手动修改PE文件:添加自定义代码

最新推荐文章于 2023-02-03 11:46:25 发布
最新推荐文章于 2023-02-03 11:46:25 发布
阅读量4.9k 收藏 8
点赞数 2
分类专栏: PE 文章标签: 修改PE 添加代码 感染PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nargnos/article/details/40863609
版权
本文介绍了如何手动修改PE文件,通过在Dos头和Nt头之间、节末尾的Padding以及新增节添加代码来感染PE文件。步骤包括准备、设置导入表和数据、编写代码、重建或添加重定位表以及修改跳转,以确保自定义代码的执行。
摘要由CSDN通过智能技术生成

在PE文件里有很多位置可以添加自己的代码(其实就是感染PE),凡是用不到的地方都能加。想到的位置有(在文件中不是在内存中):Dos头和Nt头之间、每个节末尾的Padding(间隙)、新增节分配在文件末尾的空间;其它覆盖数据的方法不安全容易引起错误还是算了。添加后还要在程序中设置跳转以执行自己的代码,有用跳转和改入口点的方法。总之方法很多,下面举个例子:


1. 准备


在这里我要加的代码功能为:弹出一个对话框,关掉对话框后就运行一个计算器。这个需要涉及到的问题是,弹出对话框和运行程序的函数未导入,对话框显示的字符串和运行计算器的路径放的位置。对于不设置导入表和不设置数据段的方法,看了一下我测试用的程序,PE头是够写这些的。不过现在要说到写Shellcode就有点跑题了,以后再说,在这里先记一下,虽然在这里用那个会比较简单(前面的内容都可以跳过了),不过相对简单的东西另有自己的一个复杂度,还是换一篇来说比较好。现在用的是设置导入表并把数据放到数据段的方法,这个方法需要设置重定位,有可能需要新建重定位表。那么现在先开始写代码。
测试程序的情况是这样:


最低0.47元/天 解锁文章
PE:向PE文件某个节添加一个自己的代码
KKMI的博客
06-04 1181
PE添加一个ShellCode到PE文件一.预备知识1.CALL和JMP指令 一.预备知识 1.CALL和JMP指令
手动修改PE文件修改节表
当我在写代码的时候我在写什么
11-06 4000
目前想到的关于修改节表就是新增节和节表移位,其它的改节的读什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增节 现在很多解析PE格式的软件都有添加节的功能,具体代码怎么,下面就说一下。PE格式结构排布顺序是这样:Dos头->DosStub->NT头->节表->Padding->节内容。 在节表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
手动修改PE文件:删除Dos Stub
当我在写代码的时候我在写什么
11-05 2520
自己动手丰衣足食。前面说到Dos Stub是可以删除的,现在要说的不止删除Dos Stub,顺便把DosHeader跟NtHeader合并了。这篇的时候我是编一个只用了一个MessageBoxA函数的程序。做了一些优化,把程序结构和代码都搞得非常简单,因为现在是手动修改,结构太复杂的话手工改不过来。下面开始。 1、删除DosStub并且合并DosHeader、NtHeader
逆向工程之作业:手工修改PE文件
weixin_47356546的博客
12-09 1063
文字描述思路,关键步骤截图,形成打印版文档,提交。 1.对齐粒度 将helloworld.EXE的文件对齐和内存对齐粒度设置为相同,都为1000H,查看节表,得到以下效果。 步骤: Peditor打开helloworld.exe文件 打开节表, 右键点击一个节,选择编辑节,修改原始大小和原始偏移 点击应用更改。 例:选择.text节 修改了以后保存,文件就不能运行了,因为文件实际的内容大小对应不上。 打开Winhex,在几个部分进行填充,使文件实际大小和PEditor内容对应 (1). text部分由
PE添加代码
个人笔记
05-21 331
PE入Shellcode需要用到的数据必须掌握的知识实现步骤 需要用到的数据 AddressOfEntryPoint ImageBase SizeofRawData VirtualSize 必须掌握的知识 实现的功能:执行完添加代码后,跳回原来的入口。 硬编码知识: call : E8 X=[(真正跳转的地址-(E8下一行的指令地址))] //X得出来的地址必须是内存加载时的地址 jmp : E9 [同上公式] 变式:X = 真正跳转的地址-(E8当前地址+5) 注:下一行地址 = 当前地址+
pe文件结构在空白区添加代码
goat_2003的博客
06-10 485
想要再空白区添加代码,首先我们需要清晰一下我们需要做的步骤。 1.查找本机MessageBoxA地址 2.打开OD调试工具拖入要添加的exe程序。 3.在命令输入 : (输入后按下回车键) 4.找任意一段空白区添加代码 (最好是添加到 空白区开始预留一行的位置,便于以后再添加更多代码节约空间) 5.计算E8跳转的地址 6.修改OEP (程序入口的点) 预备知识 汇编指令 硬编码 call E8 00 00 00 00 jmp E9 00 00 00 00 push 6A .
VC++ 实现增大可执行文件的体积 自定义文件大小
12-23
- 分析现有PE文件结构,确定要修改的部分。 - 使用适当的API(如CreateFile、SetFilePointer、SetEndOfFile)或第三方库(如PElib)来修改文件。 - 编代码来填充新分配的空间。 - 确保所有相关的元数据(如节...
文件标题:日记帐预校对espm:用于模拟STEM-EDXS数据集的Python库
日记帐预校对espm:用于模拟STEM-...//doi.org/10.1016/j.ultramic.2023.113719参考号:ULTRAM 113719出现在:超显微镜接收日期:2022年修订日期:2023年3月9日接受日期:2023年请引用这篇文章作为:A.Teurtrie,N.Pe
自定义Lombok注解
weixin_30896825的博客
08-22 1869
Java 是一门"繁琐"的语言,使用Lombok可以显著地减少样板代码。比如使用@Getter注解可以为你的私有属性创建 get 方法。 源代码 @Getter private int age = 10; 生成后代码 private int age = 10; public int getAge() { return age; } Lombok 自身已经拥有许...
PE文件节区添加并弹出简单的对话框
12-03
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
可执行文件数据转换支持库2.0版(cnvpe.fne)-易语言
06-13
在实际应用,开发者可以利用这个支持库来创建或修改PE文件,例如制作自定义启动器、逆向工程分析、调试工具或者病毒扫描软件等。同时,由于支持库是易语言官方提供的,因此其稳定性、兼容性和文档支持都有保证。 ...
PE文件在任意空白区域添加代码
CleanMe的博客
12-24 724
环境: windowsXP 工具: 吾爱版OD,winhex , vc6++ 当然,知道一些PE文件头的知识更好 在最后有介绍一点PE文件结构的知识,有助于理解此文章 目标:在一个程序的任意空白区域添加代码 ( 转换为机器码 ) 如在文件头与节数据之间添加代码: 在此位置添加一个message弹框的机器码,使程序在执行前先弹出一个消息框。 先查看message消息框的汇编代码 在00401032处先把message函数方法需要四个参数压入栈,然后call直接调用message函数 但是m.
PE文件入自己想要执行的代码
weixin_43754657的博客
03-02 325
PE文件入自代码 向一个PE文件入MessageBox()方法 查看MessageBox()的硬编码 构造需要入的代码 6A 00 6A 00 6A 00 6A 00 E8 E4 E9 95 65 E9 57 36 00 00 在PE文件 F90 处入我们想要执行的硬编码(PE的空白数据) 公式:要跳转的地址 - E8指令当前的地址 - 5 ...
PE文件增加可执行代码
qq_37860866的博客
03-11 541
最近想一个软件壳,需要给PE文件增加一个区段(Section),来执行一些初始化的工作。只要先学习一下PE文件的格式和结构,有个大概了解后,我想就能很容易出相关代码。网上有很多PE格式的介绍,这里就不多介绍,直入主题。   增加的执行代码有两个地方可以放,一个是现有PE文件区段在数据对齐时有一些空隙,这样的空隙一般只能存放比较小块的代码,优点是对原有的PE文件数据改动比较小,大小也不会改
PE文件修改---减少节区
最新发布
weixin_51738129的博客
02-03 368
打开标准头,找到size of image地址为000000D0,大小为00008000,减去映像大小最小单位00000000。删除节区头(用0填充),用PEview打开文件Tut.ReverseMe1,找到节区reloc地址范围:0218到0240。,找到这个节的起始位置,section.reloc起始位置是00003600,之后全部删除。保存为Tut.ReverseMe3.exe。,5个节修改位4个节。
手动修改pe加功能
清秋水的专栏
03-26 521
主要思路  ,,使用OD将我们的代码进去 ,然后更改PE入口点让其先执行我们的代码再跳到程序原来的入口执行,首先使用 LoadPE 在其输入表加入我们代码需要的api 如果原来程序已经导入了 那就不需要了,然后OD载入程序 找一个空的地方 ,保险的办法是使用 zeroadd 加一个新的区段,然后跳到这个段入我们的功能代码 当然要使用汇编了,最后加上一句 jmp 指令跳到程序原来的入口,然后保
.NET对PE结构的扩展
01-08 3117
 可执行文件的格式是反映一个系统程序运行机制的重要方面,Win32下可执行文件是读者已经非常熟悉的PE格式,在.NET系统,运行机制的改变带来了可执行文件格式的扩展。一方面,.NET建立在Win32/64的基础上,兼容性的要求决定了.NET的可执行文件必须是在PE的基础上进行扩展;另一方面,Win32PE文件存储的是汇编代码,而.NET存储的是MSIL与元数据,后者无论是在逻辑结构还
逆向修改PE文件代码
wen_877591354的博客
05-08 836
今天玩一下修改PE结构; 用到的文件是ipmsg.exe,和PE查看器; 这两个我都放百度网盘上了; 链接:https://pan.baidu.com/s/1HcMUWuEtpQnVmJ1AHX1qAA 提取码:0qrq 需求是要给PE文件注入一段代码,加入MessageBoxA函数; ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值