PE文件添加Overlay

最新推荐文章于 2022-10-11 21:12:14 发布
最新推荐文章于 2022-10-11 21:12:14 发布
阅读量2.3k 收藏
点赞数
分类专栏: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cackeme/article/details/24370721
版权

Overlay,简单的说就是PE文件末尾添加一段附加数据,不会影响可执行文件的执行,我们可以用附加数据校验可执行文件是否被恶意修改。

以下代码简单得往可执行文件末尾添加一段原始文件的md5值。

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <winnt.h>
#include <iostream>
#include <string>
#include "md5.h"

using namespace std;

std::string md5str(char* szBuf,int nLen)
{
 md5_state_t state;
 md5_byte_t digest[16];
 char hex_output[16*2 + 1];
 int di;

 md5_init(&state);
 md5_append(&state, (const md5_byte_t *)szBuf, nLen);
 md5_finish(&state, digest);

 for (di = 0; di < 16; ++di)
  sprintf(hex_output + di * 2, "%02x", digest[di]);

 return hex_output;
}

//大文件可以使用内存映射
std::string md5file(char* szFileName)
{
 FILE* fp = fopen(szFileName,"rb");
 if (fp != 0)
 {
  fseek(fp,0,SEEK_END);
  int nSize = ftell(fp);
  char* szBuf = new char[nSize+1];
  memset(szBuf,0,nSize+1);
  fseek(fp,0,SEEK_SET);
  int nRet = fread(szBuf,nSize,1,fp);
  fclose(fp);
  std::string strHash = md5str(szBuf,nSize);
  delete [] szBuf;
  return strHash;
 }
 return "";
}

//暂时不判断已经加了overlay的情况,可以从pe区段表获取原始文件大小,文件大小减去原始大小就是overlay
int addOverlay(char *szFileName)
{
 std::string strhash = md5file(szFileName);
 FILE* fp = fopen(szFileName,"a+b");
 if (fp != 0)
 {
  fwrite(strhash.c_str(),strhash.size(),1,fp);
  fclose(fp);
  return 0;
 }

 return -1;
}

int _tmain(int argc, _TCHAR* argv[])
{
 addOverlay("D:\\test.exe");
 return 0;
}

 

pctack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【转】脱壳中的附加数据问题(overlay
qingye
11-17 1527
发布人:kgdyga1.前言最近,在论坛上看到很多人在弄附加数据overlay的问题,加上上次答应了各位兄弟所以觉得写一些着方面的废话。如果下面的内容对你有帮助那是最好。这篇文章我们将解决以下问题:1.什么是overlay,怎么找到overlay?2.为什么有些壳虽然有overlay但是却不用特别处理?3.为什么有些壳只用粘贴overlay数据就ok了,而有些壳却要定位指针?4.如何修复文件
手写可执行程序
nichonas的专栏
05-11 604
【软件名称】: Hello World!【软件大小】: 2.5K【编写语言】: 机器码【使用工具】: VC++ 6.0【操作平台】: Winxp--------------------------------------------------------------------------------【详细过程】              最近,学习PE结构的知识。之后深有感触,随即便萌发了不依
浅谈脱壳中的附加数据问题(overlay
qq_51600802的博客
10-11 630
这篇文章我们将解决以下问题: 1.什么是overlay,怎么找到overlay? 2.为什么有些壳虽然有overlay但是却不用特别处理? 3.为什么有些壳只用粘贴overlay数据就ok了,而有些壳却要定位指针? 4.如何修复文件指针?
[PE处理]Overlay 最终版
02-20
修复脱壳后无法运行的程序.提示:invalid data in the file!
从附加数据Overlay说开去-记一次讨论
KD的疯狂实验室
06-27 892
今天和两个小伙伴讨论了几个问题,我对问题的回答和讨论作以记录.方便后来者学习.怎么判断一个程序是否有附加数据.人物:Kitty, 柱子, 琦哥
解析PE文件的附加数据
小驹的专栏
05-27 7590
解析程序自己的附加数据,将附加数据写入文件中。 主要是解析PE文件头,定位到overlay的地方,写入文件。常应用的场景是在crackme中,crackme自身有一段加密过的附加数据,在crackme运行的过程中解析自己的附加数据,然后解密这段数据。。。。 代码留存: //解析自己的PE文件 TCHAR szModuleFile[MAX_PATH] = {0}; ::GetMod
docker清理大杀器/docker的overlayoverlay2文件占用磁盘太大的解决办法
08-27
本文讲述了如何解决 Docker 中的 overlayoverlay2 文件占用磁盘太大的问题,并提供了相应的解决方案。同时,文章也附带了 Docker 配置 overlay 存储驱动的前提条件和步骤。 一、 Docker 中的 overlay 和 ...
定制PYNQ overlay的相关文件工程及代码
04-23
综上所述,这个压缩包提供了定制PYNQ overlay所需的所有关键元素:从工程文件和HLS代码到Vivado设置和PYNQ-Z2的配置。通过学习这些资源和遵循配套的博客教程,你将能够深入了解如何在PYNQ平台上进行硬件设计和软件...
android地图使用overlay添加标记
11-28
本教程将聚焦于如何利用`Overlay`类在Google地图上添加标记,这将帮助我们为用户提供直观的位置指示或者信息展示。`Overlay`是Android SDK中用于在地图上绘制图形或文本的对象,它允许我们在地图上添加自定义的图标...
Overlay附加数据处理
01-06
管理们大家好!在网上看到一款工具觉得很实用,想试着编译修改一下。经过PEid查壳得出:Microsoft Visual C++ 6.0 [Overlay]。查了些资料都提示是附加数
主机overlay和网络overlay介绍 .pptx
02-24
主机overlay和网络overlay介绍 .pptx
ap0x generic unpacker
Linhanshi Blog
09-11 1592
RL!dePacker is tested with 64+ packers: UPX 0.8x - 2.x [use GenOEP to detect true OEP in Delphi case! UPX 2.x STUB]HidePX 1.4 [use GenOEP to detect true OEP in Delphi case! UPX 2.x STUB]UPX-Scrambler 
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
热门推荐
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
附加数据处理方法
weixin_43916678的博客
07-15 761
附加数据[overlay]: 附加数据是在附加在文件后面的,不被映射到内存空间中的数据,overlay是不映射到内存的,所以dump下来的时候是没有overlay的,需要我们手动把这一部分的数据粘贴到dump下来的数据后面。 处理附加数据: 原理:由于文件的对齐机制,磁盘上每个段的结束都填充了大量的0.附加数据在文件末尾,所以只要找到磁盘文件中最后一个全零段,接下来就是附加数据。 实验步骤: 首先...
vc 实现overlayicon
programmerES
04-01 777
<br />继承 IShellIconOverlayIdentifier 实现三个接口 STDMETHOD(GetOverlayInfo)(LPWSTR pwszIconFile, int cchMax,int *pIndex,DWORD* pdwFlags); STDMETHOD(GetPriority)(int* pPriority); STDMETHOD(IsMemberOf)(LPCWSTR pwszPath,DWORD dwAttrib);
centos 文件系统overlay
最新发布
07-27
CentOS的文件系统中,Overlay是一种联合文件系统(Union File System),它允许将多个文件系统以层叠的方式合并在一起。Overlay文件系统通常用于创建轻量级容器,其中一个只读的基础文件系统(Base File System)与...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值