冒险解谜游戏中文网 ChinaAVG

标题: 【汉化资料】改造PE中的函数为导出函数 [打印本页]
作者: shane007    时间: 2008-10-29 07:57
标题: 【汉化资料】改造PE中的函数为导出函数
1、前言:为什么要这么做
( p+ P: U: o) f1 u, r很多时候,我们发现一个PE(EXE或DLL)中非常有用且功能独立的函数(call xxxxxxxx),并且已经知道了这个函数的各个入口参数的类型和具体含义,我们想在其他的软件中使用这个函数。于是,我想到了将这个PE中的函数改成一个导出函数,这样,我们就可以在任何软件中通过“LoadLibrary("ThisPE.EXE")”等API来使用这个函数了。
4 U8 [# u  J6 n) _- q/ X  C! i9 B7 B0 w7 W6 {
在汉化中的应用是可以直接调用游戏中的解包,压包函数来解包,压包,以及访问游戏中的文本显示函数等等。。。! i2 y' n. S4 m8 V8 f
. D) n" z( z- C; i8 t0 e" ]
2、技术基础:已经了解PE结构 % r) [  r. ?* x( i4 ?$ \6 V1 r3 g
) f( R9 Q! E$ H: O" Q1 d
3、分类:
* P2 ^( s& y+ @6 i% K(1)有导出表的DLL和EXE文件--非常简单
7 I6 N  F5 B* H# y% y对于这类PE文件,要简单的多,因为只要修改一下PE中的Export,增加上一个导出函数,并把这个导出函数的入口指向我们要导出的call的调用地址(RVA格式)就可以了。甚至可以更简单的处理:找个不用的导出函数,改一下入口就可以了。 $ z- O% I* L5 {3 z4 p
(2)没有导出表的EXE文件--稍微复杂 " C; o5 F% H" w) b0 e2 p
因为大部分EXE文件没有导出表,所以我们必须要给它增加一个导出表。其实也很简单,给EXE增加一个节,并在这个节中按照导出表的格式构造一个导出函数,并将这个函数入口指向我们要导出的call的调用地址的RVA,并在PE头中指出其位置和大小。   ?2 l3 L. c! {# k

$ x: s* j; h9 V: V4、举例说明:
7 @- [7 H: r) Q9 G" x/ utest.exe:ImageBase=0x00400000
7 v4 X' W4 F  O, \8 t( [2 D发现test.exe 的 0x00408050 处为call 0x0040A012 的 0x0040A012是我们要导出的函数,我们将它导出为MyFunction函数。 - E# Q$ u. Q, {; Z
1 t/ s) D$ |" y: L% u, r
(1)给test.exe增加一个节:RVA=0x28000,size=0x1000
( K4 K1 ?: q, \(2)构造导出表:
+ ]' Y# f4 A  ]+ s5 PMy_Export_Table dd 0 ;Characteristics
, ]; o" r) u3 JMy_TimeDateStamp dd 0 ;TimeDateStamp & F: V+ ~' s/ Y4 q% E* }
dw 0 ;MajorVersion
( V: L8 R5 H$ X8 J* Ldw 0 ;MinorVersion
# G, b& Y4 x! O/ CMy_nName dd My_DLL_nName-ImageBase ;nName " s( R0 @" M. a9 E7 i
dd 1 ;nBase , N" ^: d  Y( k" @3 ]! M9 C
dd 1 ;NumberOfFunctions
+ y8 f% \+ g0 c! Z6 ~; Y2 f* Xdd 1 ;NumberOfNames
) X; ?+ a% R% S5 y. `) IMy_AddressOfFunctions dd 0x0040A012-ImageBase ;AddressOfFunctions / ^  z, x1 G6 g0 x/ M/ U% [4 t
My_AddressOfNames dd My_Fun_Name-ImageBase ;AddressOfNames
1 ?) [, i0 Y  h) v. U9 t' h; z1 eMy_AddressOfNameOrdinals dd 0 ;AddressOfNameOrdinals
$ [6 s2 _. s7 S# r% J9 v* ?! M---------------------------------------------------------------------
$ e/ B% z# _: B- |# i7 sMy_Fun_Name db 'MyFunction',0
6 }+ ?" Z$ Z; R- ?5 n2 p2 oMy_DLL_nName db 'test.exe',0
) n! y# I. W& V% l2 q: l) U# o) Q2 v, e
(3)LoadPe修改PE头,将导出表地址填入0x28000,大小填入0x1000,保存。
  s4 z3 g' d; e$ m: B1 H7 k) J
! J) l: A6 j) G* `' f: B% CSpirng.W/2005.3.14 % J; z$ Y$ }2 X! w/ K  k& T3 m
: B) I9 f7 a! u. e$ Q# ~# _

- x, o0 c# D  p% P) f  u4 ~--------------------------------------------------------------------------------



欢迎光临 冒险解谜游戏中文网 ChinaAVG (https://chinaavg.com/) Powered by Discuz! X3.2