星綻紫輝(rawdata)的Blog

                    
          原創(chuàng)：星綻紫輝 http://www.shnenglu.com/rawdata   2009-3-6

 
         權(quán)作筆記。

         如果要將某個(gè)dll注入PE文件（不需要裝載dll和運(yùn)行PE）,只需要拷貝原來的Import表，然后復(fù)制該表到文件對(duì)齊間隙區(qū)，然后在后面寫入自定義的dll結(jié)構(gòu)。一般新加的結(jié)構(gòu)為0x14長，這個(gè)結(jié)構(gòu)對(duì)應(yīng)的值都是RVA,通過RVA計(jì)算出RAW,該RAW對(duì)應(yīng)的便是dll名字，序數(shù)，偏移地址等信息（可以先從dll的export表中讀取所以導(dǎo)出函數(shù)信息再寫入PE文件，export表的結(jié)構(gòu)比Import表更簡(jiǎn)單）。


         通過RVA計(jì)算RAW,簡(jiǎn)單計(jì)算方法：如果RVA被分成5塊，文件也肯定被分成5塊，只要保證塊塊之間一一對(duì)應(yīng)，偏移相同就可以很容易在RVA和RAW之間相互轉(zhuǎn)換。



         總結(jié)：
         需要修改的地方：
         1.Import表的表頭信息：位置，大小必須重新修訂
         2.將新的Import表放入空白區(qū)(間隙處)

         需要注意的地方：
         △ 理論上任意跨區(qū)的空白區(qū)都可以，但是如果該區(qū)的屬性為只讀，且不為初始化數(shù)據(jù)，就會(huì)執(zhí)行失敗。原因：PE加載后會(huì)自動(dòng)修改該區(qū)的數(shù)據(jù)。比較好的做法是：不去尋找間隙，而是增加一個(gè)區(qū)段，然后設(shè)置該區(qū)段屬性為讀寫和初始化數(shù)據(jù)，然后將新的Import表寫到該區(qū)。

         △不需要修改IAT表

         結(jié)果：dll在PE運(yùn)行時(shí)自動(dòng)加載。 （rawdata）