获取PE文件入口点

最新推荐文章于 2022-05-26 20:23:16 发布
最新推荐文章于 2022-05-26 20:23:16 发布
阅读量4.7k 收藏 5
点赞数 1
分类专栏: Debugging 文章标签: header dos image file cmd null

大家好,最近在网上看了一下PE文件结构的解释的文章,里面有一个修改PE文件的示例,是向PE文件插入一个消息框,以让目标PE文件执行时首先显示插入的消息框,其中有一段代码如下:

//计算新的程序入口地址
DWORD dwNewEntryAddress = dwEntryWrite + dwCodeOffset;

这段代码我看不明白,为什么要在最后加上代码偏移值呢?被写入的代码是写在dwEntryWrite地址处,把入口点改在这个地方不就可以了么,为什么要加上代码段的基地址(BaseOfCode)与本节的代码偏移值呢?
请各位高手帮忙解释一下!

------------------以下是摘自某位朋友的博客,即是我所说的那篇文章:
最近学习pe格式和写壳,最终目标是写出自己的壳,并有一定的anti能力.

调试了下修改pe文件的oep,然后在新的入口点什么都没做,只是jmp回到原始入口点,程序继续执行.测试通过. 准备明天在自己入口点的地方添加一个MessageBox代码.

很多是网上朋友的代码,借用下不好意思,如有版权等问题请联系偶,偶会尽快处理,谢谢.

void CPeSecDlg::Go()
{
HANDLE hFile, hMapping;
void * basepointer = NULL;
if(INVALID_HANDLE_VALUE == (hFile = CreateFile("C://CenterServer.exe",
GENERIC_READ | GENERIC_WRITE,
FILE_SHARE_READ | FILE_SHARE_WRITE,
0,
OPEN_EXISTING,
FILE_FLAG_SEQUENTIAL_SCAN,
0)))
{
AfxMessageBox("打开失败!!");
return;
}

if(!(hMapping = CreateFileMapping(hFile, 0, PAGE_READONLY | SEC_COMMIT, 0, 0, 0)))
{
AfxMessageBox("CreateFileMapping打开失败!!");
CloseHandle(hFile);
return;
}

if(!(basepointer = MapViewOfFile(hMapping, FILE_MAP_READ, 0, 0, 0)))
{
AfxMessageBox("MapViewOfFile");
CloseHandle(hMapping);
CloseHandle(hFile);
return;
}

IMAGE_DOS_HEADER * dos_head = (IMAGE_DOS_HEADER*)basepointer;
IMAGE_NT_HEADERS * header = (IMAGE_NT_HEADERS*)((char*)dos_head + dos_head->e_lfanew);
DWORD oldOEP = header->OptionalHeader.AddressOfEntryPoint;
IMAGE_SECTION_HEADER * sectionHeader = (IMAGE_SECTION_HEADER*)(((char*)header + sizeof(IMAGE_NT_HEADERS)));

//此段真实长度
DWORD dwVirtSize = sectionHeader->Misc.VirtualSize;
//此段物理偏移
DWORD dwPhysAddress = sectionHeader->PointerToRawData;
//此段物理长度
DWORD dwPhysSize = sectionHeader->SizeOfRawData;
//取得此段的可用空间
DWORD dwSpace = dwPhysSize - dwVirtSize;
//取得程序的装载地址
DWORD dwProgRAV = header->OptionalHeader.ImageBase;

//代码偏移一般为0
DWORD dwCodeOffset = header->OptionalHeader.BaseOfCode - dwPhysAddress;

//代码写入的物理偏移
DWORD dwEntryWrite = dwPhysAddress + dwVirtSize;
if(0 != (dwEntryWrite%16))
{
dwEntryWrite += (16 - (dwEntryWrite%16));
}

//计算新的程序入口地址
DWORD dwNewEntryAddress = dwEntryWrite + dwCodeOffset;

//将jmp oldOEP的代码写入新的入口地址
SetFilePointer(hFile, dwNewEntryAddress, NULL, FILE_BEGIN);
//jmp oldOEP的16进值码为0xE90002D820
DWORD iWrited = 0;
char cmd[4] = {0};
ChangeDwordToString(/*0x0002D820*/0xFFFE069B, cmd);
/* cmd[0] = (char)0x00;
cmd[1] = (char)0x02;
cmd[2] = (char)0xD8;
cmd[3] = (char)0x20;
WriteFile(hFile, cmd, 4, &iWrited, NULL);
*/ char d[1] = {0};
d[0] = (char)0xE9;
WriteFile(hFile, d, 1, &iWrited, NULL);
WriteFile(hFile, cmd, 4, &iWrited, NULL);

//设置新的入口地址
int nEntryPos = dos_head->e_lfanew + 40;
SetFilePointer(hFile, nEntryPos, NULL, FILE_BEGIN);
char pBuffer[4] = {0};
ChangeDwordToString(/*0x0002D820*/dwNewEntryAddress, pBuffer);
WriteFile(hFile, pBuffer, 4, &iWrited, NULL);

//OK
}

//转换DWORD为字符串,并转换成低低高高顺序
void CPeSecDlg::ChangeDwordToString(DWORD d, char *cBuffer)
{
unsigned char waddress[4] = {0};

cBuffer[3] = (char)(d>>24)&0xFF;
cBuffer[2] = (char)(d>>16)&0xFF;
cBuffer[1] = (char)(d>>8)&0xFF;
cBuffer[0] = (char)(d)&0xFF;
}
----------------------完

 

 

 

 

 

DWORD signature;
IMAGE_FILE_HEADER _head;
IMAGE_OPTIONAL_HEADER opt_head;
IMAGE_SECTION_HEADER section_header;

HANDLE hFile;
HANDLE hMapping;
void *basepointer;

// 打开文件.
if ((hFile = CreateFile(szFileName, GENERIC_READ,
FILE_SHARE_READ,0,OPEN_EXISTING,  
FILE_FLAG_SEQUENTIAL_SCAN,0)) == INVALID_HANDLE_VALUE)
{
MessageBox("can't open file");
return FALSE;
}

// 创建内存映射文件.
if (!(hMapping = CreateFileMapping(hFile,0,PAGE_READONLY|SEC_COMMIT,0,0,0)))
{
MessageBox("mapping failed");
CloseHandle(hFile);
return FALSE;
}

// 把文件头映象存入baseointer.
if (!(basepointer = MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0)))
{
MessageBox("view failed");
CloseHandle(hMapping);
CloseHandle(hFile);
return FALSE;
}
IMAGE_DOS_HEADER * dos_head =(IMAGE_DOS_HEADER *)basepointer;

// 得到PE文件头.
_head = (IMAGE_FILE_HEADER *)((char *)dos_head + dos_head->e_lfanew);

// 得到OEP地址.
DWORD dwOEP=header->opt_head.AddressOfEntryPoint;

  // 清除内存映射和关闭文件.
UnmapViewOfFile(basepointer);
CloseHandle(hMapping);
CloseHandle(hFile);

 

 

 

 

 

 

 

C++获取PE文件入口点 http://www.rrgod.com/program/38.html

 

garfieldking
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件入口检测工具
11-27
计算PE文件入口地址,对标准PE文件,通过分析文件头部信息得到入口地址,为逆向工程提供方便。
c++获取pe文件签名
最新发布
05-23
获取PE文件的签名,我们需要理解以下关键概念: 1. **PE文件结构**:PE文件由多个节(Section)组成,包含了代码、数据、元数据等。在文件头中,有一个称为`IMAGE_DOS_HEADER`的结构,它指向`IMAGE_NT_HEADERS`,...
PE导出表--查找入口地址
跃然实验室
06-10 1186
从序号查找入口地址 (1)定位到PE文件头。 (2)从PE文件头中的IMAGE_OPTIONAL_HEADER32结构中取出数据目录表,并从第一个数据目录中得到导出表的地址。 (3)从导出表的nBase字段得到起始序号。 (4)将需要查找的导出序号减去起始序号,就得到了函数在入口地址表中的索引。 (5)检测索引值是否大于导出表的NumberOfFunctions字段的值,如果大于后...
C++获取PE文件入口
杨航的专栏
03-12 2113
2009-10-07 10:17 C++获取PE文件入口 源码: #include "stdafx.h" #include #include using namespace std; int main(int argc, char* argv[]) { char *FileName = argv[1]; HANDLE hFile = CreateFile(Fi
查找OEP PE入口
Mr.Out的专栏
01-19 1778
oep是什么oep是程序入口oep=original entry pointep=entry point O是指原来的意思E是指入口P是指所以全称是原入口的意思如何找oep(入口PE后两行半再过四个字节PE:一开始数四行退四个字节
PE文件格式概述
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
PE文件区段.rar
04-06
标题中的“取PE文件区段”指的是在编程领域中处理可执行文件(Portable Executable, PE)时,获取其内存映像的特定部分,通常包括代码、数据等区段。PE文件格式是Windows操作系统中用于存放可执行程序、动态链接库...
C++的PE文件操作类
08-01
文件包含了PE文件的类型信息、入口地址、大小等关键数据。节区则包含了实际的代码和数据,如.text(代码)、.data(初始化数据)和.reloc(重定位信息)等。 在C++中操作PE文件,我们通常需要使用WinAPI或者第...
PE文件解析器
12-01
- **解析COFF头和NT头**: 从中获取文件类型、入口、节表位置等信息。 - **处理节表**: 节表包含节头数组,每个节头都描述了一个节的属性。解析器遍历这些头,了解节的内容和位置。 - **解析导入和导出表**: ...
delphi读写PE文件
04-18
DOS头是历史遗留,PE头则包含关于文件的重要信息,如入口地址、大小等。NT头包含图像文件头和选择性的DLL特性,节表描述了文件中的各个段或节,而节数据则包含了实际的代码和数据。 2. **Delphi编程**:Delphi是...
PE 入口伪装工具
12-11
PE 入口伪装工具 支持很多中的壳的伪装
VC读取PE文件的OEP(程序入口
weixin_33797791的博客
06-12 813
为什么80%的码农都做不了架构师?>>> ...
pe框架跳转html页面,关于pe中的入口和跳转问题
weixin_42511712的博客
06-03 474
关于pe中的入口和跳转问题作者:admin 日期:2009-08-27字体大小: 小 中 大 pe里面的入口和跳转问题。在我一开始学习pe的时候曾经就被这两个问题困惑过,可能很多朋友在学习的过程中也会遇到,所以我想在这里把这两个问题说清楚一。没什么技术含量大牛飘过啦。大家知道pe入口是在IMAGE_FILE_HEADER里面AddressOfEntryPoint指定的。其实这个说得挺清楚...
c语言读取exe的pe标记,VC读取PE文件的OEP(程序入口
weixin_42451850的博客
05-21 824
OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。照着网上的教程写了一遍,收 获不小,现在对PE文件的前两部分已经有一定的了解了。下面的代码很简单,首先用CreateFile读取PE文件PE文件的起始位置是DOS部分,DOS部分又分为DOS MS文件头和DOS块,在DOS MS文件头中包含了PE文件头的起始地址,而DOS块中的数据没啥...
PE文件的修改以及增加节区
关注互联网安全的小虾米一枚
08-05 2348
修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。 BOOL ChangeOEP(CString strFilePath) { FILE* rwFile; // 被感染
PE入口与运行时态库的关系
SmartFEP的博客
04-05 1576
使用VC环境开发的程序入口处的代码并非是所谓的main函数的代码,而是运行时态库代码,也就是说VC在链接生成PE文件时,PE入口处的代码是VC自动添加上去的,在这段自动添加的代码中对运行时态库进行了初始化,并将程序运行时装载的基地址传给CRT入口函数,然后由CRT调用了用户编写的MAIN函数。 CVP中以追加方式将FileInfect追加到MessageBox后面时需要重定位FileInf
修改pe程序入口
qq_44657899的博客
05-26 1472
固定基址-便于调试 修改入口 程序使用x64dbg打开,可以看到程序基址为140000000 程序的入口为11023,那么在内存中,程序入口=基址+偏移量=140000000+11023=140011023 ctrl+G定位到140011023,然后找一个空白处,这里选择1400113B3,修改汇编代码为jmp 0x140011023 右键→补丁→修补文件,保存文件为project2.exe,然后将程序入口修改为00113B3 现在运行project2.exe,可以发现入口已经到了140.
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件DOS加载模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
PE文件:(1)基础知识
weixin_43972499的博客
04-06 545
基础知识基本概念PE文件结构Dos头NT头(1)PE标志(2)文件头(3)可选头区段表总结 基本概念   PE文件的全称是"Portable Executable File Format",也就是可移植的执行体,目前是Windows平台上的主流可执行文件格式。   PE文件使用的是一个平面地址空间,所有的代码和数据都合并在了一起,组成了一个完整的文件结构。文件内容被分成了不同的部分区段,区段中包含文件基本信息、数据、代码,各个区段按页大小对齐,每个区段都有自己的属性,如是否可读、可写和可执行。 PE文件结构
"深入剖析PE可执行文件格式:静态分析安全必备
本文档描述了Windows系统下可执行文件格式的标准,介绍了PE文件的结构、如何获取PE文件的OEP(Original Entry Point)、如何获取PE文件中的资源以及如何修改PE文件以显示MessageBox等内容。 PE文件格式采用了一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值