代码节空白区添加代码(手动)(含C练习代码)【基础函数的实现的源代码在这里面】

最新推荐文章于 2024-01-17 18:37:13 发布
最新推荐文章于 2024-01-17 18:37:13 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 逆向开发学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lygl35/article/details/118180117
版权

1、用OD 在命令行输入 bp MessageBoxW ,找到754EF280 是Messgebox函数开始执行的位置,这个地址每台电脑都不一样,每次开机也会变化。

在这里插入图片描述

2、我们的目的就是要手动在文件修改OEP,指向自己手动添加的CALL 代码地址,然后用JMP跳回到原来OEP指向的地址让EXE继续正常运行 ,向文件中添加的代码都是编译后的代码,也就是硬编码。

3、6A 00 6A 00 6A 00 6A 00 E8 00 00 00 00 E9 00 00 00 00 ,这一段就是CALL 和JMP的硬编码模板,6A00 都是 PUSH的四个参数,MessageBox四个参数都是0,E8 后面的 00 00 00 00 就是要修改为OD找到的MessageBox 地址 754EF280 的硬编码,E9 后面的00 00 00 00 修改为OEP原先的地址

4、计算E8和E9硬编码的公式,下图X 表示 E8 或E9后面的硬编码

	注意:E8当前地址是在4GB空间,拉伸后的地址,不是在文件中的地址。

在这里插入图片描述

5、E8后面的硬编码是计算文件中的还是4GB拉伸以后的?

答案是:是计算拉伸后在4GB中的地址

6、通过 SizeofRawData-VirtualSize 可以知道添加代码的空间是否足够。

在这里插入图片描述

7、通过VirtualSize+PointerToRawData 相加可以知道需要添加代码的位置

在这里插入图片描述

8、找到空闲区域,把空闲区域改为我们需要的代码

在这里插入图片描述

9、根据上面第4条提供的公式,现在要找(E8的地址+5),要注意的是这个E8的地址要转换为在内存运行时的地址.

ImageBase+161ABD
问题现在161ABD是文件中对齐后的地址,要转换为再内存中对齐的地址,这就要回顾一下前面的拉伸规则了。
现在要计算出dwRVA,就是代码在内存中的地址,这样才能算出在内存中Call需要跳转的地址:

dwRva代码的RVA地址=VirtualOffset代码地址到内存节的偏移 +pSectionHeader->VirtualAddress节的内存RVA地址;
VirtualOffset代码地址到内存节的偏移=foa代码在文件中的地址 - pSectionHeader->PointerToRawData节在文件中的地址 ;

现在有两个地址要计算,一个是E8 一个E9
VirtualOffset代码地址到内存节的偏移= E8地址 00161AB8-0x400=16 16B8‬

VirtualOffset代码地址到内存节的偏移= E9地址 00161AB8+5-0x400=16 16BD‬

E8 dwRva代码的RVA地址=1616B8‬+0x1000=1626B8‬
E9 dwRva代码的RVA地址=1616BD+0x1000=1626BD

计算出E8 和 E9 后面的硬编码

E8后的硬编码= 内存实际要跳转的地址754EF280-(1626B8‬+5+400000)= 74F8 CBC3‬
E8 C3 CB F8 74
E9后的硬编码= 内存实际要跳转的地址(AddressOfEntryPoint 程序入口地址 0013BB20 + ImageBase 400000 ) -(1626BD‬+5+400000)
53BB20-5626C2 (计算器要设置DWORD 双字运算)
=FFFD945E
E9 5E 94 FD FF
在这里插入图片描述

最后修改为
在这里插入图片描述

入口地址改为6A00 PUSH 参数开始的位置

在这里插入图片描述

用同样的计算方法 把入口地址改为 16 26B0‬,这个地址是不用加imageBase 400000的
在这里插入图片描述

运行效果

先弹出 对话框

在这里插入图片描述
点确定后 程序继续正常运行

在这里插入图片描述

用C语言实现自动修改,修改完后存盘(以下代码测试可以正确执行)

//主程序 在PE空白区域添加代码,并且从改代码执行,执行完添加的代码后再从原来的入口执行
#include <stdio.h>
#include <stdlib.h>
#include "func.h"

int main(void)
{
   
	PrintNTHeaders();//打印PE头信息

	TestAddCodeIncodeSec();

	getchar();
	return 1;

}

//func.h  头文件
#pragma once
#include <Windows.h>
#define FILEPATH "D:/ipmsg.exe"
#define FILEPATH_NEW "D:/ipmsg_new.exe"
//函数声明								

//**************************************************************************								
//ReadPEFile:将文件读取到缓冲区								
//参数说明:								
//lpszFile 文件路径								
//pFileBuffer 缓冲区指针								
//返回值说明:								
//读取失败返回0  否则返回实际读取的大小								
//**************************************************************************								
DWORD ReadPEFile(IN LPSTR lpszFile, OUT LPVOID* pFileBuffer);

//CopyFileBufferToImageBuffer:将文件从FileBuffer复制到ImageBuffer								
//参数说明:								
//pFileBuffer  FileBuffer指针								
//pImageBuffer ImageBuffer指针								
//返回值说明:								
//读取失败返回0  否则返回复制的大小								
//**************************************************************************								
DWORD CopyFileBufferToImageBuffer(IN LPVOID pFileBuffer, OUT LPVOID* pImageBuffer);

//**************************************************************************								
//CopyImageBufferToNewBuffer:将ImageBuffer中的数据复制到新的缓冲区								
//参数说明:								
//pImageBuffer ImageBuffer指针								
//pNewBuffer NewBuffer指针								
//返回值说明:								
//读取失败返回0  否则返回复制的大小								
//**************************************************************************								
DWORD CopyImageBufferToNewBuffer(IN LPVOID pImageBuffer, OUT LPVOID* pNewBuffer);

//MemeryTOFile:将内存中的数据复制到文件								
//参数说明:								
//pMemBuffer 内存中数据的指针								
//size 要复制的大小								
//lpszFile 要存储的文件路径								
//返回值说明:								
//读取失败返回0  否则返回复制的大小								
//**************************************************************************								
BOOL MemeryTOFile(IN LPVOID pMemBuffer, IN size_t size, OUT LPSTR lpszFile);


//**************************************************************************						
//RvaToFileOffset:将内存偏移转换为文件偏移						
//参数说明:						
//pFileBuffer FileBuffer指针						
//dwRva RVA的值						
//返回值说明:						
//返回转换后的FOA的值  如果失败返回0						
//**************************************************************************						
DWORD RvaToFileOffset(IN LPVOID pFileBuffer, IN DWORD dwRva);

//**************************************************************************						
//添加代码到节的空白区域											
//**************************************************************************
VOID TestAddCodeIncodeSec();

//打印PE文件信息
VOID PrintNTHeaders();

//func.c 函数的实现

#include "func.h"
#include <stdio.h>


#define FILEPATH_IN
#define FILEPATH_OUT
#define SHELLCODELENGTH  0x12 //添加代码长度
#define MESSAGEBOXADDR  0x754EF280  //执行代码的函数入口地址,就是实际要跳转的地址

//全局变量声明
BYTE shellCode[] =
{
   
   0x6A,00,0x6A,00,0x6A,00,0x6A,00,
   0xE8,00,00,00,00,
   0xE9,00,00,00,00,
};

DWORD ReadPEFile(LPSTR lpszFile, OUT LPVOID* pFileBuffer)
{
   
	FILE* pFile = NULL;
	DWORD fileSize = 0;
	//LPVOID pFileBuffer = NULL;

	//打开文件	
	pFile = fopen(lpszFile, "rb");
	if (!pFile)
	{
   
		printf(" 无法打开 EXE 文件! ");
		return NULL;
	}
	//读取文件大小		
	fseek(pFile, 0, SEEK_END);
最低0.47元/天 解锁文章
lygl35
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
打印PE文件导入表(C语言代码
lygl35的博客
07-07 388
打印导入表 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入表 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
滴水三期:day31.1-代码空白添加代码
Edimade的博客
05-02 1134
一、代码空白添加代码(1.MessageBox函数说明>2.call与jmp指令的硬编码>3.添加代码效果说明>4.添加思路)>二、作业(1.在代码空白添加代码(手动))
在任意代码空白添加代码(C语言)
qq_53613951的博客
01-17 884
在任意代码空白添加代码
深入剖析PE文件
lwglucky的专栏
03-15 5672
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE文
重定位类型分析(2)
ruixj的专栏
08-03 3285
分析R_386_GOTPC,R_386_GOT32,R_386_GLOB_DAT和R_386_PLT32 PIC位置无关代码,使用-fPIC参数就可以编译得到 >>>>>>>>>>>>>>>>>R_386_GOTPC 看看第一个重定位符号的重定位信息 汇编代码:        call    .L3 //.L3地址压栈.L3:      
uni-app入门教程-通用空白框架的制作(源代码和软件)
06-19
《uni-app入门:通用空白框架的制作...在这个过程中,你将学会如何利用HbuilderX搭建开发环境,编写和组织项目结构,以及进行简单的功能实现。随着对uni-app的深入学习,你将能够开发出更加复杂和功能丰富的应用程序。
C#源代码-正则表达式练习.zip
06-04
这个"C#源代码-正则表达式练习.zip"文件包了一些用C#编写的源代码,这些代码专门用于实践和学习正则表达式。 正则表达式在C#中通过System.Text.RegularExpressions命名空间下的Regex类提供支持。它允许程序员通过...
2048游戏源代码 - C语言控制台界面版
03-15
游戏的规则很简单,你需要控制所有方块向同一个方向运动,两个相同数字的方块撞在一起之后合并成为他们的和,每次操作之后会在空白的方格处随机生成一个2或者4(生成2的概率要大一些),最终得到一个“2048”的方块...
MATLAB实现不同插值方法的GUI界面设计 源程序代码.zip
11-14
在本压缩包中,提供的源程序代码展示了如何在MATLAB中实现不同插值方法的GUI(图形用户界面)设计。通过GUI,用户可以直观地操作和选择不同的插值算法,这对于教学、研究和工程实践都具有很高的实用价值。 首先,...
课程设计Android瀑布流实现,类似于 应用里的排列源代码下载
05-11
本课程设计主要聚焦于如何在Android平台上实现这一功能,通过源代码学习,可以深入理解Android UI设计的原理与实践。 瀑布流布局的核心特点是元素在屏幕上以多列的形式自适应地排列,每列的高度不同,使得整体视觉...
PE_修正重定位表
qq_42363151的博客
09-25 294
PE
病毒实验四
weixin_34402090的博客
03-07 256
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7432
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
PE文件-NT头
weixin_45012273的博客
11-06 324
DOS头和NT头之间 存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置 NT头格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件头 IMAGE_OPTIONAL_HEADER32.
【PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2924
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT头结构:在图右侧可以看到,整个NT头包一个4字的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_...
导入表注入
qq_41232519的博客
10-14 548
文章目录一 、流程二、演示三、完整代码 一 、流程 1、File-> FileBuffer 2、添加 3、定位导入表 4、将导入表移动到新增的里面 5、新增一个导入表 6、在导入表后面添加INT表和IAT表 7、INT和IAT表指向函数名 8、修正导入表 9、存盘 二、演示 1、File-> FileBuffer DWORD Size = 0; //用来接收数据大小 BOOL isok = FALSE; //用来接收写入磁盘是否成功 LPVOID pFileBuffer
高温热流热线式风量变送器毕业设计.docx
最新发布
07-06
本设计针对目前垃圾焚烧场、焚化炉中高温气体的流速监测中存在的问题而提出。热流热线式风速传感器是利用放置在流场中具有加热电流的热线式敏感元件的热量转移与空气的流速之间的对应关系求得空气流动速度。传感器采用恒温差控制电路模块,使金属丝的温度差保持不变,消除了由于环境温度的变化对测量精度的影响,扩大了应用范围。流体参数可谓工业过程、科学计量和进行各种经济核算所必须的重要参数,是能源计量的重要组成部分。流体参数的测量在工业生产和过程控制中占有重要地位,特别是在热电厂、石油、矿山、冶金、航空、机械、医疗器械等领域。由于流体性质、流动状态、流动条件以及感测机理的复杂性,造成了流体参数测量系统的多样性、专用性和价格差异的悬殊性。通过流体流速的测量,人们可以了解流动过程,并且根据流体的流动状态对生产工艺进行自动控制,进而实现能源的有效管理,从而保证产品的质量,提高生产效率,约能源。 风速测量作为流速测量领域一个重要的部分,与人们的日常生产、生活密不可分。当今世界,风速、风量仪表更多的出现在工业生产、日常生活等领域,它 与国民经济、工业生产、科学研究和环境保护息息相关。随着工业自动化的飞速发展,人们对
python re.sub函数 实现代码
04-30
Python re.sub函数是一个用于替换字符串中匹配的正则表达式的函数。它的语法如下: re.sub(pattern, repl, string, count=0, flags=0) 其中,pattern为正则表达式字符串,repl为用于替换匹配文本的字符串,string为要搜索的字符串,count为替换的次数,flags为可选的标志。 例如,要将字符串中的所有数字替换为空白字符,可以使用如下代码: import re string = "123456789" pattern = "\d" repl = " " result = re.sub(pattern, repl, string) print(result) 输出结果为:" ",即字符串中的所有数字都被替换为空格字符。 此外,re.sub函数还可以采用函数作为参数进行替换,用于动态生成替换文本。例如,要将字符串中所有单词都转换为大写字母,可以使用如下代码: import re string = "hello world" pattern = "\w+" def upper(m): return m.group(0).upper() result = re.sub(pattern, upper, string) print(result) 输出结果为:"HELLO WORLD",即字符串中的所有单词都被转换为大写字母。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值