修复OllyDump插件的BUG
这个插件修复导入表的时候,在尾部附加.idata2区块的时候,修改SizeOfImage字段有问题。插件直接把.idata2区块的SizeOfRawData加给了SizeOfImage字段,实际上该字段的计算方法为SizeOfRawData以SectionAligement对齐因粒对齐后的值加上最后一个区块的RVA值。
总而言之,这个错误很坑爹,还坑爹坑大发了。{:5_191:}
我以前写代码增加区块,新区块的RVA值都是直接取SizeOfImage算的。这下可好,给这插件的BUG给端了饺子。{:5_126:}
最关键的是,我特么还智障的以为插件的方法是对的,开始怀疑人生了,害得我专门开了个求助帖询问。{:5_188:}
感谢LiQingYe兄台拉了我一把啊,差点就特么被这个破插件绕进去了。{:5_189:}
=================================正文开始==============================
被这个插件整这么惨,不搞它一波我都觉得对不起自己。
坑爹展示:**** Hidden Message *****
SizeOfImage字段,位于NT头的第0x50偏移处,往后面找找看有没有操纵这个字段的地方。
不得不说这是个大坑,,,我们得Patch掉这个地方。
具体思路是
1.给插件增加一个区块,记得要可执行,用来保存我们的Patch代码
2.根据ECX得到SectionAligement值
3.对齐
4.更新SizeOfImage
直接上一下我的修改代码吧。
替换掉原来的插件,换上Patch后的,脱一个壳之后,发现字段OK。
打包我修复后的版本:
把原版插件删掉,把这个版本放进去即可。
感谢分享若干原创帖。{:5_117:} {:6_220:}赞赞赞,一直不怎么用这个插件。。{:7_264:} 很久没碰 PE了 ,支持下{:5_188:} ps: onllydump 已经有 EX版本了 LYQingYe 发表于 2018-2-20 20:10
很久没碰 PE了 ,支持下 ps: onllydump 已经有 EX版本了
ex没有修复导入表 居然有这等Bug,谢谢分享! 感谢楼主修复 谢谢楼主分享 谢谢楼主分享 李沉舟 发表于 2018-2-20 20:32
ex没有修复导入表
有的 1.6 rebuild datadirectory