Invalid number of data directories in NT header

先简单介绍一下PE(Windows的可执行程序exe和动态链接库dll都采用Portable Executable文件格式)的Nt Headers下的Optional Header结构字段NumberOfRvaAndSizes:
MSDN的介绍:The number of directory entries in the remainder of the optional header. Each entry describes a location and size.
NumberOfRvaAndSizes存储了数据目录表的数目,通常它的值为00 00 00 10(16)。由它告知系统当前某个exe或dll所能够访问的数据目录数。在查看一个数据目录前,必定会先根据数据表目录数目来判断。如果将它 设置为0、1、2则会直接导致源程序或dll无法运行或加载。因为0表示数据目录什么都没有、1表示有Export Table,2表示有Export Table又有Import Table。没有这些数据目录数的标识,系统根本就无法识别导入原程序的一些重要运行数据和函数(.idata、.edata)。
以下是Optional Header所对应_IMAGE_OPTIONAL_HEADER的定义(在WinNT.h中):
typedef struct _IMAGE_OPTIONAL_HEADER {
  WORD                 Magic;
  BYTE                 MajorLinkerVersion;
  BYTE                 MinorLinkerVersion;
  DWORD                SizeOfCode;
  DWORD                SizeOfInitializedData;
  DWORD                SizeOfUninitializedData;
  DWORD                AddressOfEntryPoint;
  DWORD                BaseOfCode;
  DWORD                BaseOfData;
  DWORD                ImageBase;
  DWORD                SectionAlignment;
  DWORD                FileAlignment;
  WORD                 MajorOperatingSystemVersion;
  WORD                 MinorOperatingSystemVersion;
  WORD                 MajorImageVersion;
  WORD                 MinorImageVersion;
  WORD                 MajorSubsystemVersion;
  WORD                 MinorSubsystemVersion;
  DWORD                Win32VersionValue;
  DWORD                SizeOfImage;
  DWORD                SizeOfHeaders;
  DWORD                CheckSum;
  WORD                 Subsystem;
  WORD                 DllCharacteristics;
  DWORD                SizeOfStackReserve;
  DWORD                SizeOfStackCommit;
  DWORD                SizeOfHeapReserve;
  DWORD                SizeOfHeapCommit;
  DWORD                LoaderFlags;
  DWORD                NumberOfRvaAndSizes;
  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER, 
 *PIMAGE_OPTIONAL_HEADER;
关于_IMAGE_OPTIONAL_HEADER结构内字段的详细内容可以查阅MSDN:http://msdn.microsoft.com/en-us/library/ms680339(VS.85).aspx

Reflector可以反编译查看未加密和混淆的程序代码,不过通过修改PE的Nt Headers下的Optional Header结构中的部分值一样可以anti对方的查看(前提是对方对反编译与加壳技术不了解)。现在修改之前提到的NumberOfRvaAndSizes的值,让它足够小,但不要小于2。
首先随便找一个dll然后用Reflector打开,看到可以查看源代码

图1 Reflector可以查看CLIAPI.dll

用一些反壳工具(比如CFF、WinHex)找到Optional Header,修改其中的NumberOfRvaAndSizes然后重新保存CLIAPI.dll

图2 CFF Explorer修改Optional Header的NumberOfRvaAndSizes

再尝试用Reflector打开CLIAPLI.dll,提示无法查看:Invalid number of data directories in NT header。

图3 Reflector查看修改后的CLIAPI.dll

posted @ 2010-02-05 10:15  有安科技  阅读(5278)  评论(0编辑  收藏  举报