逆向编程三,PETool

最新推荐文章于 2022-07-27 15:49:09 发布
最新推荐文章于 2022-07-27 15:49:09 发布
阅读量602 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cszrydn/article/details/117075963
版权

目录

 

PETool

介绍

软件架构

安装教程

使用说明

打开后上半部分显示进程列表,下半部分的列表是当前选中进程的模块列表 ​

PE查看,点击PE查看按钮弹出一个文件选择对话框,选择一个PE文件,点去确定,弹出此文件的PE信息 ​

程序加壳,把要加壳的程序字节流加密后放到一个提前准备好的ShellCore.exe的新增节中,ShellCore.exe实现将新节点中的字节解密后把Imagebase位置指向新地址

DLL注入:选中一个进程,点击dll注入,弹出文件选择对话框,选中要注入的dll

源码地址:

PETool

介绍

Pe查看工具、进程和进程中模块查看基地址和镜像大小、Dll注入

软件架构

VC++、WindowsXP

安装教程

直接打开exe,不需要安装

使用说明

  1. 打开后上半部分显示进程列表,下半部分的列表是当前选中进程的模块列表 输入图片说明

  2. PE查看,点击PE查看按钮弹出一个文件选择对话框,选择一个PE文件,点去确定,弹出此文件的PE信息 输入图片说明

  3. 程序加壳,把要加壳的程序字节流加密后放到一个提前准备好的ShellCore.exe的新增节中,ShellCore.exe实现将新节点中的字节解密后把Imagebase位置指向新地址

  4. DLL注入:选中一个进程,点击dll注入,弹出文件选择对话框,选中要注入的dll

源码地址:

https://gitee.com/zhangruyi/petool

cszrydn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PETool 1.0.0.5.exe
05-21
PETool 1.0.0.5.exe,查看Windows 程序的各种表,导入导出资源表
pe文件查看器(petool).zip
11-19
软件介绍:PETool是一款免费的pe工具箱,支持鼠标拖拽pe文件到窗口打开查看。PETool支持Windows32位操作系统,并支持命令行调用参数打开。
petool.exe
05-31
vmware 的convertercd里带的coldclone的驱动加载工具
PETool v1.0.0.5带界面软件
08-11
PETool v1.0.0.5带界面软件,可以解析PE文件,并且功能比较完整。在CSDN找了很多,下载下来的都没有界面不是想找的,就在网上找了好久,各种以假乱真,但最终还是被我找到了。
快速工具集(windows系统工具箱)v1.0中文绿色免费版
08-05
快速工具集是一个非常使用的windows系统工具箱,拥有windows系统中非常多简实用的小工具,例如IE浏览器、多媒体播放器、记事本、画图、计算器、DOS、任务管理器、屏幕键盘、放大镜、资源管理器、我的电脑、控制面板、添加或删除程序、Internet选项、显示属性、系统属性、文件夹选项、收藏夹、系统目录、程序目录、临时目录、C盘、D盘等等,还可以关闭屏幕、注销用户、冲洗、关机、锁定、待机,有需要
PE/Tools】windbg 常用命令详解
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
05-30 1425
https://blog.csdn.net/chenyujing1234/article/details/7743460
PE Tools
qq_39249347的博客
08-25 3729
PE Tools:一款功能强大的PE文件编辑工具,具有进程内存转储、PE文件头编辑、PE重建等丰富多样的功能,并且支持插件。 下载地址 PE Tools工具可用获取系统中正在运行的所有进程的列表,并将之显示在主窗口中。 进程内存转储 转储:将内存中的内容转存到文件,这种转储技术主要用来查看正在运行的进程内存中的内容,文件时运行时解压缩文件时,其只有在内存中才以解压缩形态存在,此时借助转储技术可用轻松查看与源文件类似的代码与数据。 程序主窗口分为上下两部分,上半部分显示的时正在运行的进程,下半部分显示.
PETools
跃然实验室
06-08 2527
PETools 是另一款很好的PE文件编辑工具。PEditor 功能有转存进程、检测可执行文件加壳类型、在SoftICE中插入中断、编辑PE文件的导入表、节表、重建校验和、重建程序等,其自带了一个签名管理程序可自己添加更多的壳类型来让 PETools 识别。PETools 可支持插件,并带有插件编写示例,你也可以自己开发需要的插件。 个人感觉 PETools 的 PE 编辑功能比较好,比较喜欢...
[提权] 使用 ShellCode 注入其他进程
LYSM
11-27 968
背景 如果将shellcode注入到具有特定权限的进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 提权降权工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
滴水课程作业(手动+代码解析pe
weixin_52437902的博客
07-27 421
滴水逆向课后作业
PETool.zip - PE查看器
06-13
PETool.zip - PE查看器
PEtool pe文件信息查看工具
03-30
可以查看windowspe文件信息。解压后运行后直接把文件拖入即可。 适合内核开发
WIN32下的PE工具PETool32源码
10-18
源码 最完整的查看PE信息的很不错的工具,也可以dump进程的PE信息
PE TOOLS(PE工具。查看PE格式的东东)
08-11
PE工具 查看PE格式的东东,你要是想了解PE格式 它是必不可少的
PE工具包 PEtool
09-17
制作 修改 PE 系统 工具打包 wimtool winiso 等
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
PETools源码
05-09
PETools 源码 // ImportTable.cpp : implementation file // #include "stdafx.h" #include "PEinfo by saga.h" #include "ImportTable.h" #ifdef _DEBUG #define new DEBUG_NEW #undef THIS_FILE static char THIS_FILE[] = __FILE__; #endif ///////////////////////////////////////////////////////////////////////////// // CImportTable dialog CImportTable::CImportTable(CWnd* pParent /*=NULL*/) : CDialog(CImportTable::IDD, pParent) { //{{AFX_DATA_INIT(CImportTable) //}}AFX_DATA_INIT } void CImportTable::DoDataExchange(CDataExchange* pDX) { CDialog::DoDataExchange(pDX); //{{AFX_DATA_MAP(CImportTable) DDX_Control(pDX, IDC_LIST2, m_ListCtrl2); DDX_Control(pDX, IDC_LIST1, m_ListCtrl1); //}}AFX_DATA_MAP } BEGIN_MESSAGE_MAP(CImportTable, CDialog) //{{AFX_MSG_MAP(CImportTable) ON_NOTIFY(NM_CLICK, IDC_LIST1, OnClickList1) //}}AFX_MSG_MAP END_MESSAGE_MAP() ///////////////////////////////////////////////////////////////////////////// // CImportTable message handlers BOOL CImportTable::OnInitDialog() { // TODO: Add extra initialization here CDialog::OnInitDialog(); CFile PEfile,PEfile2; WORD NumofSection; DWORD n,j,ImpRVA,ImpRaw,NameRaw; char cBuff[1024]; IMAGE_IMPORT_DESCRIPTOR ImpDescriptor; if (!PEfile.Open(CPEinfo::FilePathName.GetBuffer(CPEinfo::\ FilePathName.GetLength()),CFile::shareDenyNone)) { MessageBox("无法打开文件!"); return TRUE; } else{ PEfile.Seek(CPEinfo::DosHeader.e_lfanew,CFile::begin); PEfile.Seek(sizeof(CPEinfo::NtHeader),CFile::current); } if (!PEfile2.Open(CPEinfo::FilePathName.GetBuffer(CPEinfo::\ FilePathName.GetLength()),CFile::shareDenyNone)) { MessageBox("无法打开文件!"); return TRUE; } this->m_ListCtrl1.InsertColumn(0,"DLL Name",LVCFMT_LEFT,80); this->m_ListCtrl1.InsertColumn(1,"OriginalFirstThunk",LVCFMT_LEFT,98); this->m_ListCtrl1.InsertColumn(2,"TimeDateStamp",LVCFMT_LEFT,94); this->m_ListCtrl1.InsertColumn(3,"ForwarderChain",LVCFMT_LEFT,94); this->m_ListCtrl1.InsertColumn(4,"Name",LVCFMT_LEFT,90); this->m_ListCtrl1.InsertColumn(5,"FirstThunk",LVCFMT_LEFT,94); this->m_ListCtrl1.SetExtendedStyle(LVS_EX_FULLROWSELECT); this->m_ListCtrl2.InsertColumn(0,"ThunkRVA",LVCFMT_LEFT,90); this->m_ListCtrl2.InsertColumn(1,"ThunkValue",LVCFMT_LEFT,90); this->m_ListCtrl2.InsertColumn(2,"Hint",LVCFMT_LEFT,50); this->m_ListCtrl2.InsertColumn(3,"Function Name",LVCFMT_LEFT,300); this->m_ListCtrl2.SetExtendedStyle(LVS_EX_FULLROWSELECT); NumofSection=CPEinfo::NtHeader.FileHeader.NumberOfSections; ImpRVA=CPEinfo::NtHeader.OptionalHeader.DataDirectory[1].VirtualAddress; for(n=NumofSection;n>0;n--){ PEfile.Read(&CPEinfo;::SecHeader,sizeof(CPEinfo::SecHeader)); if (ImpRVA<(CPEinfo::SecHeader.VirtualAddress+\ CPEinfo::SecHeader.Misc.VirtualSize)) { ImpRaw=ImpRVA-CPEinfo::SecHeader.VirtualAddress\ +CPEinfo::SecHeader.PointerToRawData; break; } } PEfile.Seek(ImpRaw,CFile::begin); n=0; while (TRUE) { PEfile.Read(&ImpDescriptor;,20); if (ImpDescriptor.Name==NULL) { break; } else { NameRaw=ImpDescriptor.Name-ImpRVA+ImpRaw; PEfile2.Seek(NameRaw,CFile::begin); for(j=0;j<1024;j++){ PEfile2.Read(&cBuff;[j],1); if (cBuff[j]==NULL) { break; } } this->m_ListCtrl1.InsertItem(n,cBuff); wsprintf(cBuff,"lX",ImpDescriptor.OriginalFirstThunk); this->m_ListCtrl1.SetItemText(n,1,cBuff); wsprintf(cBuff,"lX",ImpDescriptor.TimeDateStamp); this->m_ListCtrl1.SetItemText(n,2,cBuff); wsprintf(cBuff,"lX",ImpDescriptor.ForwarderChain); this->m_ListCtrl1.SetItemText(n,3,cBuff); wsprintf(cBuff,"lX",ImpDescriptor.Name); this->m_ListCtrl1.SetItemText(n,4,cBuff); wsprintf(cBuff,"lX",ImpDescriptor.FirstThunk); this->m_ListCtrl1.SetItemText(n,5,cBuff); n++; } } PEfile.Close(); PEfile2.Close(); return TRUE; // return TRUE unless you set the focus to a control // EXCEPTION: OCX Property Pages should return FALSE } void CImportTable::OnClickList1(NMHDR* pNMHDR, LRESULT* pResult) { // TODO: Add your control notification handler code here POSITION SelectItemNum; char cBuff[1024]; CFile PEfile,PEfile2; DWORD n,j,ImpRVA,ImpRaw,IATRaw,NameRaw; WORD NumofSection,Hint; IMAGE_IMPORT_DESCRIPTOR ImpDescriptor; IMAGE_THUNK_DATA ThunkData; if (!PEfile.Open(CPEinfo::FilePathName.GetBuffer(CPEinfo::\ FilePathName.GetLength()),CFile::shareDenyNone)) { MessageBox("无法打开文件!"); return; } else{ PEfile.Seek(CPEinfo::DosHeader.e_lfanew,CFile::begin); PEfile.Seek(sizeof(CPEinfo::NtHeader),CFile::current); } if (!PEfile2.Open(CPEinfo::FilePathName.GetBuffer(CPEinfo::\ FilePathName.GetLength()),CFile::shareDenyNone)) { MessageBox("无法打开文件!"); return; } NumofSection=CPEinfo::NtHeader.FileHeader.NumberOfSections; ImpRVA=CPEinfo::NtHeader.OptionalHeader.DataDirectory[1].VirtualAddress; for(n=NumofSection;n>0;n--){ PEfile.Read(&CPEinfo;::SecHeader,sizeof(CPEinfo::SecHeader)); if (ImpRVA<(CPEinfo::SecHeader.VirtualAddress+CPEinfo::SecHeader.Misc.VirtualSize)) { ImpRaw=ImpRVA-CPEinfo::SecHeader.VirtualAddress +CPEinfo::SecHeader.PointerToRawData; break; } } PEfile.Seek(ImpRaw,CFile::begin); if ((SelectItemNum=this->m_ListCtrl1.GetFirstSelectedItemPosition())==NULL) { return; } this->m_ListCtrl2.DeleteAllItems(); j=DWORD(SelectItemNum); for(n=0;n<j;n++){ PEfile.Read(&ImpDescriptor;,20); } //wsprintf(cBuff,"lX",ImpDescriptor.Name); //MessageBox(cBuff); IATRaw=ImpDescriptor.FirstThunk-ImpRVA+ImpRaw; PEfile.Seek(IATRaw,CFile::begin); n=0; while (TRUE){ PEfile.Read(&ThunkData;,4); if (ThunkData.u1.AddressOfData==NULL) { break; } wsprintf(cBuff,"lX",ImpDescriptor.FirstThunk); this->m_ListCtrl2.InsertItem(n,cBuff); wsprintf(cBuff,"lX",ThunkData); this->m_ListCtrl2.SetItemText(n,1,cBuff); if (((DWORD)ThunkData.u1.AddressOfData&0x80000000;)==0x80000000) { this->m_ListCtrl2.SetItemText(n,2,"--"); this->m_ListCtrl2.SetItemText(n,3,"--"); } else{ NameRaw=(DWORD)ThunkData.u1.AddressOfData-ImpRVA+ImpRaw; PEfile2.Seek(NameRaw,CFile::begin); PEfile2.Read(&Hint;,2); wsprintf(cBuff,"lX",Hint); this->m_ListCtrl2.SetItemText(n,2,cBuff); for(j=0;j<1024;j++){ PEfile2.Read(&cBuff;[j],1); if (cBuff[j]==NULL) { break; } } this->m_ListCtrl2.SetItemText(n,3,cBuff); } ImpDescriptor.FirstThunk+=4; n++; } PEfile.Close(); PEfile2.Close(); *pResult = 0; }
petool.zip
05-19
C/C++ 实现 petool 里面有两个版本
行政数据分析看板8.xlsx
最新发布
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
自动驾驶运动规划(Motion Planning).pdf
04-26
自动驾驶运动规划(Motion Planning)问题分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值