学习PE写的一个添加节区的工具

最新推荐文章于 2022-11-20 01:12:12 发布
最新推荐文章于 2022-11-20 01:12:12 发布
阅读量2k 收藏 2
点赞数
分类专栏: 看雪转载笔记
前段时间学习PE写了一个添加节区的小工具,拿计算器测试了一下,可以添加90多个节区.

先介绍一下手动添加节区的方法
方法一:(适用于最后一个节区头部与第一个节区数据之间有0x28字节的空间)
代码: 
1.添加节区数据(文件对齐值)
2.修改节数量
3.添加IMAGE_SECTION_HEADER
4.修改SizeOfImage
方法二:重新编辑PE头(适用于最后一个节区头部与第一个节区数据之间没有0x28字节的空间)
代码: 
1.把NT头 + 节区头部 复制粘贴到Dos Stub
2.修改DOS头的e_lfanew偏移为原Dos Stub位置
3.调用方法1
方法三:扩充PE头
代码: 
1.PE头部后面添加一个文件对齐值的大小(0x200)
2.修改SizeOfHeaders
3.修正所有节区的文件偏移
4.调用方法1
以下是部分代码
代码: 
IMAGE_SECTION_HEADER CMyPEFile::AddSection(CString strSectionName, DWORD dwSectionSize)
{
  DWORD dwSectionOffset = GetSectionOffset(0);
  WORD wNumberOfSections = GetNumberOfSections();
  dwSectionOffset += wNumberOfSections * sizeof(IMAGE_SECTION_HEADER);
  DWORD dwSizeOfHeader = GetSizeOfHeaders();
  IMAGE_SECTION_HEADER AddSectionHeader = {0};
  DWORD dwFreeLen = dwSizeOfHeader - dwSectionOffset;
  if(dwFreeLen >= sizeof(IMAGE_SECTION_HEADER))
  {
    /*
    方法一:(适用于最后一个节区头部与第一个节区数据之间有0x28字节的空间)
    1.添加节区数据(文件对齐值)
    2.修改节数量
    3.添加IMAGE_SECTION_HEADER
    4.修改SizeOfImage
    */
    SetNumberOfSections(wNumberOfSections + 1);
    m_NtHeaders.FileHeader.NumberOfSections += 1;
    DWORD SectionAlignment = CheckSectionAlignment(dwSectionSize);
    DWORD dwSizeofImage = GetSizeOfImage();
    SetSizeOfImage(dwSizeofImage + SectionAlignment);
    IMAGE_SECTION_HEADER SectionHeader = {0};
    GetSectionHeader(&SectionHeader, wNumberOfSections - 1);
    
    ZeroMemory(&AddSectionHeader, sizeof(IMAGE_SECTION_HEADER));
    memcpy(AddSectionHeader.Name, strSectionName, 
          strSectionName.GetLength() > 8 ? 8: strSectionName.GetLength());
    AddSectionHeader.Misc.VirtualSize = (DWORD)dwSectionSize;
    AddSectionHeader.VirtualAddress = 
      CheckSectionAlignment(SectionHeader.VirtualAddress 
      + SectionHeader.Misc.VirtualSize);
    AddSectionHeader.SizeOfRawData = CheckFileAlignment(dwSectionSize);
    AddSectionHeader.PointerToRawData =SectionHeader.PointerToRawData 
      + SectionHeader.SizeOfRawData;
    AddSectionHeader.Characteristics = IMAGE_SCN_MEM_EXECUTE | IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE;
    SetSectionHeader(AddSectionHeader, wNumberOfSections);
    SeekToEnd();
    TCHAR* lpBuf = new TCHAR[AddSectionHeader.SizeOfRawData];
    if (lpBuf)
    {
      ZeroMemory(lpBuf, AddSectionHeader.SizeOfRawData);
      Write(lpBuf, AddSectionHeader.SizeOfRawData);
      delete[] lpBuf;
      lpBuf = NULL;
      
      if (GetNumberOfRvaAndSizes() > IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT)
      {
        ZeroBoundImportDataDir();
      }
    }
  }
  else if (dwFreeLen < sizeof(IMAGE_SECTION_HEADER))
  {
    DWORD dwStubLen = m_DosHeader.e_lfanew - sizeof(IMAGE_DOS_HEADER);
    if ((dwFreeLen + dwStubLen) >= sizeof(IMAGE_SECTION_HEADER))
    {
      /*
      方法二:重新编辑PE头(适用于最后一个节区头部与第一个节区数据之间没有0x28字节的空间)
      1.把NT头 + 节区头部 复制粘贴到Dos Stub
      2.修改DOS头的e_lfanew偏移为原Dos Stub位置
      3.调用方法1
      */
      DWORD dwNumOfReads = dwSectionOffset - m_DosHeader.e_lfanew;
      Seek(m_DosHeader.e_lfanew, CFile::begin);
      char* lpBuffer = new char[dwNumOfReads];
      if (lpBuffer)
      {
        Read(lpBuffer, dwNumOfReads);
        DWORD dwlfamew = sizeof(IMAGE_DOS_HEADER);
        Seek(dwlfamew, CFile::begin);
        Write(lpBuffer, dwNumOfReads);
        SetEe_lfanew(dwlfamew);
        AddSection(strSectionName,  dwSectionSize);
        delete[] lpBuffer;
        lpBuffer = NULL;
      }

    }
    else
    {
      /*
      方法三:扩充PE头
      1.PE头部后面添加一个文件对齐值的大小(0x200)
      2.修改SizeOfHeaders
      3.修正所有节区的文件偏移
      4.调用方法1
      */
      DWORD dwSizeOfHeader = GetSizeOfHeaders();
      DWORD dwAddSize = GetFileAlignment();
      DWORD dwBufLen = GetPeFileSize() - dwSizeOfHeader;
      char* lpBuffer = new char[dwBufLen];
      if (lpBuffer)
      {
        Seek(dwSizeOfHeader, CFile::begin);
        UINT nRet = Read(lpBuffer, dwBufLen);
        Seek(dwSizeOfHeader, CFile::begin);

        char* lpSectionBuf = new char[dwAddSize];
        ZeroMemory(lpSectionBuf, dwAddSize);
        if (lpSectionBuf)
        {
          Write(lpSectionBuf, dwAddSize);
          Write(lpBuffer, dwBufLen);
          SetSizeOfHeaders(dwSizeOfHeader + dwAddSize);
          AddAllSectionPointerOfRawData(dwAddSize);
          AddSection(strSectionName,  dwSectionSize);
          delete[] lpSectionBuf;
          lpSectionBuf = NULL;
        }
        delete[] lpBuffer;
        lpBuffer = NULL;

      }
      
    }
  }
  ReadAllHeader();
  return AddSectionHeader;
}
参考资料:http://bbs.pediy.com/showthread.php?t=103092
双刃剑客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZeroAdd
跃然实验室
06-12 631
ZeroAddPE文件区段工具,免杀必备的段的工具,为PE文件添加一个区段,方便你在其中入自己的代码,适合反编译工作。
Pe 简单增区段
YoseZang的博客
01-21 751
Pe 简单增区段 原由 这几天要个Xor密的壳子,原来已经过2遍,但是源码丢掉了,只能很比较无奈的重新再。但是要增区段啊,用LordPE要修改一些相关的信息,不只是在区段的界面增一个新的区段,就很麻烦。因此一个区段工具,很简单,供大家参考。 总共用了一天时间完,速度还可以,因为毕竟有自己Pe库,就很方便。 代码 #include <stdio.h> #include <Windows.h> #include <winnt.h> #inclu
PE文件区段
weixin_52971884的博客
01-08 849
该程序主要是对PE文件区段,如果对您有帮助请点一个赞,那方面的不好的请直接评论批评,我一定会尽最大努力改正 #include <stdio.h> #include <stdlib.h> #include <windows.h> int main () { HANDLE hfile = CreateFileA( "C:\\Users\\486\\Desktop\\WP\\magic.exe", GENERIC_ALL, FILE_SHARE_R
WindowsPE(二)空白区添加代码&新增,扩大,合并节
sky123博客
11-20 882
PE 中插入一段调用 MessageBox 的代码。利 OD 定位出 MessageBoxA 函数的地址为 0x77D507EA 。 构造 shellcode : 其中 shellcode 中的地址需要根据 shellcode 在 PE 中插入的位置来确定。节表中的 SizeOfRawData 为 该节在 PE 文件中关于文件对齐后的大小,Misc.VirtualSize 为该节载到内存后的真实大小。因此可以添加内容的空白区域大小为 SizeOfRawData - Misc.VirtualSize
内存入注入
weixin_44711063的博客
03-06 2441
内存入注入 如果进程A本身就给了其他进程申请和入空间的权限,那我只要将模块复制到指定进程A的空间里面,再修改一些表,再利用远程线程或者hook也就能让我们的模块在进程A运行,这就是内存入注入 思路 只要我进程A允许进程B有入操作就可以实现注入。这样实现了隐藏模块的注入 拓展:若是不允许别的进程有入操作,但应该也会允许系统进程有入操作,只要我将注入功能注入到系统进程里面,让系统进程对进程A进行内存入注入就可以了。相当于内存入注入+伪装合法软件注入 步骤 1、内存入: 获取当前模块句柄,得
PE文件节区添加并弹出简单的对话框
05-26
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西) PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
学习ARM反汇编工具objdump和一个简单实例
01-19
 一般情况下我们一个源代码 类似于我们WINDOW里面是EXE的格式,PE格式是的名字。 2、为什么我们需要进行反汇编,我们要的就是可执行程序。 反汇编的原因有以下: 1、逆向破解 你想盗版的原来的程序,终得到
教育科研-学习工具-PE塑料墙贴.zip
08-11
教育科研-学习工具-PE塑料墙贴.zip
一个资源的PE工具可以更容易添加
02-04
一个资源的PE工具 一个资源的PE工具 一个资源的PE工具 一个资源的PE工具 一个资源的PE工具 一个资源的PE工具
纹理
游戏开发、游戏引擎开发、逆向破解爱好者
04-17 718
本教程将教您如何从文件创建纹理。 我们将学习如何使用Windows Imaging Component(WIC)API从文件载图像。 载完图像后,我们将使用上传堆将其上传到默认资源堆,创建一个SRV,然后在像素着色器中使用该SRV中的样本为立方体着色。 介绍 在本教程中,我们将学习如何使用从文件载的图像对立方体进行纹理处理。 我们需要执行3个步骤来获得SRV,我们可以使用它来对立方体进行纹理处理 1.从图像文件载数据,并将其解码为与DXGI格式(rgba)兼容的位图格式 2.创建一个...
C++读取图片
热门推荐
小山山的博客
04-19 2万+
另外一篇相关文章——利用OpenCV实现C语言中二维数组的可视化、图像显示,图像读取等操作: https://blog.csdn.net/qq_34917728/article/details/84502004 用C语言读取图片代码(转发的): /* *This program will open a image,and output to another file *Auth...
C++实现PE文件添加节区壳器)
Anansi的博客
03-21 2525
最近潜心研究二进制安全,接触到了shellcode还有壳脱壳有关的内容,于是心血来潮,想用自己不怎么成熟的编程功夫来实现一个壳器,并记录下代码编过程中遇到的坑。 (以下文章中区段==节区PE文件格式 pe(Portable Executable)其实就是在windows系统上的程序文件,这种文件格式在windows系列操作系统上基本上是通用的,我们平时见到的.exe、.dll、.obj...
pe文件节区的删除和增
m0_62690279的博客
04-10 1379
pe文件节区的删除和增 节区(.reloc)的删除(按照《逆核》书中的步骤来进行) 整个过程需要四个步骤: 1.删除节区头 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区头 在hxd中找到rva从270到297区域,用0填充 删除节区内容 在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容 修改节区数量 找到文件头中的 number of section 同样在hxd中修改其
手工添加一个节区(简单拷贝)
weixin_43990313的博客
06-22 237
思路: 1) 添加一个新的节(可以copy一份) 2) 在新增节后面 填充一个节大小的000 3) 修改PE头中节的数量 4) 修改sizeOfImage的大小 5) 再原有数据的最后,新增一个节的数据(内存对齐的整数倍). 6)修正新增节表的属性 重点关注的几个结构: 1.PE标准头的NumberOfSections 2.节区头的VirtualAddress、SizeOfRawData、VirtualSize、PointerToRawData(这些是用来确定在新增节区文件和内存中的位置,需要考虑偏移量)
PE文件操作-末尾添加
yeshahayes的博客
08-08 3189
有时候为了某些原因,需要在PE末尾添加节,比如壳,补丁等等,需要对PE文件进行扩展。 在末尾添加节是最简单的方式,只需要做如下修改: 修改FILE_HEADER中的节数目字段 修改OPTIONAL_HEADER中映像大小字段 在节描述符数组中添加新描述符 在文件末尾添加新节数据 首先找到文件最后一个节并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个节的结束:
PE文件的修改以及增节区
关注互联网安全的小虾米一枚
08-05 2328
修改入口函数地址。这个是最省事的办法,在原PE文件中新增一个节,计算新节的RVA,然后修改入口代码,使其指向新增的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。 BOOL ChangeOEP(CString strFilePath) { FILE* rwFile; // 被感染
Anti-dump的原理
whatday的专栏
02-16 2200
第三章.Anti-dump的原理 "我们踏进又踏不进同一条河,我们存在又不存在。"                                                      ----赫拉克利特     事物往往就是这样,它在发展中需要正面的也需要反面的,他们是对立统一在一起的。在前面我们的dump已经基本和一个LordPE的功能差不多了,现在我们要分析一下,一个程序是如何an
30秒了解python之getsizeof()与getsize()区别
weixin_46534707的博客
05-05 5735
sys.getsizeof() 获取程序中声明的一个整数,存储在变量中的大小 相似场景:文件复制案例中需要获取文件大小,尝试使用 sys.getsizeof()方法 确认:sys.getsizeof()方法用于获取变量中存储数据的大小 os.path.getsize(path) 获取指定路径 path 下的文件的大小,以字节为单位 计算机中的单位换算:字节→1024-K→1024-M...
用C语言一个获取PE头信息的程序
最新发布
02-24
可以使用Windows API函数GetModuleFileName来获取PE头信息,它可以从可执行文件中获取文件名和文件信息,然后使用Windows API函数FindResource来获取PE头信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值