修改PE文件,在空白处添加代码(添加messagebox)#笔记

已于 2022-11-20 10:52:06 修改
阅读量623 收藏
点赞数
文章标签: c语言
于 2022-11-19 14:14:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sanshul/article/details/127935915
版权

如标题,exe启动时添加messagebox。

思路:修改程序入口地址,改为调用messagebox地址,再jmp回去原来的程序入口地址。

需要注意的是,在文件中的地址和在内存中的地址是不一样的。

以dev c++为例,

Imagebase:100000         OEP:16D320

准备在第一个节的空白区添加。因为可写可读可执行

 messagebox调用,有四个参数。call 调用的硬编码E8,jmp 的硬编码为E9。push 的硬编码为6A

所以这个添加的代码雏形:6A 00 6A 00 6A 00 6A 00 E8 00 00 00 00 E9 00 00 00 00 (因为为测试messagebox所以参数为0,0,0,0)

在 400 ——16C800+400 之间的空白处添加

现在就是简单的换算,如果我要得到call的目的地址,即 764F1160,当前地址为 16CBC8

 那么E8 后的地址为 :764F1160 - [(16CBC8 + 5) - 400 + 1000](该地址在内存中的偏移) + 100000 = 76283993       小端序:93 39 28 76  则:E8 93 39 28 76

OEP(想jmp目的地址):16D320 在内存中 16D320  + 10000 = 26D320

jmp当前地址:(16CBCD  + 5)- 400 + 1000 + 10000 = 26D7D2

那么E9 后的地址为 :26D320 - 26D7D2 = 74E  小端序:4E FB FF FF 

则:E9 4E 07 00 00 

修改后:

 

 

 最后一步,修改OEP,将程序入口地址改为写入代码的地址.

在文件中地址 16CBC0  ,在内存中地址 16CBC0 - 400 + 1000 = 16D7C0

 保存即可。

本次操作需要注意一点,就是在文件中和在内存中的位置是不一样的。除了 sizeofheader 换算简单一点。其他地方的换算需要考虑每个节的文件偏移和内存偏移。

结果:

 先弹出这个界面在,在正常运行软件。

dzSanShuiL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VB6的文件操作
Peter的专栏
05-23 1万+
    总结一下VB6的文件操作,省得要用的时候又到处查找。一、文件类型1、顺序文件(文本文件) :以ASCII码形式存放的文件。似乎还有Unicode码存放的,有没有BCD码的呢?2、随机访问文件:这种文件格式很有特点:文件中存放若干条等长的单元(也可以说是记录);每个单元包含同类型、等数量、等长度的数据项;文件中,除了字符串以ASCII码存放之外, 其它都以二进制形式直接存放,节省
vb6反编译详解_[原创]VB6反编译详解(一)
weixin_39712016的博客
12-24 3906
[原创]VB6反编译详解(一)2006-7-9 16:5923171[原创]VB6反编译详解(一)2006-7-9 16:5923171VB6反编译详解 by Kenmark-Fenix**************************************************最新于2006-7-13更新!******************************************...
PE文件解析器的编写(二)——PE文件头的解析
Masimaro的专栏
05-04 3292
之前在学习PE文件格式的时候,是通过自己查看各个结构,自己一步步计算各个成员在结构中的偏移,然后在计算出其在文件中的偏移,从而找到各个结构的值,但是在使用C语言编写这个工具的时候,就比这个方便的多,只要将对应的指针类型转化为各个结构类型,就可以使用指针中的箭头来直接寻址到结构中的各个成员。 这次主要说明的是PE文件头的解析,也就是之前看到的第一个界面中显示的内容
破解PE文件
生活在别处
10-20 5961
★工具用法 1.OllyICE/OllyDB (1)标题栏中"模块-"后的程序名就是程序领空;双击命令字节码设置/取消断点,双击汇编语句编辑代码(重新载入后消失),输入‘;’可输入注释。其他不详功能点右键发现。 (2)在反汇编窗口,右键快捷菜单里选择"查找->所有参考文本字串"可以查找字符串.使用右键快捷菜单里"超级字串参考->"插件的功能更强大,可以查出许多内置查找功能无法找到的有用信息.
VB PE导出/输入表演示(文件影射版)
chenhui530的专栏
12-30 2085
frmMain.fmOption ExplicitPrivate Declare Sub InitCommonControls Lib "comctl32.dll" ()Private Function IsArraryInitialize(strArray() As String) As Boolean    On Error GoTo ErrHandle    Dim i As Lon
PE文件添加可执行代码
weixin_43575859的博客
03-19 1282
原理: 将代码添加到目标PE文件中有两种方法,一种是将代码插入到原文件代码的节的空隙中,还有一种办法是在节的末尾新增一个节,当然这两种方法都有局限性,第一个必须得保证节与节之间有足够的空隙插入我们的代码,第二个必须得保证节表末尾有足够的空隙让我们再插入一个节表。 我们既然要插入代码,那肯定就是为了执行。所以我们得让文件先执行我们的代码再去执行原来的代码,因此我们需要将原来的执行入口保存在我们的...
基于VC++实现PE修改编程
weixin_30610755的博客
05-11 217
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。 DOS-stub(DOS...
PE添加一个弹窗(MssageBox)
weixin_42603425的博客
07-08 1235
#include<windows.h> #include<stdio.h> #include<stdlib.h> int Deviation = 0; //偏移 PIMAGE_DOS_HEADERDOSHANDER = NULL;//DOS头 PIMAGE_NT_HEADERSNTHEADERS = NULL;//NT...
WIN32汇编语言程序设计——在PE文件添加执行代码
evagenius的博客
05-09 233
这里的技术目标是这样的,我们打算使用JMP指令的一种用法:转移地址在内存中的JMP指令。比如,在PE文件中,一个典型的对齐值是200h ,这样,每个区块都将从200h 的倍数的文件偏移位置开始,假设第一个区块在400h 处,长度为90h,那么从文件400h 到490h 为这一区块的内容,而由于文件的对齐值是200h,所以为了使这一区块的长度为FileAlignment 的整数倍,490h 到 600h 这一个区间都会被00h 填充,这段空间称为区块间隙,下一个区块的开始地址为600h。
PE文件中插入可执行代码(非源码)
03-12
根据PE文件 的结构特征,实现两种不同的向Pe文件插入可执行代码的方法: (1)在本节中的未用空间中插入代码 (2)添加新的节 在编写要添加代码中,要注意插入代码的变量地址的重定位和代码返回发动态获取API入口地址。。。
VB编程源代码 27控制MessageBox
06-05
VB编程源代码 27控制MessageBoxVB编程源代码 27控制MessageBoxVB编程源代码 27控制MessageBoxVB编程源代码 27控制MessageBoxVB编程源代码 27控制MessageBoxVB编程源代码 27控制MessageBoxVB编程源代码 27控制...
Js的MessageBox效果代码
12-10
在opera 里图层不能透明 对于页面内有iframe的也无法使用 在ie里无法遮住select的 MessageBox演示_软件开发网_www.jb51.net   普通演示     回调演示一     回调演示二     回调演示三  ...
Extjs学习笔记之一 初识Extjs之MessageBox
12-09
在其中新建一个my目录,以后所有的样例文件都新建在这个目录中。1.Hello world! 先看一个Extjs版的Hello World网页的全部代码代码如下: <html> <head> <title>Extjs MessageBox</title> ...
修正美化:PB9自定义messageBox,不用修改你的程序代码即可直接套用
02-15
你的程序可以直接套用本messageBox,即是导入到PBL即可,不喜欢的话直接从应用中移除本PBL就行,都不用修改任何代码。可本messageBox与系统messageBox()各方面保持一致,包括默认按钮、按钮焦点的变换,返回数值、...
修改vb6的编译器c2.exe使它可以输出汇编代码_xv6笔记-启动代码分析
weixin_39662142的博客
11-20 418
首先看xv6 commit的第一个makefileOBJS = main.o CC = i386-jos-elf-gcc LD = i386-jos-elf-ld OBJCOPY = i386-jos-elf-objcopy OBJDUMP = i386-jos-elf-objdump xv6.img : bootblock kernel dd if=/dev/zero of=xv6...
PE文件写入自己想要执行的代码
weixin_43754657的博客
03-02 307
PE文件写入自代码 向一个PE文件中写入MessageBox()方法 查看MessageBox()的硬编码 构造需要写入的代码 6A 00 6A 00 6A 00 6A 00 E8 E4 E9 95 65 E9 57 36 00 00 在PE文件 F90 处写入我们想要执行的硬编码(写在PE的空白数据) 公式:要跳转的地址 - E8指令当前的地址 - 5 ...
PE文件添加执行代码
liumengcheng的专栏
01-29 2683
原理 1,将添加代码写到目标PE文件中,可以把这个代码插入原代码所处的的section的空隙中,也可以通过添加一个新的section附在原文件的尾部 2,PE文件原来的入口地址必须被保存在添加代码中,这样,这段代码执行完以后可以转移到原始文件处执行 3,PE文件头中的入口地址需要被修改,指向新添加代码中的入口地址 4,PE文件头中的一些值需要根据情况做相应的修改,以符合修改后的PE文件
c语言编辑一个新文件,用C语言PE文件添加一个新 section
weixin_39715348的博客
05-20 255
#include #ifndef _IMAGEHLP_H#include "imagehlp.h"#pragma comment ( lib, "imagehlp.lib" )#endif#pragma warning(disable : 4996)// 根据传入的dwAlign粒度调整内存中或文件中对齐后的大小DWORD Align(DWORD dwNum, DWORD dwAlign){if ...
为这个代码添加查询余额和更改密码的功能
最新发布
05-30
以下是更新后的代码。 ```python import tkinter as tk class ATM: def __init__(self, master): self.master = master master.title("ATM Machine") # 创建标签和文本框 self.balance_label = tk.Label...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值