直接修改PE文件头PE标识字段的实验

最新推荐文章于 2022-09-21 17:34:34 发布
最新推荐文章于 2022-09-21 17:34:34 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: 安全编程 汇编语言 文章标签: PE winhex PE头 IMAGE_NT_HEADER
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/93143486
版权

PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。
Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。
比如像EXE,DLL,SYS这种格式的文件就是PE格式文件。

 

根据PE文件结构知识;
PE头 IMAGE_NT_HEADER 的字段, IMAGE_NT_HEADER.Signature,偏移
    +0000h,双字,此处为PE文件标识,值为00004550h,就是字符'P'、'E',加上两个0。
    如果修改其中任何一个字节,会导致可执行文件在32位系统中加载失败。

下面来手动修改此字段值,看下会有什么效果。

先准备用记事本来实验;用winhex打开notepad.exe,看下PE文件标识在偏移为000000F0的一行处;

00 00 45 50;倒着看的;winhex面板的第三列标识出字符串'PE';

但是试用版的winhex只能修改保存小于200k的文件;notepad.exe大于200k;

Windows目录下还有write.exe,拿它来做试验;

拷贝到G盘实验;因为Windows目录下有写保护,不能保存修改;

看一下在G盘打开write.exe,可以打开;

 

用winhex打开write.exe;PE 文件标识在偏移为000000F0的一行处;如下图;

把45 50 修改为37 42;

如何使用winhex修改文件见此;

https://blog.csdn.net/bcbobo21cn/article/details/92281534

然后保存;

然后再运行write.exe,无法运行了;

bcbobo21cn
关注
专栏目录
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
【exe加壳:修改可执行文件PE,增加一节,修改程序入口地址为该节】
Laughing
11-28 3703
一:PE中增加节 使用工具为:LordPE、010Editor、CFF、OD List item 先用 010Editor 查看节表部分是否足够长度加入新的节表目录 从图中看出,节表后面还有空余地方,可存放新增目录项 用 LordPE 查看PE部信息,增加一节,在 setions 中修改新增节表的属性 原始PE信息:可得原始节表中有9项 修改节表项数为10节 然后点击Setions按钮,在里面修改新增节的相关属性(这里的相关原理有兴趣可自行了解) 进去后可看见最后一节表项名字和其他相关数据
PeEdit PE文件修改工具
08-18
安全可以用已经验证。
手动修改PE及反调式
qq_33526144的博客
12-13 1255
操作过程 1.运行程序,首先看到PE的开始地址(00 01倒过来为01 00),PE大小(E0) 2.
PE文件变形技术及实现教程
04-28
讲解PE变形技术,非常好的一种思想。同时也能让我们对PE文件更加的了解。大家慢慢体会吧 - -
python 修改PE文件
梦想闹钟
09-21 731
用python修改PE文件
Dll注入--修改PE文件
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT->可选->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
关于PE可执行文件修改.rar_PE修改_pe_pe文件修改
最新发布
09-23
一个PE文件由多个部分组成,包括DOSPENT)、节表、节区(Section)等。DOS是一个遗留的结构,使得PE文件能在DOS环境下也能运行。PENT)包含了关于PE文件的重要信息,如文件类型、目标CPU架构、...
pe 文件编程:编辑文件.rar_asm win32_pe_文件_编程文件
09-19
请注意,修改PE文件需要谨慎,因为错误的操作可能导致程序无法运行,甚至可能破坏系统安全。只有在充分理解PE文件结构和目的明确的情况下,才应尝试此类操作。在实际应用中,更常见的是使用现成的工具或库,如PE...
PE文件结构分析(包括DOS、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
三、PE文件 1. PE标识:位于DOS之后,由4个字节构成,"PE\0\0"表示这是PE文件格式。 2. 映像文件IMAGE_FILE_HEADER:包含有关PE文件的基本信息,如目标处理器类型、文件标志、段数等。 3. 可选映像文件:...
易语言PE源码,易语言编译器部分源码,易语言简单实现语法识别及
07-22
易语言简单实现语法识别及程序编译源码,简单实现语法识别及程序编译,DebugCode,LoadMain_DebugMode,Call_RunCode,Call_Fuction,判断函数,过滤备注,Xor,通信_加入调试信息
易语言文件PE修改
07-22
易语言文件PE修改器源码,文件PE修改器,加入信息,nop,加入信息_弹窗,push,jmp_eax,call_eax,mov_eax_,jmp,push_eax,call_ebx,mov_ebx_,pop_eax,pop_ebx,cmp_eax_,je,子程序_字节集到整数,ExportsDLLFunction,LOWORD,子程序_启动初始化,子程序_窗口化,check,Get
易语言源码文件PE修改器易语言源码.rar
03-30
易语言源码文件PE修改器易语言源码.rar
易语言心梦软件PE修改
07-21
易语言心梦软件PE修改源码,心梦软件PE修改,子程序1,加入信息,nop,push,jmp_eax,call_eax,mov_eax_,jmp,push_eax,call_ebx,mov_ebx_,pop_eax,pop_ebx,cmp_eax_,je,子程序_字节集到整数,GetWindowText,WindowFromPoint,API_GetProcAddress,API_GetModuleHandle,
易语言心梦软件PE修改源码-易语言
06-13
易语言心梦软件PE修改源码
怎样修改文件信息
bruce135lee的专栏
07-17 7588
这两天在写DES文件加密的代码,其中遇到3个问题,请教一下: 1:我需要为已经加密的文件的扩展名改为“.des”(譬如原来为abc.jpg改为abc.des),在解密后又要改会原来的格式,这是问题来了:我怎么知道这个文件在加密前是什么格式的文件?请问,有什么办法可以在没有扩展名的情况下知道文件类型。我想可以在文件信息中记录文件原来的扩展名,但请问,C#怎样对文件文件信息进行访问? 2:我希...
修改PE可选关闭ASLR
hambaga的博客
08-29 773
打开PE编辑工具CFF Explorer 编辑可选PE的DllCharacteristics,点击Click here 将第一个复选框dll can move 去除勾选即可。
修改文件的加密标志位修复伪加密的zip文件
君行路的博客
09-09 6809
首先,我们来了解一下zip的文件格式: 一个zip文件有如下三个部分组成: 1.压缩源文件数据区   2.压缩源文件目录区   3.压缩源文件目录结束标志 (详解链接) 这是三个标记,主要看第二个   压缩源文件数据区:50 4B 03 04:这是文件标记   压缩源文件目录区: 50 4B 01 02:目录中文件文件标记 3F 00:压缩使用的 pkware 版本  1...
PE文件格式学习之PE移位
weixin_30809173的博客
10-24 150
以前刚开始学网络安全,是从免杀开始的。记得那时候杀毒软件还很弱。金山江民瑞星还存在。 那会什么原理也不懂,就一直瞎鼓捣。(后来转入渗透行列了) 这段时间一直在学PE格式,突然想起来以前很古老的PE文件移位。 网上搜了搜,看大家虽然做了视频,但是竟然没人讲原理。借着刚好在学PE格式的知识,就做个PE文件移位的笔记。(不喜勿喷,刚学PE文件格式,难免出错请提点,谢谢) 当然现在...
PE文件结构详解:Characteristics字段PE
- PE:由PE标志位、文件和可选组成,PE标志位确定文件是否为PE格式,文件提供基本信息,可选则包含更多的元数据,如操作系统版本、图像基地址等。 - 节表:列出文件的各个节(section),每个节包含数据或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值