Манипуляции с Pe заголовком
Есть небольшой вопрос по PE заголовку. Как известно, в секции .text заголовка содержится информация о коде программы. И в соответствии с ним Windows загружает программу в память. Допустим, мы грубо (через бинарный редактор) перенесли код программы куда-то дальше, вставив между PE заголовком и кодом n*16 штук нулей. Потом в соответствии с новой позицией поменяли в секции .text заголовка данные. Будет ли нормально грузиться программа? Зависит ли содержимое секции .text от кода программы?
Большое спасибо.
Здравствуйте!
Есть небольшой вопрос по PE заголовку. Как известно, в секции .text заголовка содержится информация о коде программы. И в соответствии с ним Windows загружает программу в память. Допустим, мы грубо (через бинарный редактор) перенесли код программы куда-то дальше, вставив между PE заголовком и кодом n*16 штук нулей. Потом в соответствии с новой позицией поменяли в секции .text заголовка данные. Будет ли нормально грузиться программа? Зависит ли содержимое секции .text от кода программы?
Большое спасибо.
Я пологаю, что умрут все ссылки типа "Перейти в код по адресу ...". Увы, так вирус писать сложнее.=(
Но почему эти ссылки умрут? Ведь, мне так кажется, на то и существуют секции, чтобы такого не случилось. Как вы считаете?
Сразу замечу, что это мне надо не для написания вируса. Скорее, для исследования оных :)
Но почему эти ссылки умрут? Ведь, мне так кажется, на то и существуют секции, чтобы такого не случилось. Как вы считаете?
Проще, по-моему, дописать после файла... Но, раз ты не про это спрашиваешь - значит уже не надо простого.=) Тьфу - сам в фразе запутался.=)
Я пологаю, что умрут все ссылки типа "Перейти в код по адресу ...". Увы, так вирус писать сложнее.=(
Да действительно умрут, но их можно востановить из relocation table. Все необходимые точки там указаны. Есть еще одно но: надо смотреть чтобы код не наложилися на данные, после такого вмешательства.
2gwg605: По-моему, relocation table - это пережиток формата exe, который использовался в MS-DOS и в PE'шных exe'шниках сохранился только для совместимости. А если рассматривать код с точки зрения ассемблера, то в обозначениях адресов используется абсолютные или относительные адреса?
В relocation table, насколько я помню, записывается, где абсолютные адреса используются в программе. Это нужно, когда программа загружается не по тому image base, по которому была слинкована. Тогда в соответствии с relocation table все абсолютные адреса корректируются. Такое чаще всего происходит с dll'ками, когда при загрузке нужный image base оказывается уже занят. Хранится всё это дело в секции .reloc
А по поводу секции text: Ты хочешь менять её положение в файле или виртуальный адрес? В первом случае тебе не придётся менять ничего в самой секции. Во втором же тебе придётся написать небольшую програмку, которая будет корректировать все ссылки на эту секцию в соответствии с изменениями.
По-моему, relocation table - это пережиток формата exe, который использовался в MS-DOS и в PE'шных exe'шниках сохранился только для совместимости. А если рассматривать код с точки зрения ассемблера, то в обозначениях адресов используется абсолютные или относительные адреса?
Ну ну - "пережиток". Этот так называемый "прежиток" был и всегда будет в интеловской архитектуре да и не только в ней.
Тогда понятно. Просто в dos тоже был некий relocation table, я подумал, что говорилось о нем. Т.е. если ставить вирь в конце файла, то она должна учитывать свою позицию в exe файле?
Вирусы, как правило, представляют из себе позиционно-независимый код. Поэтому им не нужно использовать relocation table. Позиционная независимость достигается несложным приёмом:
call label
label:
pop ebp
sub ebp,3
после этого ebp указывает на начало вируса, и вся адресация потом ведётся через ebp.
Здравствуйте!
Есть небольшой вопрос по PE заголовку. Как известно, в секции .text заголовка содержится информация о коде программы. И в соответствии с ним Windows загружает программу в память. Допустим, мы грубо (через бинарный редактор) перенесли код программы куда-то дальше, вставив между PE заголовком и кодом n*16 штук нулей. Потом в соответствии с новой позицией поменяли в секции .text заголовка данные. Будет ли нормально грузиться программа? Зависит ли содержимое секции .text от кода программы?
Большое спасибо.
Поясняю:
Для нормальной загрузки файла требуется правильный RVA секции - а физическое смещение в файле значения не имеет. Вот если ты в виртуальное пространство программы захочешь ручками вставить n данных - тогда у тебя адреса поплывут.
Механизм загрузки:
Загрузчик выделяет память под прогу равную ImageSize указанную в заголовке PE файла.
Потом в эту память грузятся секции из файла.
Положение секции определяется двумя параметрами:
Relative Virtual Address (RVA) - адрес памяти в которую загрузится секция и Physical Offset (RAW) - физическое смещение в файле к данным секции. Отсюда и получается что физическое смещение может быть любым (какая разница откуда грузить) а вот с RVA лучше без лишних нужд не баловать.