从可执行文件手动删除.reloc

从可执行文件手动删除.reloc

#include "windows.h"

int main(int argc, char* argv[]){
if (argc != 3) {
return 0;
}
if (strncmp(argv[1], "-r", 2) == 0) {
DeleteFileA(argv[2]);
}
return 0;
}

以上代码Visual Studio编译为可执行文件Deletefile.exe。PEView查看PE如下截图：



遵照《逆向工程核心原理》以下四步操作:

1.整理reloc节区头
2.删除.reloc节区
3.修改IMAGE_FILE_HEADER
4.修改IMAGE_OPTIONAL_HEADER

如下图,通过PEView可知.reloc节区自1800开始。从用十六进制编辑器WinHex从1800开始删除到文件尾部。



修改IMAGE_FILE_HEADER主要是修改number of section



删除一个.reloc故而修改为4.



修改IMAGE_OPTIONAL_HEADER,如下截图,size of row data = 400H，而section alignment为1000，故而size of image减去1000H





修改删除之后可执行文件Deletefile_deletereloc.exe，大小较原来大小7168字节少400H(即1024字节)