把某个PE文件里的DOS Stub程序分离出来

最新推荐文章于 2024-03-12 16:47:46 发布
最新推荐文章于 2024-03-12 16:47:46 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 汇编 PE文件结构学习 文章标签: dos header delphi image 数据结构 file
 

http://hi.baidu.com/sageking2/blog/item/c653a23dfe2bfae73c6d9715.html

把某个PE文件里的DOS Stub程序分离出来

正常PE文件格式会有一个Dos Stub块,事实上就是一个DOS下的*.exe程序。
当我们拿一个Win32程序跑到DOS系统下运行就会执行这个程序。

      先拿十六进制工具WinHex打开一个Delphi 7编译的程序,它的DOS MZ文件头+DOS Stub块+部分PE头截图如下:

 

直接把DOS Stub块复制到新文件不能正常运行的。因为文件头部对它的一些寄存器初始化被省去了。所以必须把DOS MZ文件头+DOS Stub块一起复制到新文件(file1.exe)。新文件内容如下:

4D 5A 50 00 02 00 00 00      04 00 0F 00 FF FF 00 00
B8 00 00 00 00 00 00 00      40 00 1A 00 00 00 00 00
00 00 00 00 00 00 00 00      00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00      00 00 00 00 00 01 00 00 
BA 10 00 0E 1F B4 09 CD    21 B8 01 4C CD 21 90 90    //从这行开始是DOS Stub
54 68 69 73 20 70 72 6F      67 72 61 6D 20 6D 75 73     // This program mus
74 20 62 65 20 72 75 6E     20 75 6E 64 65 72 20 57
69 6E 33 32 0D 0A 24 37    00 00 00 00 00 00 00 00    // 24就是'$'
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00     00 00 00 00 00 00 00 00

此时还是不能正常运行,必须在把前六个字节改成4D 5A 00 01 01 00 。这六个字节代表什么,请对照Dos MZ Head的数据结构:
(为什么这么改, 还不是很明白)

IMAGE_DOS_HEADER STRUCT
e_magic             WORD      ?         ;DOS可执行文件标记,为“MZ”
e_cblp                WORD      ?         ;Bytes on last page of file
e_cp                  WORD      ?         ;Pages in file
e_crlc                WORD      ?         ;Relocations
e_cparhdr           WORD      ?         ;Size of header in paragraphs
e_minalloc          WORD      ?         ;Minimum extra paragraphs needed
e_maxalloc          WORD      ?         ;Maximum extra paragraphs needed
e_ss                WORD      ?         ;DOS代码的初始化堆栈段
e_sp                WORD      ?         ;DOS代码的初始化堆栈指针
e_csum              WORD      ?         ;Checksum
e_ip                WORD      ?         ;DOS代码的入口IP
e_cs                WORD      ?         ;DOS代码的入口CS
e_lfarlc            WORD      ?         ;File address of relocation table
e_ovno              WORD      ?         ;Overlay number
e_res               WORD      4 dup(?) ;Reserved words
e_oemid             WORD      ?         ;OEM identifier (for e_oeminfo)
e_oeminfo           WORD      ?         ;OEM information; e_oemid specific
e_res2              WORD      10 dup(?) ;Reserved words
e_lfanew            DWORD     ?         ;指向PE文件头
IMAGE_DOS_HEADER ENDS

这样就能正常运行了,事实上这个Dos stub真正有效的部分到了'$'那里就结束了,所以程序还可以变小一点,体积只有0x00000077字节,最终结果(file1.exe的内容)是:

4D 5A 77 00 01 00 00 00    04 00 0F 00 FF FF 00 00
B8 00 00 00 00 00 00 00    40 00 1A 00 00 00 00 00
00 00 00 00 00 00 00 00    00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00    00 00 00 00 00 01 00 00 
BA 10 00 0E 1F B4 09 CD    21 B8 01 4C CD 21 90 90   
54 68 69 73 20 70 72 6F    67 72 61 6D 20 6D 75 73    
74 20 62 65 20 72 75 6E    20 75 6E 64 65 72 20 57
69 6E 33 32 0D 0A 24

运行效果:


http://hi.baidu.com/sageking2/blog/item/c653a23dfe2bfae73c6d9715.html

 


 

小大小丑
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动修改PE文件:删除Dos Stub
当我在写代码的时候我在写什么
11-05 2500
自己动手丰衣足食。前面说到Dos Stub是可以删除的,现在要说的不止删除Dos Stub,顺便把DosHeader跟NtHeader合并了。写这篇的时候我是编一个只用了一个MessageBoxA函数的程序。做了一些优化,把程序结构和代码都搞得非常简单,因为现在是手动修改,结构太复杂的话手工改不过来。下面开始。 1、删除DosStub并且合并DosHeader、NtHeader
PE文件的基本结构-1 总体介绍和dos
zhangxinrun的专栏
08-24 1174
<br />1 概论 <br />看历史;COM文件,EXE文件,LE格式的可执行文件(Linear executable/线性可执行文件),Windows 9x中的VxD驱动程序也使用LE格式,因为这些驱动程序中也同时包括16位和32位代码。<br />而在Windows 9x,Windows NT,Windows 2000下,纯32位的可执行文件都使用微软设计的一种新的文件格式——PE格式(Portable Executable File Format/可移植的执行体)。<br />PE文件的基本结构如
PE结构读取之DOS Header
kwfly的专栏
09-21 1356
PE文件 DOS Header 结构
跟着王哥学逆向——PE文件详解篇(第一篇)
最新发布
qq_52642385的博客
03-12 2749
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
dos_stub.rar_DOS st_DOS stub_DOS-stub_pe_run
09-23
Windows PE 文件DOS 下运行一般会显示:This program cannot be run in DOS mode....这是PE文件头部的一个"dos stub"程序,这个就是"dos stub"的源码,我们可以修改它,用fasm.exe编译,在vc连接时,加上 /stub:stub.exe
[PE变形]拓展STUB
12-10
STUB,即Stub Section,通常指的是在PE文件头部的一个小程序,它在程序加载时先于主程序执行,可以用来执行一些预处理任务。 在恶意软件领域,PE变形技术被广泛使用,以逃避反病毒软件的检测。变形STUB能够改变PE...
PE文件格式分析及修改.doc
02-21
其中,DOS MZ header 和 DOS stubDOS 时代遗留的产物,PE header 是真正的 Win32 程序的格式头部,Section table 是 PE 代码和数据的结构数据。 在装入程序时,系统会根据文件扩展名启动一个程序装载器,称之为...
PE可执行文件格式概述
06-01
DOS MZ Header 是 PE 文件的开始部分,包含了 DOS stub,用于在 DOS 操作系统下执行。PE Header 是 PE 文件的头部,包含了 PE 文件被载入内存时需要用到的重要域。Section Table 是一个数组结构,包含了 PE 文件中的...
PE文件读取程序示例
04-14
PE文件读取程序示例】是一个面向编程初学者的程序,主要目的是解析和展示PE文件(Portable Executable)的相关信息。PE文件是Windows操作系统上常见的程序文件格式,包括.exe、.dll、.ocx、.sys和.com等类型。它们...
PE文件格式总结
m0_48995611的博客
06-11 399
PE文件格式总结基本介绍1.DOS Header 和 DOS stub2.NT headers2.1File header2.2 Optional header3.Section headers4.Sections其他 时间:202106 基本介绍 PE文件主要由 文件头 和 区段(Section) 构成(如图所示),文件头记录相关信息,而区段则存放相关数据。相连代表数据在文件中存储紧接上一部分。 文件头部分包括: (1) DOS Header (2) DOS Stub (3) NT Headers
逆向-PE文件结构
写代码的小阿帆的博客
05-21 830
首先复习一下PE文件的结构: MS-DOSDOS部首有MZ Header和Dos stub两个部分组成,这两部分通常合成为Dos 文件头,其中Dos stub多由编译器自动生成,用户较少关注,PE文件的第一个字节为IMAGE_DOS_HEADER,其结构如下: 其中e_magic和e_lfanew两个字段比较重要,e_magic被称为魔术字,所有能与MS-DOS兼容的可执行文件内,该值都被设置为5A4DH,对应ASCII码为“MZ”,是DOS系统创建者之一 Mark Zbikowski 的缩写。e_
PE文件(内部实质-字节码分析)
weixin_43979090的博客
02-07 2291
PE文件是什么? PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的(文件后缀名为)EXE、DLL、OCX、SYS、COM的文件都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。现在大多数的可执行程序,像微信,qq等启动程序都是PE文件。 当然,还有其他的可执行(EXE)文件格式,比如 1)DOS中的MZ格式, 2)...
【免杀前置课——PE文件结构】十七、PE文件解析—一文解明PE文件结构头部分,什么是PE文件PE文件都有什么?DOS头、DOSstubPE头、文件头、可选PE头、区段头及结构体详解
m0_62783065的博客
12-10 659
【免杀前置课——PE文件结构】十七、PE文件解析—一文解明PE文件结构头部分,什么是PE文件PE文件都有什么?DOS头、DOSstubPE头、文件头、可选PE头、区段头及结构体详解
PE文件格式学习(二):总体结构
tutucoo
11-07 456
1.概述 PE文件分为几个部分,分别是: DOSDOS Stub NT头(PE头) 文件头 可选头 区段头(一个数组,每个元素都是一个结构体,称之为IMAGE_SECTION_HEADER) .text .rdata .data .rsrc .reloc … 本篇文章主要围绕整体结构做一个梳理,不会做太多细节的讲解。(比如说可选头的数据目录表,它包含16种表,会在接下来的系列文章分...
PE文件学习--Dos头部
KOOKNUT的博客
03-23 488
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件的一种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件头的Dos头部说起。 DOS头部分为两部分:第一部分是DOS MZ头第二部分是DOS Stub(指令字节码)。 以下为DOS MZ头部微软给出的定义,其中我学习中用到的最关键两...
MS-DOS头部
曾是土木人
04-27 1338
每个PE文件是以一个DOS程序开始的,有了它,一旦程序DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ header之后的DOS stubDOS块)。DOS stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,他将简单显示一个错误提示,类似于字符串“This program cannot be run in MS-DOS mode”。程序员也可以根据自己的意
dos stub
weixin_39057744的博客
10-17 576
ASSUME CS:CODE,DS:DATA,ES:STACK STACK SEGMENT ;DB 8 DUP (?) STACK ENDS CODE SEGMENT push cs pop ds mov dx,0eh mov ah,09h int 21h MOV ax,4C01H INT 21H CODE ENDS DATA SEGMENT D...
Win32 PE文件结构分析与修改详解
DOS stub是一段16位的启动代码,用于在DOS模式下显示提示信息,而DOS MZ header则是基本的DOS文件头,指示PE文件的类型和位置。 2. **PE header**: 这是PE文件的核心部分,包含了关于程序的详细信息,如入口点地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值