PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
首先我们先来演示一下内存VA地址与FOA地址互相转换的方式,通过使用WinHEX打开一个二进制文件,打开后我们只需要关注如下蓝色注释为映像建议装入基址,黄色注释为映像装入后的RVA偏移。
通过上方的截图结合PE文件结构图我们可得知0000158B
为映像装入内存后的RVA偏移,紧随其后的00400000
则是映像的建议装入基址,为什么是建议而不是绝对?别急后面慢来来解释。
通过上方的已知条件我们就可以计算出程序实际装入内存后的入口地址了,公式如下:
VA(实际装入地址) = ImageBase(基址) + RVA(偏移) => 00400000 + 0000158B = 0040158B
找到了程序的OEP以后,接着我们来判断一下这个0040158B
属于那个节区,以.text节区为例,下图我们通过观察区段可知,第一处橙色位置00000B44 (节区尺寸)
,第二处紫色位置00001000 (节区RVA)
,第三处00000C00 (文件对齐尺寸)
,第四处00000400 (文件中的偏移)
,第五处60000020 (节区属性)
。
得到了上方text节的相关数据,我们就可以判断程序的OEP到底落在了那个节区中,这里以.text节为例子,计算公式如下:
虚拟地址开始位置:节区基地址 + 节区RVA => 00400000 + 00001000 = 00401000
虚拟地址结束位置:text节地址 + 节区尺寸 => 00401000 + 00000B44 = 00401B44
经过计算得知 .text 节所在区间(401000 - 401B44) 你的装入VA地址0040158B
只要在区间里面就证明在本节区中,此处的VA地址是在401000 - 401B44
区间内的,则说明它属于.text节。
经过上面的公式计算我们知道了程序的OEP位置是落在了.text节,此时你兴致勃勃的打开x64DBG想去验证一下公式是否计算正确不料,这地址根本不是400000开头啊,这是什么鬼?
上图中出现的这种情况就是关于随机基址的问题,在新版的VS编译器上存在一个选项是否要启用随机基址(默认启用),至于这个随机基址的作用,猜测可能是为了防止缓冲区溢出之类的烂七八糟的东西。
为了方便我们调试,我们需要手动干掉它,其对应到PE文件中的结构为 IMAGE_NT_HEADERS -> IMAGE_OPTIONAL_HEADER -> DllCharacteristics 相对于PE头的偏移为90字节,只需要修改这个标志即可,修改方式 x64:6081 改 2081
相对于 x86:4081 改 0081
以X86程序为例,修改后如下图所示。
经过上面对标志位的修改,程序再次载入就能够停在0040158B
的位置,也就是程序的OEP,接下来我们将通过公式计算出该OEP对应到文件中的位置。
.text(节首地址) = ImageBase + 节区RVA => 00400000 + 00001000 = 00401000
VA(虚拟地址) = ImageBase + RVA(偏移) => 00400000 + 0000158B = 0040158B
RVA(相对偏移) = VA - (.text节首地址) => 0040158B - 00401000 = 58B
FOA(文件偏移) = RVA + .text节对应到文件中的偏移 => 58B + 400 = 98B
经过公式的计算,我们找到了虚拟地址0040158B
对应到文件中的位置是98B
,通过WinHEX定位过去,即可看到OEP处的机器码指令了。
接着我们来计算一下.text节区的结束地址,通过文件的偏移加上文件对齐尺寸即可得到.text节的结束地址400+C00= 1000
,那么我们主要就在文件偏移为(98B - 1000)在该区间中找空白的地方,此处我找到了在文件偏移为1000之前的位置有一段空白区域,如下图:
接着我么通过公式计算一下文件偏移为0xF43
的位置,其对应到VA虚拟地址是多少,公式如下:
.text(节首地址) = ImageBase + 节区RVA => 00400000 + 00001000 = 00401000
VPK(实际大小) = (text节首地址 - ImageBase) - 实际偏移 => 401000-400000-400 = C00
VA(虚拟地址) = FOA(.text节) + ImageBase + VPK => F43+400000+C00 = 401B43
计算后直接X64DBG跳转过去,我们从00401B44
的位置向下全部填充为90(nop),然后直接保存文件。
再次使用WinHEX查看文件偏移为0xF43
的位置,会发现已经全部替换成了90指令,说明计算正确。
到此文件偏移与虚拟偏移的转换就结束了,其实在我们使用X64DBG修改可执行文件指令的时候,X64DBG默认为我们做了上面的这些转换工作,其实这也能够解释为什么不脱壳的软件无法直接修改,因为X64DBG根本无法计算出文件偏移与虚拟偏移之间的对应关系,所以就无法保存文件了(热补丁除外)