代码节空白区添加代码(手动)(含C练习代码)【基础函数的实现的源代码在这里面】

最新推荐文章于 2024-01-17 18:37:13 发布
最新推荐文章于 2024-01-17 18:37:13 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 逆向开发学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lygl35/article/details/118180117
版权

1、用OD 在命令行输入 bp MessageBoxW ,找到754EF280 是Messgebox函数开始执行的位置,这个地址每台电脑都不一样,每次开机也会变化。

在这里插入图片描述

2、我们的目的就是要手动在文件修改OEP,指向自己手动添加的CALL 代码地址,然后用JMP跳回到原来OEP指向的地址让EXE继续正常运行 ,向文件中添加的代码都是编译后的代码,也就是硬编码。

3、6A 00 6A 00 6A 00 6A 00 E8 00 00 00 00 E9 00 00 00 00 ,这一段就是CALL 和JMP的硬编码模板,6A00 都是 PUSH的四个参数,MessageBox四个参数都是0,E8 后面的 00 00 00 00 就是要修改为OD找到的MessageBox 地址 754EF280 的硬编码,E9 后面的00 00 00 00 修改为OEP原先的地址

4、计算E8和E9硬编码的公式,下图X 表示 E8 或E9后面的硬编码

	注意:E8当前地址是在4GB空间,拉伸后的地址,不是在文件中的地址。

在这里插入图片描述

5、E8后面的硬编码是计算文件中的还是4GB拉伸以后的?

答案是:是计算拉伸后在4GB中的地址

6、通过 SizeofRawData-VirtualSize 可以知道添加代码的空间是否足够。

在这里插入图片描述

7、通过VirtualSize+PointerToRawData 相加可以知道需要添加代码的位置

在这里插入图片描述

8、找到空闲区域,把空闲区域改为我们需要的代码

在这里插入图片描述

9、根据上面第4条提供的公式,现在要找(E8的地址+5),要注意的是这个E8的地址要转换为在内存运行时的地址.

ImageBase+161ABD
问题现在161ABD是文件中对齐后的地址,要转换为再内存中对齐的地址,这就要回顾一下前面的拉伸规则了。
现在要计算出dwRVA,就是代码在内存中的地址,这样才能算出在内存中Call需要跳转的地址:

dwRva代码的RVA地址=VirtualOffset代码地址到内存节的偏移 +pSectionHeader->VirtualAddress节的内存RVA地址;
VirtualOffset代码地址到内存节的偏移=foa代码在文件中的地址 - pSectionHeader->PointerToRawData节在文件中的地址 ;

现在有两个地址要计算,一个是E8 一个E9
VirtualOffset代码地址到内存节的偏移= E8地址 00161AB8-0x400=16 16B8‬

VirtualOffset代码地址到内存节的偏移= E9地址 00161AB8+5-0x400=16 16BD‬

E8 dwRva代码的RVA地址=1616B8‬+0x1000=1626B8‬
E9 dwRva代码的RVA地址=1616BD+0x1000=1626BD

计算出E8 和 E9 后面的硬编码

E8后的硬编码= 内存实际要跳转的地址754EF280-(1626B8‬+5+400000)= 74F8 CBC3‬
E8 C3 CB F8 74
E9后的硬编码= 内存实际要跳转的地址(AddressOfEntryPoint 程序入口地址 0013BB20 + ImageBase 400000 ) -(1626BD‬+5+400000)
53BB20-5626C2 (计算器要设置DWORD 双字运算)
=FFFD945E
E9 5E 94 FD FF
在这里插入图片描述

最后修改为
在这里插入图片描述

入口地址改为6A00 PUSH 参数开始的位置

在这里插入图片描述

用同样的计算方法 把入口地址改为 16 26B0‬,这个地址是不用加imageBase 400000的
在这里插入图片描述

运行效果

先弹出 对话框

在这里插入图片描述
点确定后 程序继续正常运行

在这里插入图片描述

用C语言实现自动修改,修改完后存盘(以下代码测试可以正确执行)

//主程序 在PE空白区域添加代码,并且从改代码执行,执行完添加的代码后再从原来的入口执行
#include <stdio.h>
#include <stdlib.h>
#include "func.h"

int main(void)
{
   
	PrintNTHeaders();//打印PE头信息

	TestAddCodeIncodeSec();

	getchar();
	return 1;

}

//func.h  头文件
#pragma once
#include <Windows.h>
#define FILEPATH "D:/ipmsg.exe"
#define FILEPATH_NEW "D:/ipmsg_new.exe"
//函数声明								

//**************************************************************************								
//ReadPEFile:将文件读取到缓冲区								
//参数说明:								
//lpszFile 文件路径								
//pFileBuffer 缓冲区指针								
//返回值说明:								
//读取失败返回0  否则返回实际读取的大小								
//**************************************************************************								
DWORD ReadPEFile(IN LPSTR lpszFile, OUT LPVOID* pFileBuffer);

//CopyFileBufferToImageBuffer:将文件从FileBuffer复制到ImageBuffer								
//参数说明:								
//pFileBuffer  FileBuffer指针								
//pImageBuffer ImageBuffer指针								
//返回值说明:								
//读取失败返回0  否则返回复制的大小								
//**************************************************************************								
DWORD CopyFileBufferToImageBuffer(IN LPVOID pFileBuffer, OUT LPVOID* pImageBuffer);

//**************************************************************************								
//CopyImageBufferToNewBuffer:将ImageBuffer中的数据复制到新的缓冲区								
//参数说明:								
//pImageBuffer ImageBuffer指针								
//pNewBuffer NewBuffer指针								
//返回值说明:								
//读取失败返回0  否则返回复制的大小								
//**************************************************************************								
DWORD CopyImageBufferToNewBuffer(IN LPVOID pImageBuffer, OUT LPVOID* pNewBuffer);

//MemeryTOFile:将内存中的数据复制到文件								
//参数说明:								
//pMemBuffer 内存中数据的指针								
//size 要复制的大小								
//lpszFile 要存储的文件路径								
//返回值说明:								
//读取失败返回0  否则返回复制的大小								
//**************************************************************************								
BOOL MemeryTOFile(IN LPVOID pMemBuffer, IN size_t size, OUT LPSTR lpszFile);


//**************************************************************************						
//RvaToFileOffset:将内存偏移转换为文件偏移						
//参数说明:						
//pFileBuffer FileBuffer指针						
//dwRva RVA的值						
//返回值说明:						
//返回转换后的FOA的值  如果失败返回0						
//**************************************************************************						
DWORD RvaToFileOffset(IN LPVOID pFileBuffer, IN DWORD dwRva);

//**************************************************************************						
//添加代码到节的空白区域											
//**************************************************************************
VOID TestAddCodeIncodeSec();

//打印PE文件信息
VOID PrintNTHeaders();

//func.c 函数的实现

#include "func.h"
#include <stdio.h>


#define FILEPATH_IN
#define FILEPATH_OUT
#define SHELLCODELENGTH  0x12 //添加代码长度
#define MESSAGEBOXADDR  0x754EF280  //执行代码的函数入口地址,就是实际要跳转的地址

//全局变量声明
BYTE shellCode[] =
{
   
   0x6A,00,0x6A,00,0x6A,00,0x6A,00,
   0xE8,00,00,00,00,
   0xE9,00,00,00,00,
};

DWORD ReadPEFile(LPSTR lpszFile, OUT LPVOID* pFileBuffer)
{
   
	FILE* pFile = NULL;
	DWORD fileSize = 0;
	//LPVOID pFileBuffer = NULL;

	//打开文件	
	pFile = fopen(lpszFile, "rb");
	if (!pFile)
	{
   
		printf(" 无法打开 EXE 文件! ");
		return NULL;
	}
	//读取文件大小		
	fseek(pFile, 0, SEEK_END);
	fileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);
	//分配缓冲区	
	*pFileBuffer = malloc(fileSize);

	if (
最低0.47元/天 解锁文章
lygl35
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
代码添加代码编程实现
hambaga的博客
05-12 765
原理 分析PE结构,找到第一个,假设它是代码(后面的实验都是基于这个前提),获取其内存偏移 VirtualAddress,计算它最后一条指令的偏移的下一个字,作为代码插入点。插入调用MessageBoxA的硬编码,和jmp到原入口点的代码。跳转地址计算公式是:X = 要跳转的地址 - 下一条指令的地址。要注意,公式中涉及的“地址”指的都是运行时的地址,即通过 [ImageBase + 偏移] 得到。 修改程序入口点,使运行时先执行我插入的代码,然后跳转到原来的入口点。 代码使用vc6开发,如果要迁移到
打印PE文件导入表(C语言代码
lygl35的博客
07-07 392
打印导入表 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入表 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
滴水三期:day31.1-代码空白添加代码
Edimade的博客
05-02 1157
一、代码空白添加代码(1.MessageBox函数说明>2.call与jmp指令的硬编码>3.添加代码效果说明>4.添加思路)>二、作业(1.在代码空白添加代码(手动))
在任意代码空白添加代码(C语言)
qq_53613951的博客
01-17 920
在任意代码空白添加代码
深入剖析PE文件
lwglucky的专栏
03-15 5675
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE文
重定位类型分析(2)
ruixj的专栏
08-03 3304
分析R_386_GOTPC,R_386_GOT32,R_386_GLOB_DAT和R_386_PLT32 PIC位置无关代码,使用-fPIC参数就可以编译得到 >>>>>>>>>>>>>>>>>R_386_GOTPC 看看第一个重定位符号的重定位信息 汇编代码:        call    .L3 //.L3地址压栈.L3:      
uni-app入门教程-通用空白框架的制作(源代码和软件)
06-19
《uni-app入门:通用空白框架的制作...在这个过程中,你将学会如何利用HbuilderX搭建开发环境,编写和组织项目结构,以及进行简单的功能实现。随着对uni-app的深入学习,你将能够开发出更加复杂和功能丰富的应用程序。
C#源代码-正则表达式练习.zip
06-04
这个"C#源代码-正则表达式练习.zip"文件包了一些用C#编写的源代码,这些代码专门用于实践和学习正则表达式。 正则表达式在C#中通过System.Text.RegularExpressions命名空间下的Regex类提供支持。它允许程序员通过...
2048游戏源代码 - C语言控制台界面版
03-15
游戏的规则很简单,你需要控制所有方块向同一个方向运动,两个相同数字的方块撞在一起之后合并成为他们的和,每次操作之后会在空白的方格处随机生成一个2或者4(生成2的概率要大一些),最终得到一个“2048”的方块...
MATLAB实现不同插值方法的GUI界面设计 源程序代码.zip
11-14
在本压缩包中,提供的源程序代码展示了如何在MATLAB中实现不同插值方法的GUI(图形用户界面)设计。通过GUI,用户可以直观地操作和选择不同的插值算法,这对于教学、研究和工程实践都具有很高的实用价值。 首先,...
课程设计Android瀑布流实现,类似于 应用里的排列源代码下载
05-11
本课程设计主要聚焦于如何在Android平台上实现这一功能,通过源代码学习,可以深入理解Android UI设计的原理与实践。 瀑布流布局的核心特点是元素在屏幕上以多列的形式自适应地排列,每列的高度不同,使得整体视觉...
PE_修正重定位表
qq_42363151的博客
09-25 299
PE
病毒实验四
weixin_34402090的博客
03-07 260
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7438
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
PE文件-NT头
weixin_45012273的博客
11-06 325
DOS头和NT头之间 存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置 NT头格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件头 IMAGE_OPTIONAL_HEADER32.
2.PE文件之NT头(IMAGE_NT_HEADERS)
kernelhack
10-25 4819
IMAGE_NT_HEADERS 结构及成员义如下: //默认大小为: //32BIT: 0xF8 (248)字 //64BIT: 0x108(264)字 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..
c++课程设计-产品入库管理操作系统.rar
最新发布
07-24
基于C语言、C++、C#的课程\毕业设计,可供学习参考。
C语言实现的俄罗斯方块源代码
"C语言实现的俄罗斯方块代码示例" 在编程领域,尤其是游戏开发中,用C语言实现经典游戏如俄罗斯方块是一项有趣的挑战。这个代码片段提供了一个简单的框架,展示了如何在命令行界面中创建这个游戏。下面将详细解释...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值