逆向工具之移动导出表

gclome

原文链接：逆向工具之移动导出表

0x01 移动表目的

1、PE结构里许多表是编译器自动生成的，里面存储很多非常重要的信息，比如这次要移动的导出表记录了函数的地址，序号，函数名称，函数数量等，通俗来说，导出表相当于一张函数使用说明书，提供给函数使用。

2、在程序启动的时候，系统会根据这些表来做初始化的工作：比如将用到的DLL中的函数地址存储到IAT表中，修复IAT表。

3、很多时候，为了保护我们的程序，可以对程序的二进制代码进行加密操作，但存在的问题是：各种表的信息与客户字节的代码和数据都混在一起，如果全部进行加密，那系统在初始化程序的时候会出问题，无法加载这个程序，那加密失去意义。

0x02 导出表结构
​


上图中的导出表中的AddressOfFunctions、AddressOfNames、AddressOfNameOrdinals的值都是内存相对偏移
RVA(内存相对偏移)，FOA(文件相对偏移)

0x03 移动导出表
​


1、将原来的dll加载进内存中，堆区新开辟一块内存，大小为原来dll大小与新增节的大小之和(新增节大小直接给了0x1000，可以通过计算来判断大小)，将原来dll的数据全部拷贝到申请的内存中去，再新增一个节表，并返回新开辟内存的首地址。

2、复制AddressOfFunctions指向的函数地址表，需要将内存相对偏移转化为文件相对偏移，长度：4*NumberOfFunctions。

3、复制AddressOfNameOrdinals指向的函数序号表，需要将内存相对偏移转化为文件相对偏移，长度：2*AddressOfNames。

4、复制AddressOfNames指向的函数名称地址表，需要将内存相对偏移转化为文件相对偏移，长度：4*AddressOfNames。

5、复制所有的函数名，长度需要通过strlen()函数进行计算，复制时直接修复函数名称地址表中的地址。

6、复制IMAGEEXPORTDIRECTORY结构(导出表)。

7、修复IMAGEEXPORTDIRECTORY结构中的AddressOfFunctions、AddressOfNames、AddressOfNameOrdinals，需要将FOA转化为RVA，并且指向IMAGEEXPORTDIRECTORY结构的指针要进行更新，否则修改的还是原来位置的导出表。

8.修复可选PE头中的导出表目录的地址值(RVA)，指向新的IMAGEEXPORTDIRECTORY。


0x04 实现函数

1. #include <stdio.h>
   
2. #include <stdlib.h>
   
3. #include <string.h>
   
4. #include <windows.h>
   
5. #define SECTIONLENGTH 0x1000
   
6. #define EVERYSECTIONTABLELENGTH 0x28
   
7. #define SECTIONNAME ".export"
   
8. #define INPUTFILENAME "D:/dynamicdll.dll"
   
9. #define INPUTMODE "rb"
   
10. #define OUTPUTFILENAME "D:/test.dll"
    
11. #define OUTPUTMODE "wb"
    
12. 
    
13. /*************************************************

复制代码

函数功能：读取一个文件,将文件内容写入到内存中;
函数参数：无
函数返回值：pFileBuffer(LPVOID)

1. **************************************************/
   
2. LPVOID FileBuffer() {
   
3.     FILE* pFile = NULL; //文件指针
   
4.     LPVOID pFileBuffer = NULL; //存放数据内存的首地址
   
5.     DWORD filesize = 0;//记录文件大小
   
6.     size_t result = 0;//记录写入的返回结果
   
7. 
   
8.     //打开一个文件
   
9.     pFile = fopen(INPUTFILENAME, INPUTMODE);
   
10.     if (pFile == NULL) {
    
11.         printf("打开文件失败!\n");
    
12.         return NULL;
    
13.     }
    
14. 
    
15.     //统计文件的大小
    
16.     fseek(pFile, 0, SEEK_END);
    
17.     filesize = ftell(pFile);
    
18.     fseek(pFile, 0, SEEK_SET);
    
19. 
    
20.     //申请一块内存
    
21.     pFileBuffer = malloc(filesize);
    
22.     if (pFileBuffer == NULL) {
    
23.         printf("申请内存失败!\n");
    
24.         fclose(pFile);
    
25.         return NULL;
    
26.     }
    
27. 
    
28.     //将文件数据写入内存
    
29.     result = fread(pFileBuffer, 1, filesize, pFile);
    
30.     if (result != filesize) {
    
31.         printf("文件写入内存失败!\n");
    
32.         fclose(pFile);
    
33.         free(pFileBuffer);
    
34.         return NULL;
    
35.     }
    
36. 
    
37.     fclose(pFile);
    
38.     return pFileBuffer;
    
39. }
    
40. 
    
41. /*************************************************

复制代码

函数功能：计算一个文件大小；
函数参数：filename(文件的绝对路径,LPSTR),mode(读取文件的形式，LPSTR)
函数返回值：filesize(int)

1. **************************************************/
   
2. DWORD CountFileSize(LPSTR filename, LPSTR mode) {
   
3.     FILE* pFile = NULL;
   
4.     LPSTR pFileBuffer = NULL;
   
5.     DWORD filesize = 0;
   
6. 
   
7.     //打开文件
   
8.     pFile = fopen(filename, mode);
   
9.     if (pFile == NULL) {
   
10.         printf("打开文件失败!\n");
    
11.         return NULL;
    
12.     }
    
13. 
    
14.     //统计文件大小
    
15.     fseek(pFile, 0, SEEK_END);
    
16.     filesize = ftell(pFile);
    
17.     fseek(pFile, 0, SEEK_SET);
    
18. 
    
19.     fclose(pFile);
    
20.     return filesize;
    
21. }
    
22. 
    
23. 
    
24. /*************************************************

复制代码

函数功能：计算一个filebuffer的大小；
函数参数：pFileBuffer(LPVOID)
函数返回值：filesize(int)

1. **************************************************/
   
2. DWORD CountFileBufferSize(LPVOID pFileBuffer) {
   
3.     PIMAGE_DOS_HEADER pDosHeader = NULL;
   
4.     PIMAGE_NT_HEADERS pNTHeader = NULL;
   
5.     PIMAGE_FILE_HEADER pPEHeader = NULL;
   
6.     PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
   
7.     PIMAGE_SECTION_HEADER pSectionHeader = NULL;
   
8.     DWORD filesize = 0;//记录文件大小
   
9. 
   
10.     if (pFileBuffer == NULL) {
    
11.         printf("文件写入内存失败!\n");
    
12.         return NULL;
    
13.     }
    
14. 
    
15.     //判读是否具有MZ标志                                                                                            
    
16.     if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE) {
    
17.         printf("不具有MZ标志!\n");
    
18.         free(pFileBuffer);
    
19.         return 0;
    
20.     }
    
21. 
    
22.     pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    
23. 
    
24.     //判断是否具有PE标志                                                                                            
    
25.     if (*(PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew) != IMAGE_NT_SIGNATURE) {
    
26.         printf("不具有PE标志\n");
    
27.         free(pFileBuffer);
    
28.         return 0;
    
29.     }
    
30. 
    
31.     pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
    
32.     pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
    
33.     pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
    
34.     pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
    
35. 
    
36.     //最后一个节头地址 + 最后一节大小
    
37.     filesize = (DWORD)((pSectionHeader + pPEHeader->NumberOfSections - 1)->PointerToRawData + (pSectionHeader + pPEHeader->NumberOfSections - 1)->SizeOfRawData);
    
38.     return filesize;
    
39. }
    
40. 
    
41. 
    
42. /*************************************************

复制代码

函数功能：PE文件尾部新增一个节；
函数参数：pFileBuffer(LPVOID)
函数返回值：pNewFileBuffer(LPVOID)

1. **************************************************/
   
2. LPVOID AddLastSection(LPVOID pFileBuffer) {
   
3.     LPVOID pNewFileBuffer = NULL;
   
4.     PIMAGE_DOS_HEADER pDosHeader = NULL;
   
5.     PIMAGE_NT_HEADERS pNTHeader = NULL;
   
6.     PIMAGE_FILE_HEADER pPEHeader = NULL;
   
7.     PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
   
8.     PIMAGE_SECTION_HEADER pSectionHeader = NULL;
   
9. 
   
10.     if (pFileBuffer == NULL) {
    
11.         printf("文件写入内存失败!\n");
    
12.         return NULL;
    
13.     }
    
14. 
    
15.     pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    
16.     pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
    
17.     pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
    
18.     pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
    
19.     pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
    
20. 
    
21.     //判断节表空间是否足够,节表后需要预留一个节表空间的位置
    
22.     if (pSectionHeader->PointerToRawData - (DWORD)(pSectionHeader + pPEHeader->NumberOfSections) < 0x50) {
    
23.         printf("节表空间不够!\n");
    
24.         free(pFileBuffer);
    
25.         return NULL;
    
26.     }
    
27. 
    
28.     //开辟新的内存
    
29.     DWORD filesize = CountFileBufferSize(pFileBuffer);
    
30.     pNewFileBuffer = malloc(filesize + SECTIONLENGTH);
    
31.     if (pNewFileBuffer == NULL) {
    
32.         printf("申请内存失败!\n");
    
33.         free(pFileBuffer);
    
34.         return NULL;
    
35.     }
    
36. 
    
37.     //新内存初始化为0
    
38.     memset(pNewFileBuffer, 0, filesize + SECTIONLENGTH);
    
39. 
    
40.     //拷贝原来的文件内容到新内存并释放旧文件内存
    
41.     memcpy(pNewFileBuffer, pFileBuffer, filesize);
    
42.     free(pFileBuffer);
    
43. 
    
44.     //结构体指针再次初始化
    
45.     pDosHeader = (PIMAGE_DOS_HEADER)pNewFileBuffer;
    
46.     pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pNewFileBuffer + pDosHeader->e_lfanew);
    
47.     pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
    
48.     pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
    
49.     pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
    
50. 
    
51.     //修改sizeofimage
    
52.     pOptionHeader->SizeOfImage += SECTIONLENGTH;
    
53. 
    
54.     //copy第一个节表内容
    
55.     memcpy(pSectionHeader + pPEHeader->NumberOfSections, pSectionHeader, EVERYSECTIONTABLELENGTH);
    
56. 
    
57.     //修改新增的节表的项目
    
58.     PIMAGE_SECTION_HEADER changeSection1 = pSectionHeader + pPEHeader->NumberOfSections;//新增节表首地址
    
59.     PIMAGE_SECTION_HEADER changeSection2 = pSectionHeader + pPEHeader->NumberOfSections - 1;//新增节表的前一个节表首地址
    
60.     changeSection1->Misc.VirtualSize = SECTIONLENGTH;//修改内存中的尺寸
    
61.     changeSection1->SizeOfRawData = SECTIONLENGTH;//修改文件中的尺寸
    
62.     memcpy(changeSection1, SECTIONNAME, 0x8);//修改名字
    
63. 
    
64.     changeSection1->PointerToRawData = changeSection2->PointerToRawData + changeSection2->SizeOfRawData;
    
65.     if (changeSection2->SizeOfRawData > changeSection2->Misc.VirtualSize){
    
66.         changeSection1->VirtualAddress = changeSection2->VirtualAddress + changeSection2->SizeOfRawData;
    
67.     }
    
68.     else{
    
69.         changeSection1->VirtualAddress = changeSection2->VirtualAddress + changeSection2->Misc.VirtualSize;
    
70.     }
    
71. 
    
72.     //修改NumberOfSections
    
73.     pPEHeader->NumberOfSections += 1;
    
74. 
    
75.     return pNewFileBuffer;
    
76. }
    
77. 
    
78. 
    
79. /*************************************************

复制代码

函数功能：将RVA的值转换成FOA；
函数参数：pFileBuffer(LPVOID),virtualAddress(LPSTR)
函数返回值：fileAddress(LPVOID)

1. **************************************************/
   
2. LPVOID RvaToFoa(LPVOID pFileBuffer, LPSTR virtualAddress) {
   
3.     LPSTR sectionAddress = NULL;//记录距离节头的距离
   
4.     LPSTR fileAddress = NULL;//记录文件中的偏移
   
5.     PIMAGE_DOS_HEADER pDosHeader = NULL;
   
6.     PIMAGE_NT_HEADERS pNTHeader = NULL;
   
7.     PIMAGE_FILE_HEADER pPEHeader = NULL;
   
8.     PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
   
9.     PIMAGE_SECTION_HEADER pSectionHeader = NULL;
   
10. 
    
11.     if (pFileBuffer == NULL) {
    
12.         printf("文件写入内存失败!\n");
    
13.         return NULL;
    
14.     }
    
15. 
    
16.     pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    
17.     pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
    
18.     pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
    
19.     pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
    
20.     pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
    
21. 
    
22.     if ((DWORD)virtualAddress <= pOptionHeader->SizeOfHeaders){
    
23.         return virtualAddress;
    
24.     }
    
25. 
    
26.     for (DWORD i = 1; i <= pPEHeader->NumberOfSections; i++) {
    
27.         if ((DWORD)virtualAddress < pSectionHeader->VirtualAddress) {
    
28.             pSectionHeader--;
    
29.             break;
    
30.         }
    
31.         else if (i == pPEHeader->NumberOfSections){
    
32.             break;
    
33.         }
    
34.         else{
    
35.             pSectionHeader++;
    
36.         }
    
37. 
    
38.     }
    
39. 
    
40.     //距离该节头的距离
    
41.     sectionAddress = virtualAddress - pSectionHeader->VirtualAddress;
    
42.     fileAddress = pSectionHeader->PointerToRawData + sectionAddress;
    
43. 
    
44.     return (LPVOID)fileAddress;
    
45. }
    
46. 
    
47. 
    
48. /*************************************************

复制代码

函数功能：将FOA的值转换成RVA;
函数参数：pFileBuffer（LPVOID）,virtualAddress（LPSTR）
函数返回值：fileAddress（LPVOID）

1. **************************************************/
   
2. LPVOID FoaToRva(LPVOID pFileBuffer, LPSTR fileaddress) {
   
3.     LPSTR sectionAddress = NULL;//记录距离节头的距离
   
4.     LPSTR virtualaddress = NULL;//记录内存中的偏移
   
5.     PIMAGE_DOS_HEADER pDosHeader = NULL;
   
6.     PIMAGE_NT_HEADERS pNTHeader = NULL;
   
7.     PIMAGE_FILE_HEADER pPEHeader = NULL;
   
8.     PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
   
9.     PIMAGE_SECTION_HEADER pSectionHeader = NULL;
   
10. 
    
11.     if (pFileBuffer == NULL) {
    
12.         printf("文件写入内存失败!\n");
    
13.         return NULL;
    
14.     }
    
15. 
    
16.     pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    
17.     pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
    
18.     pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
    
19.     pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
    
20.     pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
    
21. 
    
22.     if ((DWORD)fileaddress <= pOptionHeader->SizeOfHeaders){
    
23.         return fileaddress;
    
24.     }
    
25. 
    
26.     for (DWORD i = 1; i <= pPEHeader->NumberOfSections; i++) {
    
27.         if ((DWORD)fileaddress < pSectionHeader->PointerToRawData) {
    
28.             pSectionHeader--;
    
29.             break;
    
30.         }
    
31.         else if (i == pPEHeader->NumberOfSections){
    
32.             break;
    
33.         }
    
34.         else{
    
35.             pSectionHeader++;
    
36.         }
    
37. 
    
38.     }
    
39. 
    
40.     //距离该节头的距离
    
41.     sectionAddress = fileaddress - pSectionHeader->PointerToRawData;
    
42.     virtualaddress = pSectionHeader->VirtualAddress + sectionAddress;
    
43. 
    
44.     return (LPVOID)virtualaddress;
    
45. }
    
46. 
    
47. /*************************************************

复制代码

函数功能：移动导出表;
函数参数：pFileBuffer(LPVOID)
函数返回值：无

1. **************************************************/
   
2. void MoveExportTable(LPVOID pFileBuffer) {
   
3.     PIMAGE_DOS_HEADER pDosHeader = NULL;
   
4.     PIMAGE_NT_HEADERS pNTHeader = NULL;
   
5.     PIMAGE_FILE_HEADER pPEHeader = NULL;
   
6.     PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
   
7.     PIMAGE_SECTION_HEADER pSectionHeader = NULL;
   
8. 
   
9.     PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;//定位目录
   
10.     PIMAGE_EXPORT_DIRECTORY exportTableAddress = NULL;//定位导出表的真正位置
    
11.     PDWORD addressOfFunction = NULL;//定位函数地址表的真正位置
    
12.     PDWORD addressOfName = NULL;//定位函数名称地址表的真正位置
    
13.     PWORD addressNameOrdinals = NULL;//定位函数序号表的真正位置
    
14.     LPVOID returnAddress = NULL;//记录RVAtoFOA的返回值
    
15. 
    
16.     if (pFileBuffer == NULL) {
    
17.         printf("文件写入内存失败!\n");
    
18.         return;
    
19.     }
    
20. 
    
21.     //新增一个节
    
22.     LPVOID pNewFileBuffer = AddLastSection(pFileBuffer);
    
23. 
    
24.     if (pNewFileBuffer == NULL) {
    
25.         printf("新增节失败!\n");
    
26.         return;
    
27.     }
    
28. 
    
29.     pDosHeader = (PIMAGE_DOS_HEADER)pNewFileBuffer;
    
30.     pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pNewFileBuffer + pDosHeader->e_lfanew);
    
31.     pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
    
32.     pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
    
33.     pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
    
34.     pDataDirectory = (PIMAGE_DATA_DIRECTORY)pOptionHeader->DataDirectory;
    
35. 
    
36.     //定位导出表位置
    
37.     returnAddress = RvaToFoa(pNewFileBuffer, (LPSTR)(pDataDirectory->VirtualAddress));
    
38.     exportTableAddress = (PIMAGE_EXPORT_DIRECTORY)((DWORD)returnAddress + (DWORD)pNewFileBuffer);
    
39. 
    
40.     //定位函数地址表
    
41.     returnAddress = RvaToFoa(pNewFileBuffer, (LPSTR)(exportTableAddress->AddressOfFunctions));
    
42.     addressOfFunction = (PDWORD)((DWORD)(returnAddress)+(DWORD)pNewFileBuffer);
    
43.     PDWORD pNewSection = (PDWORD)((pSectionHeader + pPEHeader->NumberOfSections - 1)->PointerToRawData + (DWORD)pNewFileBuffer);
    
44. 
    
45.     //复制AddressOfFunctions
    
46.     PDWORD repairAddressOfFunction = (PDWORD)((DWORD)pNewSection - (DWORD)pNewFileBuffer);
    
47.     memcpy(pNewSection, addressOfFunction, (exportTableAddress->NumberOfFunctions) * 4);
    
48. 
    
49.     //定位函数序号表
    
50.     returnAddress = RvaToFoa(pNewFileBuffer, (LPSTR)(exportTableAddress->AddressOfNameOrdinals));
    
51.     addressNameOrdinals = (PWORD)((DWORD)(returnAddress)+(DWORD)pNewFileBuffer);
    
52.     pNewSection = (PDWORD)((DWORD)pNewSection + ((exportTableAddress->NumberOfFunctions) * 4));
    
53. 
    
54.     //复制AddressOfNameOrdinals
    
55.     PWORD repairAddressNameOrdinals = (PWORD)((DWORD)pNewSection - (DWORD)pNewFileBuffer);
    
56.     memcpy(pNewSection, addressNameOrdinals, (exportTableAddress->NumberOfNames) * 2);
    
57. 
    
58.     //定位函数名称地址表
    
59.     returnAddress = RvaToFoa(pNewFileBuffer, (LPSTR)(exportTableAddress->AddressOfNames));
    
60.     addressOfName = (PDWORD)((DWORD)(returnAddress)+(DWORD)pNewFileBuffer);
    
61.     pNewSection = (PDWORD)((DWORD)pNewSection + ((exportTableAddress->NumberOfNames) * 2));
    
62. 
    
63.     //复制AddressOfNames
    
64.     PDWORD repairAddressOfName = (PDWORD)((DWORD)pNewSection - (DWORD)pNewFileBuffer);
    
65.     memcpy(pNewSection, addressOfName, (exportTableAddress->NumberOfNames) * 4);
    
66. 
    
67.     //循环复制函数名并修复函数名地址
    
68.     DWORD singleFunctionNamelen = 0;//记录函数名称长度
    
69.     DWORD allFuntionNamelen = 0; //记录函数名称总长度
    
70.     PDWORD repairAddressName = (PDWORD)pNewSection;//用于修复函数名地址
    
71.     PDWORD functionNamePtr = (PDWORD)((DWORD)pNewSection + (exportTableAddress->NumberOfNames) * 4);//用于拷贝函数名称进行偏移
    
72.     PDWORD namePtr = NULL;//存储函数名的FOA
    
73. 
    
74.     for (DWORD i = 1; i <= exportTableAddress->NumberOfNames; i++) {
    
75.         //将函数名称地址表的RVA转化成FOA
    
76.         returnAddress = (PBYTE)RvaToFoa(pNewFileBuffer, LPSTR(*repairAddressName));
    
77.         namePtr = (PDWORD)((DWORD)returnAddress + (DWORD)pNewFileBuffer);
    
78.         //尾部的0
    
79.         singleFunctionNamelen = strlen((const char*)namePtr) + 1;
    
80.         memcpy(functionNamePtr, (const void*)namePtr, singleFunctionNamelen);
    
81.         allFuntionNamelen += singleFunctionNamelen;
    
82.         *repairAddressName = (DWORD)(FoaToRva(pNewFileBuffer, (LPSTR)((DWORD)functionNamePtr - (DWORD)pNewFileBuffer)));
    
83.         functionNamePtr = (PDWORD)((DWORD)functionNamePtr + singleFunctionNamelen);
    
84.         repairAddressName++;
    
85.     }
    
86. 
    
87.     pNewSection = (PDWORD)((DWORD)pNewSection + (exportTableAddress->NumberOfNames) * 4 + (DWORD)allFuntionNamelen);
    
88.     PBYTE repairExportTable = (PBYTE)((DWORD)pNewSection - (DWORD)pNewFileBuffer);//用于修复目录表
    
89. 
    
90.     //复制IMAGE_EXPORT_DIRECTORY结构
    
91.     memcpy(pNewSection, exportTableAddress, 0x28);
    
92. 
    
93.     //修复IMAGE_EXPORT_DIRECTORY结构中的AddressOfFunctions、AddressOfNameOrdinals、AddressOfNames FOA→RVA
    
94.     exportTableAddress = (PIMAGE_EXPORT_DIRECTORY)pNewSection;
    
95.     exportTableAddress->AddressOfFunctions = (DWORD)FoaToRva(pNewFileBuffer, (LPSTR)repairAddressOfFunction);
    
96.     exportTableAddress->AddressOfNameOrdinals = (DWORD)FoaToRva(pNewFileBuffer, (LPSTR)repairAddressNameOrdinals);
    
97.     exportTableAddress->AddressOfNames = (DWORD)FoaToRva(pNewFileBuffer, (LPSTR)repairAddressOfName);
    
98. 
    
99.     //修复目录项中的值，指向新的IMAGE_EXPORT_DIRECTORY
    
100.     pDataDirectory->VirtualAddress = (DWORD)FoaToRva(pNewFileBuffer, (LPSTR)repairExportTable);
     
101. 
     
102.     //存盘
     
103.     FILE* pFile = NULL;
     
104.     DWORD newfilesize = 0;
     
105.     size_t newresult = 0;
     
106. 
     
107.     pFile = fopen(OUTPUTFILENAME, OUTPUTMODE);
     
108.     if (pFile == NULL) {
     
109.         printf("打开文件失败!\n");
     
110.         free(pNewFileBuffer);
     
111.         return;
     
112.     }
     
113. 
     
114.     newfilesize = CountFileSize(INPUTFILENAME, INPUTMODE) + SECTIONLENGTH;
     
115.     newresult = fwrite(pNewFileBuffer, 1, newfilesize, pFile);
     
116. 
     
117.     if (newresult != newfilesize) {
     
118.         printf("写入文件失败!\n");
     
119.         fclose(pFile);
     
120.         free(pNewFileBuffer);
     
121.         return;
     
122.     }
     
123. 
     
124.     printf("存盘成功!\n");
     
125.     fclose(pFile);
     
126.     free(pNewFileBuffer);
     
127. }
     
128. 
     
129. int main(){
     
130.     LPVOID pFileBuffer = FileBuffer();
     
131.     MoveExportTable(pFileBuffer);
     
132.     return 0;
     
133. }
     
134. 
     

复制代码

0x05 结果展示
原来的dll


​

移动后的dll

​