PE区段添加编写中的一点心得~

最新推荐文章于 2022-01-08 19:18:15 发布
最新推荐文章于 2022-01-08 19:18:15 发布
阅读量1.9k 收藏
点赞数
分类专栏: 心得~ 文章标签: image import header null access file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq276592716/article/details/6956027
版权

为PE区段的加区段,修改PE头的映像大小= =

代码如下:

BOOL LPESection::AddSection(char *pSectionName, DWORD &dwSectionSize,DWORD dwSectionStact)
{
    LPVOID lPointer=NULL;
 PBYTE  pData=NULL;
    DWORD  newSectionAddr=0;
 
 if (!IsPEFile())
 {
  return FALSE;
 }

 PIMAGE_NT_HEADERS pNTHdr=GetNtHeader();
    //是否有足够空间容纳节头
 if ((pNTHdr->FileHeader.NumberOfSections+1)*sizeof(IMAGE_SECTION_HEADER)>pNTHdr->OptionalHeader.SizeOfHeaders)
    {
  return FALSE;
    }
    //对齐数据
 DWORD uCodeDelta=ZALIGN(dwSectionSize,pNTHdr->OptionalHeader.SectionAlignment);
 DWORD uFileDelta=ZALIGN(dwSectionSize,pNTHdr->OptionalHeader.FileAlignment);

 PIMAGE_SECTION_HEADER pNewSec=(PIMAGE_SECTION_HEADER)(pNTHdr+1)+pNTHdr->FileHeader.NumberOfSections;
 PIMAGE_SECTION_HEADER pLaseSec=pNewSec-1;

 //----------为将要创建的节赋值----------
 strcpy((char*)pNewSec->Name,pSectionName);
 pNewSec->VirtualAddress=pLaseSec->VirtualAddress+ZALIGN(pLaseSec->Misc.VirtualSize,pNTHdr->OptionalHeader.SectionAlignment);
 newSectionAddr=pNewSec->PointerToRawData=pLaseSec->PointerToRawData+pLaseSec->SizeOfRawData;
 pNewSec->Misc.VirtualSize=dwSectionSize;
 pNewSec->SizeOfRawData=uFileDelta;
 pNewSec->Characteristics=dwSectionStact;

 //-------PE头的一些设置-----------------
 pNTHdr->FileHeader.NumberOfSections++;
 pNTHdr->OptionalHeader.SizeOfCode+=uFileDelta;
 pNTHdr->OptionalHeader.SizeOfImage+=uCodeDelta;

 pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size=0;
    pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress=0;

 dwSectionSize=uFileDelta;

 //改变自身数据
 DWORD dwOldSize=pstMapFile->dwFileSize;
 pstMapFile->dwFileSize+=dwSectionSize;

 UnmapViewOfFile(pstMapFile->hMapping);
 CloseHandle(pstMapFile->hMapping);
 pstMapFile->hMapping=CreateFileMapping(pstMapFile->hFile,NULL,PAGE_READWRITE,0,pstMapFile->dwFileSize,NULL);
 pstMapFile->ImageBase=MapViewOfFile(pstMapFile->hMapping,FILE_MAP_ALL_ACCESS,0,0,pstMapFile->dwFileSize);
 return TRUE;

}

pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size=0;
    pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress=0;

上面这两行是平常在其他加区段的代码中不常见的,比如zapline的添加区段代码。如果没有上面这两句,那么对一些有bound iat的程序加壳后不能运行。原因

是IMAGE_BOUND_IMPORT_DESCTIPTOR结构中的OffsetModuleName变量存放的是与第一个IBID结构之间的偏移(不是RVA)。当你加了个新区段后,这个偏

移改变了,所以加壳就失败了~~

QQ276592716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
可执行文件区段添加
08-22
为可执行文件添加一个区段,以便在其添加汇编代码。
Pe 简单增加区段
YoseZang的博客
01-21 754
Pe 简单增加区段 原由 这几天要写个Xor加密的壳子,原来已经写过2遍,但是源码丢掉了,只能很比较无奈的重再写。但是要增加区段啊,用LordPE增加要修改一些相关的信息,不只是在区段的界面增加一个区段,就很麻烦。因此写一个增加区段的工具,很简单,供大家参考。 总共用了一天时间写完,速度还可以,因为毕竟有自己写的Pe库,就很方便。 代码 #include <stdio.h> #include <Windows.h> #include <winnt.h> #inclu
逆向之手工加壳——004
qq_31507523的博客
11-02 469
逆向之手工加壳 试验工具: LordPE、010Editor、OD 试验程序是vs2017编译的控制台程序,开始加壳。 一、添加区段   使用LordPE打开程序添加区段区段就是我们的壳   找到NewSec区段,右键编辑,添加0x200字节大小,随后点击保存。保存后可以运行下,发现运行不起来。   使用010Editor打开,找到最后,按Ctrl+Shift+i 添加0x200个字节大小。保存之后,点击程序发现可以正常运行了。 二、修改入口点(OEP)   同样用LordPE打开,
关于PE文件区段的创建
dasgk的专栏
08-25 1595
对于为已有的EXE文件加壳,一般我们会创建一个区段,在该区段写入的是外壳代码。   加一个区段,通常会有三个步骤   1.首先修改PE文件头部信息,NT头部的区段数目,修改OPTIONAL头部的镜像大小   2.向内存申请一个IMAGE_SECTION_HEADER的内存模型,并修改其各个变量(区块的偏移位置和大小,文件相对虚拟地址和大小)   3.写入文件   现在说下IMA
PE文件增加区段
weixin_52971884的博客
01-08 852
程序主要是对PE文件增加区段,如果对您有帮助请点一个赞,那方面写的不好的请直接评论批评,我一定会尽最大努力改正 #include <stdio.h> #include <stdlib.h> #include <windows.h> int main () { HANDLE hfile = CreateFileA( "C:\\Users\\486\\Desktop\\WP\\magic.exe", GENERIC_ALL, FILE_SHARE_R
PE区段添加器.exe
11-02
PE区段添加器.exe 免杀必备工具 2011最
PE文件区段.rar
04-06
PE文件区段.rar
PE文件、可执行文件区段添加
08-01
可执行文件区段添加器,为你的PE文件添加一个区段,方便你在其写入自己的代码。
PE文件加区段工具zeroadd
04-26
ZeroAddPE文件加区段工具下载,免杀必备的加区加段的工具,为PE文件添加一个区段,方便你在其写入自己的代码,适合反编译工作。
易语言源码易语言取PE文件区段源码.rar
02-18
易语言源码易语言取PE文件区段源码.rar
增加区段工具----------
12-22
此软件为增加区段,可以为可执行程序增加区段。。。。。。。。。。。。。。。。
逆向-PE文件添加区块
写代码的小阿帆的博客
05-27 655
该部分是加壳技术的基础,创建区段后,将壳代码装入该区段,并在程序运行时先行执行,如果区段的创建注入完成了,可以说加壳也成功了一半。 思路分析 经过前面的学习我们会发现,所谓PE文件也只是由一些基础的数据结构构成的,只是他们的变量名太长,整体结构稍许复杂让我们觉得比较恼火,其本质并不难。所以对PE文件的修改,我们只需要遵循其本质规律与特征即可。 在添加区块之前,我们要修改PE文件的一些相关“配置”,区块的有关信息分别存储在PE文件头的FILE_HEADER的区块数量、区块表的区块数据,OPTINONA
简单的PE文件壳设计与验证
weixin_43908728的博客
11-07 629
简单的PE文件壳设计与验证 date: 2020 /11/6 Mission: 实现简单的跳转壳,在PE文件添加节,在节其加入跳转至原入口的指令,实现对原程序的启动。 实现PE文件加密壳,对原程序代码节内容异或运算,在原程序加入节实现对原代码节内容解密并启动运行。 Misson Source:CQU Source Code 测试使用的asm代码 .386 .model flat,stdcall option casemap:none include windows.inc include u
WinHex分析PE格式(2)&& 如何手动添加区段并运行区段
weixin_33708432的博客
08-31 415
由于这次文章内容比较多 所以写成DOC文档 为了复习所学的知识,我在原本的软件里试者手动加入区段 ,并写给大家分享,还试试者用LordPE区段发现竟然失败了, 还是自己动手比较实在,完美运行。 利用OD的汇编功能可以在区段为所欲为 哈哈 修改前的PE信息 修改后的PE信息  摘自:http://bbs.pediy.com/showthread.php?t=89693...
X86逆向教程8:向程序插入区段
weixin_30906701的博客
07-12 344
本节课我们不去破解程序,本节课学习给应用程序插入一些代码片段,这里我就插入一个弹窗喽,当然你也可以插入一段恶意代码,让使用的人招,这里有很多原理性的东西我就不多罗嗦了毕竟是手入门教程,如果想去了解工具的原理的话可以去系统学习PE文件结构的一些内容,好了废话不多说直接开搞。 -----------------------------------------------------------...
Pe增加区段
雪中炭的博客
10-23 1906
话说PE增加区段......//**********************************************// Method: AddEmptySection// Returns: BOOL// Parameter: PCTSTR ptFile添加空节的文件路径// Parameter: UINT uSize 空节的大小//****************
PE添加,删除SECTION
push0714的专栏
12-14 849
PE添加,删除SECTION这两天空闲,自己写了个添加,删除SECTION的程序,发现里面的技巧很多,需要注意的地方也很多,现把心得写上,希望能给正在学习PE文件的朋友提供方便。关于PE的格式,PE的基本知识,请参看其他相关文章。添加SECTION添加SECTION的前提是在最后一个SECTION与第一个区块之间有足够的空间)添加
vc编写pe文件解析工具
最新发布
08-29
PE文件的节表记录了PE文件的各个区段,如代码段、数据段等。通过解析节表,我们可以获取到更加详细的关于各个区段的信息。 最后,我们可以结合以上解析的内容,提供一些实用的功能。例如,我们可以通过解析导入表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值