SizeOfBlock: xxxxxx RVA Type ---------- ----------------- 0x0000xxx HIGHLOW 0x0000xxx HIGHLOW 如方便将DLL给我，帮你看看。 2006-9-10 11:33 0
Eanry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	Eanry 5 楼非常感谢 fly 大哥和看雪坛主的帮忙和建议，刚才问题已经解决了。原因是我误会了fly兄讲的重定位表的总长，以为他是指块表中的RVA总长，所以忽略了。原来，在PE头中还有个目录索引表，即块表前哪个。里面的size才是关键。修改了后就可以正常加载了。但还是有点疑惑：为什么size比实际数据短，但实际块中超出的表项指向的RVA却可以被重定位？但又出现访问出错？虽然结果中EAX为负1，但DLL却实际被加载到了内存中去了。而其他块如代码块，我加了代码时只是改了块表的RVA长度而没有改索引表的size却没有出现问题。看来我真是太水皮了，哈哈。。。 2006-9-10 16:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼重定位表的总Size修正了没有？应该还有简单的解决方法，在这个地址使用之前用代码手动帮其修正重定位后的值应该也可以吧 2006-9-9 20:48 0
Eanry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	Eanry 3 楼理论上应该可以，但应该要写一大段代码（如调用系统的GetProcessInfoA函数等获取基址后对比默认基址，若不同再自己进行修正等），但没有使用重定位表来得简单明了。我曾经想过借用EIP的值来进行修正，但结果系统不接受EIP作源操作数。另外我总结出每个重定位列表的表项数必须为偶数，即（列表长度-8）/2的结果不能是奇数。这应该是32位系统的问题吧，奇数项要插入0000来修正。已经查过PE头的.reloc段的总长，实际是3000B长，RVA中是26B8长。但实际段内的有用数据只得2020B，其余为00。该DLL修改后用OD查过实际内存，发觉加入的代码的地址已经被修正，但在调用的EXE文件中显式用LoadLibraryA函数加载调用时却中途出现异常：非法访问内存[1612000]，提示Shift F7/F8/F9忽略，返回后EAX的值为FFFFFFFF。不知为何，比较前后的DLL，只是插入了一个重定位表项。插入后则加载出错，但是插入的项起了作用，可以被重定位。另外查过重定位表的最后一项指向的RVA也已经被重定位了，也就是说整个重定位表能被全部执行使用。真是不明白！纳闷！！！ 2006-9-10 09:15 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼在原重定位表后面追加一个表能行的： Relocation Block: VirtualAddress: xxxxx SizeOfBlock: xxxxxx RVA Type ---------- ----------------- 0x0000xxx HIGHLOW 0x0000xxx HIGHLOW 如方便将DLL给我，帮你看看。 2006-9-10 11:33 0
Eanry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	Eanry 5 楼非常感谢 fly 大哥和看雪坛主的帮忙和建议，刚才问题已经解决了。原因是我误会了fly兄讲的重定位表的总长，以为他是指块表中的RVA总长，所以忽略了。原来，在PE头中还有个目录索引表，即块表前哪个。里面的size才是关键。修改了后就可以正常加载了。但还是有点疑惑：为什么size比实际数据短，但实际块中超出的表项指向的RVA却可以被重定位？但又出现访问出错？虽然结果中EAX为负1，但DLL却实际被加载到了内存中去了。而其他块如代码块，我加了代码时只是改了块表的RVA长度而没有改索引表的size却没有出现问题。看来我真是太水皮了，哈哈。。。 2006-9-10 16:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复