手动修改PE文件:删除Dos Stub

最新推荐文章于 2023-09-01 09:31:29 发布
最新推荐文章于 2023-09-01 09:31:29 发布
阅读量2.5k 收藏 9
点赞数 1
分类专栏: PE 文章标签: 修改PE Dos Stub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nargnos/article/details/40804543
版权
本文介绍了如何手动修改PE文件,详细步骤包括删除DosStub,合并DosHeader和NtHeader,修改节表Raw Address,以及后续的相关调整。通过实例演示,解释了每个步骤的必要性和操作方法,最终实现程序的正常运行。
摘要由CSDN通过智能技术生成

自己动手丰衣足食。前面说到Dos Stub是可以删除的,现在要说的不止删除Dos Stub,顺便把DosHeader跟NtHeader合并了。写这篇的时候我是编一个只用了一个MessageBoxA函数的程序。做了一些优化,把程序结构和代码都搞得非常简单,因为现在是手动修改,结构太复杂的话手工改不过来。下面开始。


1、删除DosStub并且合并DosHeader、NtHeader

别吐槽这个标题为什么那么长。预先要了解的是,Dos Stub在两个头之间,Dos头只有2个字段有用:MZ魔数和0x3C处的Nt头偏移。也就是说,Dos头和Nt头的某些部分可以重叠在一起,只要重叠后的0x3C处是Nt头的修改了也无所谓的字段就行了。下面开始找位置。Nt头的0x3C位置是节的对齐大小,这个是不能乱改的,只能往前找;BaseOfData在64位程序中会跟ImageBase合并在一起,所以为了通用性也不能在这里;BaseOfCode乱改貌似没什么事发生,只是OD载入时会提示有错误,反正程序能正常运行就先用这里吧。这里的位置为Nt头的0x2C处,而我们需要把这个字段放到0x3C处,所以在Dos头的0x10处为Nt头起始地址。
根据前面的结果,只要把从0x10到Nt头之间的数据全删掉就行了,这堆数据中就包括了DosStub。删除掉之后,需要在0x3C处填入现在的Nt头的偏移0x10(注意是DWORD),这样也就完成了两个头的合并。



2、修改节表Raw Address


如果光删除那段数据就能用的话,那就可以默默地呵呵了,不过没那么简单。因为后面的东西整体往前移了n字节(我在此次编写中使用的程序删掉了0xC8个字节,因为0x10处到Nt头之间有这么多字节,其它程序不一定是这个值,后面就先用它来说了),所以后面牵连到一堆东西都要做修改。节表的RawAddress指的是文件中的偏移,现在数据往前移动了,这个地址也要跟着减小。所以在这里要把节表中所有的RawAddress都减掉0xC8,修改完毕之后就可以发现导入表和资源等内容在CFF Explorer中可以看到了,但是此时程序还不可运行。

最低0.47元/天 解锁文章
手动修改PE文件修改节表
当我在写代码的时候我在写什么
11-06 4004
目前想到的关于修改节表就是新增节和节表移位,其它的改节的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增节 现在很多解析PE格式的软件都有添加节的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos->DosStub->NT->节表->Padding->节内容。 在节表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
手动修改PE文件:添加自定义代码
当我在写代码的时候我在写什么
11-06 4971
PE文件里有很多位置可以添加自己的代码(其实就是感染PE),凡是用不到的地方都能加。想到的位置有(在文件中不是在内存中):Dos和Nt之间、每个节末尾的Padding(间隙)、新增节分配在文件末尾的空间;其它覆盖数据的方法不安全容易引起错误还是算了。添加后还要在程序中设置跳转以执行自己的代码,有用跳转和改入口点的方法。总之方法很多,下面举个例子: 1. 准备 在这里我要加
逆向工程之作业:手工修改PE文件
weixin_47356546的博客
12-09 1074
文字描述思路,关键步骤截图,形成打印版文档,提交。 1.对齐粒度 将helloworld.EXE的文件对齐和内存对齐粒度设置为相同,都为1000H,查看节表,得到以下效果。 步骤: Peditor打开helloworld.exe文件 打开节表, 右键点击一个节,选择编辑节,修改原始大小和原始偏移 点击应用更改。 例:选择.text节 修改了以后保存,文件就不能运行了,因为文件实际的内容大小对应不上。 打开Winhex,在几个部分进行填充,使文件实际大小和PEditor内容对应 (1). text部分由
把某个PE文件里的DOS Stub程序分离出来
cay22的专栏
01-11 2381
http://hi.baidu.com/sageking2/blog/item/c653a23dfe2bfae73c6d9715.html 把某个PE文件里的DOS Stub程序分离出来 正常PE文件格式会有一个Dos Stub块,事实上就是一个DOS下的*.exe程序。 当我们拿一个Win32程序跑到DOS系统下运行就会执行这个程序。       先拿十六进制工具WinHex打开一个De
dos stub
weixin_39057744的博客
10-17 602
ASSUME CS:CODE,DS:DATA,ES:STACK STACK SEGMENT ;DB 8 DUP (?) STACK ENDS CODE SEGMENT push cs pop ds mov dx,0eh mov ah,09h int 21h MOV ax,4C01H INT 21H CODE ENDS DATA SEGMENT D...
PE文件格式详解
最新发布
音视频图形编程学习乐园
09-01 1675
本文描述了Windows系统的PE文件格式。
基于VC++实现PE修改编程
尹成的技术博客
05-11 4550
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件DOS-stub(DOS-
peClean (清除PE中的无用数据
04-06 3036
以LordPE和OD成功加载为基础,清除PE部中的“垃圾”数据实际情况可能没多大用处,昨天晚上想温习一下PE的格式就写了这个使用时把PE文件拖进对话框即可xp sp2 + VC6附件:peclean.rar#include "PeClean.h"DWORD IsPE(HANDLE hFile){  char  ReadBuffer[4];  DWORD  dwRead;  DWORD  dwO
PE文件结构分析(包括DOS、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
目录 一、 PE文件总述 2 1、PE文件和COM文件 2 2、PE文件基本结构 2 二、 DOS 3 三、 PE文件 4 1、PE标识 4 2、映像文件IMAGE_FILE_HEADER 4 3、可选映像文件 5 四、 节表和节 8 1、节表 8 2、RVA和FOA 9 3、节 9 五、 修改思路 14 1、基本 14 2、进阶 14 六、 实现 15 1、修改文件 15 1、查找序列号的错误打开方式和正确打开方式 16
PE文件-DOS
weixin_45012273的博客
11-06 405
概述 PE文件是指某一种格式的文件,可执行文件(.exe),动态链接ku(.dll),驱动文件(.sys)等等.... PE文件整体的格式图: DOS IMAGE_DOS_HEADER格式 为了兼容DOS程序而设立 中间字段对现在来说没有作用 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; //PE的标志 解析是作为是否为PE文件的第一个标志 值为0X5A4D "MZ" .
PE文件修改---减少节区
weixin_51738129的博客
02-03 377
打开标准,找到size of image地址为000000D0,大小为00008000,减去映像大小最小单位00000000。删除节区(用0填充),用PEview打开文件Tut.ReverseMe1,找到节区reloc地址范围:0218到0240。,找到这个节的起始位置,section.reloc起始位置是00003600,之后全部删除。保存为Tut.ReverseMe3.exe。,5个节修改位4个节。
PE文件学习(1)DOS和NT
lonmar的博客
02-11 630
大致结构 dos和NT之间通常还有个DOS Stub DOS DOS的作用是兼容MS-DOS操作系统中的可执行文件 一般没啥用 记录着PE的位置 DOS定义部分 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic ...
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 3044
 不赖猴的笔记,转载请注明出处。一、        Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件DOSPE和Section。2. 然后根据PE里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定
VC生成的exe文件中, Dos部分除了Dos Stub之外, 还多了一些东西
cay22的专栏
01-12 1912
VC生成的exe文件中, Dos部分除了Dos Stub之外, 还多了一些东西 gcc编译器编译出来的exe文件dosstub部分只有This program cannot be run in DOS mode,但是VC除此之外还多出来几行,谁知道这几行这是干什么的,在纯dos模式下VC也不过就是显示This program cannot be run in DOS mode,没干其他事
MS-DOS
十年磨一剑,霜刃未曾试!
06-10 2875
<br />每个PE文件都是以一个Dos程序开始的,有了它,一旦程序在Dos下执行,Dos就能识别出这是有效的执行体,然后运行紧随MZ header之后的Dos stub(Dos块). Dos stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,它将简单的显示一个错误提示,This program must be run under Win32。Dos stub一般都是由编译器自动生成的。Dos MZDos stub合称为Dos文件。<br /> <br />MS-DOS部占据了PE
PE文件格式总结
m0_48995611的博客
06-11 424
PE文件格式总结基本介绍1.DOS Header 和 DOS stub2.NT headers2.1File header2.2 Optional header3.Section headers4.Sections其他 时间:202106 基本介绍 PE文件主要由 文件 和 区段(Section) 构成(如图所示),文件记录相关信息,而区段则存放相关数据。相连代表数据在文件中存储紧接上一部分。 文件部分包括: (1) DOS Header (2) DOS Stub (3) NT Headers
手动构建PE文件
当我在写代码的时候我在写什么
11-10 1389
手工用16进制编辑器编一个PE,做到弹出一个MessageBox并且尽量缩小大小。 1. 可以缩减的地方 PE可以缩减,因为是重新构建的关系,所以可以把3C处偏移到Nt的节对齐大小位置,然后后面内容就按照这个节大小值去设置就行了,偏移位置有0x02、0x04,0x02的0x3C处在值的中间,导致对齐大小太大,所以选择0x04,这是节对齐正好就是4。设置可选大小和数据目录大
PE文件格式详解:从DOS stub到NT Signature
接着是总览部分,指出每个PE文件的开是一个MS-DOS可执行体,确保PE文件能在MS-DOS环境下运行。然后是4字节的签名0x00004550,也称为IMAGE_NT_SIGNATURE或PE签名,标志着这是个PE文件。紧接着是按照COFF格式定义的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值