手动构造PE文件

最新推荐文章于 2021-12-09 16:34:33 发布
最新推荐文章于 2021-12-09 16:34:33 发布
阅读量2.3k 收藏 2
点赞数 2
分类专栏: PE/Virus 文章标签: c null 工具 user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evi10r/article/details/7199572
版权

很早以前就拜读了A1Pass得手工构造PE文件一文,可是一直没有去动手实践下,寒假本来想写个PE分析工具结果愣是发现自己PE结构都忘得毛都没了。。。so 蛋疼

今天就参考该文来自己手动构造一个。

这里先提个问题,WinMain函数是符合_stdcall调用约定的,我们都知道winmain接收四个参数,这四个参数的堆栈是有谁来清理呢?理论上应该是系统吧,但是调试程序最后总会发现个

00401000 >/$  33C0          XOR EAX,EAX
00401002  \.  C2 1000       RETN 10

关于系统知识还是了解的太少,求指教。

就照着一张PE结构图写,不会的就去查,在狠点直接写个现成的程序十六进制编辑下照着填。。。

写入代码的大小 19h

00401000 >/$  6A 00           PUSH 0                                   ; /Style = MB_OK|MB_APPLMODAL
00401002  |.  68 08304000     PUSH hello_wo.00403008                   ; |Title = "Evil0r"
00401007  |.  68 00304000     PUSH hello_wo.00403000                   ; |Text = "hello"
0040100C  |.  6A 00           PUSH 0                                   ; |hOwner = NULL
0040100E  |.  FF15 00204000   CALL DWORD PTR DS:[<&USER32.MessageBoxA>>; \MessageBoxA
00401014  |.  33C0            XOR EAX,EAX
00401016  \.  C2 1000         RETN 10

就是在C32里面输入16进制,好烦,要有耐心。我弄完之后看了下大小是2K,三个区段,文件对其200h,实现弹出一个对话框。好歹又熟悉了下PE啊。。。

补图。


关于有几个字段的意思还不是很懂要记得去查,吃饭去了,老妈烦死了。



W1nds
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
手动构建PE文件
当我在写代码的时候我在写什么
11-10 1380
手工用16进制编辑器编一个PE,做到弹出一个MessageBox并且尽量缩小大小。 1. 可以缩减的地方 PE头可以缩减,因为是重新构建的关系,所以可以把3C处偏移到Nt头的节对齐大小位置,然后后面内容就按照这个节大小值去设置就行了,偏移位置有0x02、0x04,0x02的0x3C处在值的中间,导致对齐大小太大,所以选择0x04,这是节对齐正好就是4。设置可选头大小和数据目录大
手工实现简易PE文件
UntilTheCore的博客
04-19 1490
0x01、写在之前        PE文件作为可执行文件在Windows上的重要性不言而喻。为了更好的理解PE文件的结构,花了一定的时间手工实现了一个简易的PE文件。完成后做了一些总结,记录在此,以免后忘!如有错误之处,还请指正!0x02、结构解析        要想手工打造一个PE文件,那么我们就必须先要知晓PE文件各个主要结构体的大小以及结构体的各个字段,这样实现起来才会更得心应手。我们可以使...
A1pass大大对黑客学习的建议
weixin_33709609的博客
12-02 182
本文转自:http://bbs.hackav.com/thread-92-1-1.html  菜鸟不可怕,可怕的是你认为自己一辈子都是菜鸟。每个高手都是从菜鸟进化过来的,就算是现在黑客界的泰斗们当年也无知过、轻狂过,但是这并不影响他们成为国内黑客界的泰斗。究其原因,就是因为他们勤奋好学,不管是多么的坎坷,他们坚持了下来,他们用了近10年的时间才取得今天得出成就。      由此可见,只要你认学、善...
详细的手工构造PE文件教程
子曰小玖的博客
11-08 816
一直以来都在学习PE文件结构,从不敢轻视,但是即使如此还是发现自己在这方面有所不足,于是便想到了用纯手工方式打造一个完整的可执行的PE文件。在这期间我也查了大量资料,但是这些资料都有一个通病就是不完整,看雪得那个只翻译了一部分,加解密技术内幕介绍的更是笼统,而且是打造一个只有180字节的PE文件,是高手们茶余饭后的怡情小游戏。 鉴于此,心想为什么不自己摸索着手工打造一个完整些的呢?一是加强一下自己对于PE文件的了解,二是写出一篇参考性比较强的文章,给有志于在此发展的朋友们铺...
实验五——手工编写PE文件
Onlyone_1314的博客
09-26 8239
【实验名称】 手工编写PE文件 【实验目的】 1.了解PE文件的概念、结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.重点分析PE文件文件头、引入表、引出表,以及资源表 【实验原理】 1.PE文件概述 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) 2.PE文件结构 3.PE文件各部分描述 MS-DOS
VC++实现PE文件分析工具
12-15
PE文件格式是Microsoft Windows操作系统中用于存放可执行程序、动态链接库(DLL)、驱动程序等的主要格式。本项目“VC++实现PE文件分析工具”旨在通过VC++编程语言来创建一个实用工具,帮助开发者和安全研究人员深入...
lammps_init.rar_PE chain_data_handwgw_lammps_tongueu3i
07-15
"handwgw"可能指的是手动构造这些数据文件的方式,而不是通过自动化工具。这意味着用户可能需要直接编辑文本文件来创建PE链的结构。 "lammps_tongueu3i"可能是一个特定的模拟设置或者一个特定的计算模块,可能涉及...
【软件加密_技术内幕】
04-24
[Trial version] 第1章 PE文件格式深入研究 [Trial version] 1.1 PE文件格式格式纵览 [Trial version] PE文件格式一览.html [Trial version] 1.2 PE文件结构 [Trial version] 1. 检验PE文件的有效性.html ...
滴水三期完整版(96课时)
04-20
第34讲:2015-03-11(PE头解析_手动) 第35讲:2015-03-12(PE头字段说明) 第36讲:2015-03-13(PE节表) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-...
PE文件节区添加并弹出简单的对话框
12-03
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
手工构建的简单pe文件
03-07
自己刚刚手工构建的一个简单的pe文件,希望对大家有帮助。
手动打造PE文件
11-11
文档叙述了pe文件的结构,了解pe文件后,可以自己打造一个纯手工的pe文件,你能想象那种成就感吗?
添加节,插入PE文件
10-31
把任何二进制文件,以新添加一个节区的方式,插入到可执行文件中!
PE文件中插入可执行代码(非源码)
03-12
根据PE文件 的结构特征,实现两种不同的向Pe文件插入可执行代码的方法: (1)在本节中的未用空间中插入代码 (2)添加新的节 在编写要添加的代码中,要注意插入代码的变量地址的重定位和代码返回发动态获取API入口地址。。。
windows在内存启动exe程序
02-23
在Windows操作系统中,通常我们通过双击或者命令行来启动.exe可执行文件,这个过程涉及到Windows的PE(Portable Executable)加载器。PE加载器负责解析.exe文件的结构,加载必要的资源,设置执行上下文,并将控制权...
windbg调试心得
wowolook的专栏
03-20 1129
题记:积点滴之水,纵难成沧海,亦能得一洼。 作者:A1Pass [www.hackav.com / a1pass.blog.163.com](转载请注明版权)        有些朋友建议我多写一些心得与笔记,也好便于其他人学习进步,其实这些朋友高看我了,我的心得也是很有限的,简单的东西不成系统,复杂的东西一句两句的也说不清楚,抖出来有装X之嫌。我之所以最近几年少
手工打造超小PE文件
Dustfly的专栏
02-24 4255
手工打造超小PE文件作者:Sunline lisunlin0@yahoo.com.cn代码下载:http://download.csdn.net/source/359340最近试着做一些比较小的PE文件, 系统可识别的EXE做到了119 Bytes(压缩包中的MinApp_06.bat.exe文件, 期望再减小2 bytes左右), 弹出一个对话
逆向工程之作业:手工修改PE文件
weixin_47356546的博客
12-09 1023
文字描述思路,关键步骤截图,形成打印版文档,提交。 1.对齐粒度 将helloworld.EXE的文件对齐和内存对齐粒度设置为相同,都为1000H,查看节表,得到以下效果。 步骤: Peditor打开helloworld.exe文件 打开节表, 右键点击一个节,选择编辑节,修改原始大小和原始偏移 点击应用更改。 例:选择.text节 修改了以后保存,文件就不能运行了,因为文件实际的内容大小对应不上。 打开Winhex,在几个部分进行填充,使文件实际大小和PEditor内容对应 (1). text部分由
手动构造MultipartFile
最新发布
09-08
手动构造MultipartFile对象,可以使用MockMultipartFile类。MockMultipartFile是Spring提供的一个实用工具类,用于创建模拟的MultipartFile对象。MockMultipartFile类提供了多个构造函数,可以根据需要进行选择。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值