vc编写自己的壳之一:对pe文件OEP的修改

最新推荐文章于 2022-03-02 14:20:58 发布
最新推荐文章于 2022-03-02 14:20:58 发布
阅读量1.2k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: header image dos cmd null file

调试了下修改pe文件的oep,然后在新的入口点什么都没做,只是jmp回到原始入口点,程序继续执行.测试通过. 准备明天在自己入口点的地方添加一个MessageBox代码.

很多是网上朋友的代码,借用下不好意思,如有版权等问题请联系偶,偶会尽快处理,谢谢.

void CPeSecDlg::Go()
{
 HANDLE hFile, hMapping;
 void * basepointer = NULL;
 if(INVALID_HANDLE_VALUE == (hFile = CreateFile("C://CenterServer.exe",
  GENERIC_READ | GENERIC_WRITE,
  FILE_SHARE_READ | FILE_SHARE_WRITE,
  0,
  OPEN_EXISTING,
  FILE_FLAG_SEQUENTIAL_SCAN,
  0)))
 {
  AfxMessageBox("打开失败!!");
  return;
 }

 if(!(hMapping = CreateFileMapping(hFile, 0, PAGE_READONLY | SEC_COMMIT, 0, 0, 0)))
 {
  AfxMessageBox("CreateFileMapping打开失败!!");
  CloseHandle(hFile);
  return;
 }

 if(!(basepointer = MapViewOfFile(hMapping, FILE_MAP_READ, 0, 0, 0)))
 {
  AfxMessageBox("MapViewOfFile");
  CloseHandle(hMapping);
  CloseHandle(hFile);
  return;
 }

 IMAGE_DOS_HEADER * dos_head = (IMAGE_DOS_HEADER*)basepointer;
 IMAGE_NT_HEADERS * header = (IMAGE_NT_HEADERS*)((char*)dos_head + dos_head->e_lfanew);
 DWORD oldOEP = header->OptionalHeader.AddressOfEntryPoint;
 IMAGE_SECTION_HEADER * sectionHeader = (IMAGE_SECTION_HEADER*)(((char*)header + sizeof(IMAGE_NT_HEADERS)));

 //此段真实长度
 DWORD dwVirtSize = sectionHeader->Misc.VirtualSize;
 //此段物理偏移
 DWORD dwPhysAddress = sectionHeader->PointerToRawData;
 //此段物理长度
 DWORD dwPhysSize = sectionHeader->SizeOfRawData;
 //取得此段的可用空间
 DWORD dwSpace = dwPhysSize - dwVirtSize;
 //取得程序的装载地址
 DWORD dwProgRAV = header->OptionalHeader.ImageBase;

 //代码偏移一般为0
 DWORD dwCodeOffset = header->OptionalHeader.BaseOfCode - dwPhysAddress;

 //代码写入的物理偏移
 DWORD dwEntryWrite = dwPhysAddress + dwVirtSize;
 if(0 != (dwEntryWrite%16))
 {
  dwEntryWrite += (16 - (dwEntryWrite%16));
 }

 //计算新的程序入口地址
 DWORD dwNewEntryAddress = dwEntryWrite + dwCodeOffset;

 //将jmp oldOEP的代码写入新的入口地址
 SetFilePointer(hFile, dwNewEntryAddress, NULL, FILE_BEGIN);
 //jmp oldOEP的16进值码为0xE90002D820
 DWORD iWrited = 0;
 char cmd[4] = {0};
 ChangeDwordToString(/*0x0002D820*/0xFFFE069B, cmd);
/* cmd[0] = (char)0x00;
 cmd[1] = (char)0x02;
 cmd[2] = (char)0xD8;
 cmd[3] = (char)0x20;
 WriteFile(hFile, cmd, 4, &iWrited, NULL);
*/ char d[1] = {0};
 d[0] = (char)0xE9;
 WriteFile(hFile, d, 1, &iWrited, NULL);
 WriteFile(hFile, cmd, 4, &iWrited, NULL);

 //设置新的入口地址
 int nEntryPos = dos_head->e_lfanew + 40;
 SetFilePointer(hFile, nEntryPos, NULL, FILE_BEGIN);
 char pBuffer[4] = {0};
 ChangeDwordToString(/*0x0002D820*/dwNewEntryAddress, pBuffer);
 WriteFile(hFile, pBuffer, 4, &iWrited, NULL);

 //OK
}

//转换DWORD为字符串,并转换成低低高高顺序
void CPeSecDlg::ChangeDwordToString(DWORD d, char *cBuffer)
{
 unsigned char waddress[4] = {0};

 cBuffer[3] = (char)(d>>24)&0xFF;
 cBuffer[2] = (char)(d>>16)&0xFF;
 cBuffer[1] = (char)(d>>8)&0xFF;
 cBuffer[0] = (char)(d)&0xFF;

iiprogram
关注
专栏目录
基于VC++实现PE修改编程
weixin_30610755的博客
05-11 241
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件DOS-stub(DOS...
手动增加pe节并修改oep
wangbabadan的专栏
03-26 918
一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加节和修改oep,写出来供和我一样菜的一起进步。 一、       增加pe节需要的操作 1.    确定内存中的节的对齐粒度和文件中的节的对齐粒度,分别是pe+0038h 和3ch   也就是说 内存和文件的对齐粒度都是1000h. 2.    在文件末尾增加数据。 因为文件对齐的粒度是1000
PE文件修改以及增加节区
关注互联网安全的小虾米一枚
08-05 2363
修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。 BOOL ChangeOEP(CString strFilePath) { FILE* rwFile; // 被感染
修改OEPPE非代码段也可以运行?
陈刚编程心得与知识集
03-10 783
刚才测试了一下lordpe找了一个非代码区,该区域没有执行属性,然后我把peoep的地址改向这个非代码区的某位置,直接执行虽然出问题,但是用od看到是从非代码区运行了。没有执行权限,为什么还能运行呢?
OEP.rar_DLL感染_OEP_PE 感染_PE装载_oep注入
09-24
OEP感染注入呢,最主要我们要了解OEP的...当windows把一个pe文件装载完成之后,就会直接执行OEP入口,即:AddressOfEntryPoint。我们学过PE知识得知,AddressOfEntryPoint是在IMAGE_OPTIONAL_HEADER32 结构的定义里面。
dll加c语言,使用VC自己动手编写程序
weixin_39743824的博客
05-21 838
《使用VC自己动手编写程序》由会员分享,可在线阅读,更多相关《使用VC自己动手编写程序(29页珍藏版)》请在人人文库网上搜索。1、使用VC自己动手编写程序阅读对象:想写的新手。高手掠过,本文仅限于写入门。基本要求:了解VC+6.0基本使用方法;了解PE格式,不熟悉的地方能够通过查阅资料弄懂;(1) 生成界面,完成文件操作主要内容:生成界面,完成打开文件对话框。首先说一下写作原因。最...
程序OEP入口特征
12-27
OEPPE(Portable Executable)格式的可执行文件在被加载到内存后,真正开始执行的第一条指令的位置。通常,这个位置不同于文件头中的入口点,因为文件头的入口点通常是加载器为了处理DLLs和初始化工作而设计的。 ...
VC++的PE分析源码
12-27
自己编写的关于PE格式的分析,开发环境为VC++,详细地分析了PE文件各字段的数据,功能类似于LoadPE,
修改windows PE文件VC源码.zip
06-18
visual c++修改windows二进制PE文件的例子 显示进程的PID,SIZE之类的东西
一份PE文件修改VC源码
01-03
一份PE文件修改VC源码,可修改pe文件
改写PE文件导入表加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
pe-inject 修改程序导入表
04-02
编辑修改程序导入表,增加自定义DLL PE-inject is a special library which allows developers to place their own code into Windows executable files (EXE, DLL, OCX and others). PE-inject was designed to be as simple as possible, to make modification of executables (so called PE-files) as easy as writing a "Hello world!" program. The knowledge of Assembler and Windows PE-EXE file format, which was essential before PE-inject came, is no longer required. To inject your code into foreign executables you only need to make a DLL file with functions you want to inject into PE file, call PE-inject function to place the DLL into the executable and the file is injected. From now on, everytime you run the executable, the injected code will be run first and after it finishes, the old application code will start. PE-inject doesn't need to write any data to harddrive, like some other solutions do. Therefore it can be also used for applications which require highest security, like PE-protection engines. From EXE password protectors, through PE compressors to PE anti-cracking protectors, everything is easy to implement. PE-inject has a really well designed interface, which allows you to use it for almost any purpose related with injection of code into PE-files. Even a virus-like code is possible!
VC++修改PE文件
10-28
该程序只是介绍了PE文件的结构并简单的修改了一下,并没有向win32汇编中的那样先获得kernel.dll的地址,所以必须保证要修改文件中加载了user32.dll.
VC++ 改写PE文件插入特定代码
12-30
VC++ 改写PE文件插入特定代码,代码详细
VC读取PE文件OEP(程序入口
weixin_33797791的博客
06-12 828
为什么80%的码农都做不了架构师?>>> ...
通过修改exe的PE头中的VC编译版本号使VC11编译的程序exe能够在低版本的VC6运行时库下运行,前提是不能使用VC11才有的API.zip
01-14
通过修改exe的PE头中的VC编译版本号使VC11编译的程序exe能够在低版本的VC6运行时库下运行,前提是不能使用VC11才有的API.zip
一、C++反作弊对抗实战 (基础篇 —— 5.PE导入表注入dll)
Koma的主页
03-02 630
提在之前的文章中有详细讲解PE结构的,详情可以回顾一下:https://blog.csdn.net/wangningyu/article/details/122991132   导入表是Windows PE文件中的一种特殊数据结构,可执行程序(EXE)被加载到地址空间后,每个导入表的DLL模块都有一个对应的导入表,PE加载器会根据导入表来加
"深入剖析PE可执行文件格式:静态分析安全必备
本文档描述了Windows系统下可执行文件格式的标准,介绍了PE文件的结构、如何获取PE文件OEP(Original Entry Point)、如何获取PE文件中的资源以及如何修改PE文件以显示MessageBox等内容。 PE文件格式采用了一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值