检测DLL代码拼接

Question

我正在尝试编写一些函数来检测 DLL 代码拼接。我认为 dll 代码拼接意味着修改加载的 dll 中函数开头的字节，这样它就不会跳转到 dll 中的完整函数实现，而是跳转到其他位置。

到目前为止我的方法是：
首先 - 加载的 dll 信息（例如加载的 dll 的图像库等）是我通过使用 Toolhelp32 库获得的。

对于每个加载的 dll：

• 通过读取内存中 dll 的导出表来获取每个函数地址 (rva)，在内存中的
• 该地址处读取 8 个字节，
• 从磁盘上的 dll 版本获取函数 rva
• 解析磁盘上 dll 的 PE 标头，将 rva 转换为文件偏移量 - 在这里也读取 8 个字节
• 比较这 8 个字节

现在我知道我没有做正确的事情，而且我可能犯了概念性错误。

我一直在用notepad.exe，32位进行测试。对于加载的 DLL 中的大多数函数，比较都是成功的，但往往会发现一些差异。

例如：
ntdll.dll：序号=00000059，rva=0007e098，fileoffs=0007d498，函数VA：7c97e098
磁盘：00 00 00 00 00 00 00 00
内存： e4 04 00 00 00 00 00 00

和：
ntdll.dll: ordinal=0000003d, rva=0009d0d8, fileoffs=0009c4d8 函数 VA: 77a9d0d8
磁盘：a1 5c 81 f9 77 c3 90 90
mem: a1 5c 81 ad 77 c3 90 90

有人跟我提到这与搬迁有关。然而，我无法弄清楚这一点，而且我还没有找到任何关于如何应用它的文档。

有人有这方面的信息或链接吗？或者有谁知道我哪里失败了？ 非常感谢。

编辑： DLL 的正在其首选映像基址处加载（当将OptionalHeader.ImageBase 与内存中已加载模块的基址进行比较时）。

因此，我一直试图找出为什么会存在差异 - 例如。上图：为什么 ntdll 中的第 1312 个函数似乎匹配，但第 1313 个函数却不匹配。

Answer 1

重定位是包含绝对地址的虚拟偏移列表。如果图像未在其首选图像库加载，则需要调整重定位表中列出的所有偏移量。如果您的首选映像基址是 0x400000，并且 DLL 在 0x500000 处加载，则只需将重定位列表中提到的偏移量处的数据调整为 0x100000。

请参阅PE 内部的对等互连中的“PE 文件基重定位”部分对于格式。