PE新增节

最新推荐文章于 2023-05-28 16:26:40 发布
VIP文章 最新推荐文章于 2023-05-28 16:26:40 发布
阅读量700 收藏 6
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/106100923
版权

原理

新增节的原理是在最后一个节表后面新增一个节表,然后在ImageBuffer后面新增一块内存;要注意新增节表后必须留有一个节表空间(40字节)的0,否则会出错。有些程序如notepad,最后一个节表后面是一些数据,删除后程序无法运行,对于这种情况必须特殊处理,比如扩大节后再新增节,或者把NT头往上挪,覆盖掉dos stub垃圾数据,当然,方法是多样的。
除了上述工作,还需要修改PE头中节的数量(加1),修改SizeOfImage的大小,增加的值应该是要新增的节的大小内存对齐后的结果。另外,不要忘记设置新增节的属性。

测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个节表后面并不是0,而是绑定导入表,以32位notepad为例,最后一个节表后面的数据是这样的:
在这里插入图片描述
为了解决这个问题,我添加了移动NT头的代码,也就是刚才说的,把NT头移动到DOS STUB中的方式。

移动NT头+新增节的代码

// 移动NT头和节表到DOS STUB,该函数在新增节时节表空间不足的情况下调用;返回地址减小值
DWORD MoveNTHeaderAndSectionHeadersToDosStub(LPVOID pFileBuffer)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	LPVOID pDst = (LPVOID)((DWORD)pDosHeader + sizeof(IMAGE_DOS_HEADER)); // NT头插入点
	DWORD dwRet = (DWORD)pNTHeader - (DWORD)pDst; // 返回地址减小的值
	DWORD dwSize = 4 + sizeof(IMAGE_FILE_HEADER) + pPEHeader->SizeOfOptionalHeader +\
		sizeof(IMAGE_SECTION_HEADER) * pPEHeader->NumberOfSections; // 移动的字节数
	LPVOID pSrc = malloc(dwSize);
	if (pSrc == NULL)
	{
   
		printf("分配内存失败\n"
最低0.47元/天 解锁文章
hambaga
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows PE
02-28
个人最喜欢的Windows PE,保证安全无毒,内部各种工具齐全,运行稳定占用空间少,居家旅行必备,ISO格式可直接烧录也可解压。
如何进入pe系统
01-03
当电脑中病毒,或者系统崩溃的时候肯定会用到的,拿去电脑店少则50,多则上百,今天较大家一个方法,自己在家就可以完成。参照上一篇文章,已经教大家如何制作pe系统盘了,那么现在来教大家如何进入bios只有进bios才可以进pe 按照自己的电脑型号和主板型号可以百度查一下。我用的是华硕笔记本按f2进bios。点击重启电脑在按f2进bios。 看到这个界面就已经进入了bios,接下来要找到boot这个。 在选择boot optipon #1作为第一启动,点击回车 选择uefi:aigo是u盘名称。再点击回车在按f10保存 选择yes,稍等一分钟左右就可以进入bios了。 这个界面就是已经进
PE工具 PE Explorer
03-16
可以对PE文件进行操作,有需要的拿走
Windows进程通信之PE文件共享配套源码
08-13
danny_share博客Windows进程间通信之PE文件共享配套源码, 分为 SectionDLL、SectionMain和SectionASub和SectionBSub个工程实现使用PE文件共享通信, 1.不要F5直接运行 2.编译生成debug目录或者release目录以后,手动双击SectionMain.exe点击Test按钮即可
《WindowsPE权威指南》附书源代码.rar
08-01
pe结构 chapter1 Windows PE开发环境 -HelloWorld.exe -chapter2 三个小工具的编写 -HelloWorld.exe -chapter3 PE文件头 -HelloWorld.exe -chapter4 导入表 -HelloWorld.exe -chapter5 导出表 -HelloWorld.exe -chapter6 堆栈与重定位表 -HelloWorld.exe -chapter7 资源表 -HelloWorld.exe -chapter8 延迟导入表 -HelloWorld.exe -chapter9 线程局部存储 -HelloWorld.exe -chapter10 加载配置信息 -HelloWorld.exe -chapter11 动态加载技术 -HelloWorld.exe -chapter12 PE变形技术 -HelloWorld.exe -chapter13 PE补丁技术 -HelloWorld.exe -chapter14 在PE空闲空间中插入程序 -HelloWorld.exe -chapter15 在PE间隙中插入程序 -HelloWorld.exe -chapter16 在PE新增中插入程序 -HelloWorld.exe -chapter17 在PE最后一中插入程序 -HelloWorld.exe -chapter18 EXE捆绑器 -HelloWorld.exe -chapter19 软件安装自动化 -HelloWorld.exe -chapter20 EXE加锁器 -HelloWorld.exe -chapter21 EXE加密 -HelloWorld.exe -chapter22 PE病毒提示器 -HelloWorld.exe -chapter23 破解PE病毒的实现 -HelloWorld.exe
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加新并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE结构-----新增
mysqld521的博客
05-28 123
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字))》=80字。可以直接在最后的表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字进行00的填充。
PE文件的修改----增加
weixin_51738129的博客
02-01 928
PE文件的修改
PE新增一个
qq_42363151的博客
08-31 203
新增
PE结构-
小喇叭儿滴滴的吹
02-12 447
首先,的话有两部分,一部分是表,另外一部分就是区了,表是用于描述区信息的,而区呢,简单点说就是数据块。 在上一篇博客中有提及过如何定位表,重点就是需要根据选项头的大小来定位,这里的话就直接上一点代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos头 if (pDosHeader ==...
PE文件区添加并弹出简单的对话框
05-26
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西) PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PE卸载补丁工具
10-18
微软更新失败可用此软件在PE环境下卸载相关补丁,32位64位通用,
手动修改PE文件:修改
当我在写代码的时候我在写什么
11-06 3957
目前想到的关于修改表就是新增表移位,其它的改的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增 现在很多解析PE格式的软件都有添加的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos头->DosStub->NT头->表->Padding->内容。 在表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
5.PE文件之表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5103
PE头IMAGE_NT_HEADERS后紧跟着表(也可以理解为IMAGE_OPTIONAL_HEADER后为表).它由许多个表项(IMAGE_SECTION_HEADER)组成,每个表项记录了PE中与某个特定的有关的信息,如的属性、的大小、在文件和内存中的起始位置等.表中的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1335
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下新增表的步骤1.判断是否有足够的空间增加一个新.2.新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增表的属性.Virt.
C++实现PE文件添加新区(加壳器)
Anansi的博客
03-21 2518
最近潜心研究二进制安全,接触到了shellcode还有加壳脱壳有关的内容,于是心血来潮,想用自己不怎么成熟的编程功夫来实现写一个加壳器,并记录下代码编写过程中遇到的坑。 (以下文章中区段==区) PE文件格式 pe(Portable Executable)其实就是在windows系统上的程序文件,这种文件格式在windows系列操作系统上基本上是通用的,我们平时见到的.exe、.dll、.obj...
WindowsPE(二)空白区添加代码&新增,扩大,合并
sky123博客
11-20 879
PE 中插入一段调用 MessageBox 的代码。利 OD 定位出 MessageBoxA 函数的地址为 0x77D507EA 。 构造 shellcode : 其中 shellcode 中的地址需要根据 shellcode 在 PE 中插入的位置来确定。表中的 SizeOfRawData 为 该PE 文件中关于文件对齐后的大小,Misc.VirtualSize 为该加载到内存后的真实大小。因此可以添加内容的空白区域大小为 SizeOfRawData - Misc.VirtualSize
隐藏模块(无模块注入)
weixin_41875267的博客
09-09 1037
模块隐藏那课要求完成两个作业,都是隐藏模块,本文介绍两种方法分别如何实现。 方法一:往自己的进程注入游戏主模块 这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位表了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大...
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
peexplorer csdn
12-23
通过PE Explorer,用户可以查看和修改文件的二进制代码、文件头、表、资源、导入和导出表等结构,可以查看可执行文件的函数和符号信息,可以从可执行文件中提取和恢复资源,还可以进行文件的反汇编、调试和修复等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值