8.PE文件之新增节

已于 2023-10-08 20:33:47 修改
阅读量4.1k 收藏 8
点赞数
分类专栏: Pe文件解析 文章标签: PE文件 安全 安全漏洞 C语言 C++
于 2021-10-28 19:50:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/121020670
版权

目录

新增节对PE文件中哪些值会有影响?

新增节步骤:

手动新增节

代码新增节

如果需要在PE文件中构建一端SHELLCODE(默认节区剩余空间不足情况下),可以通过新增节来解决此问题.通常大部分加壳软件都会新增节来移动或者备份各种目录项数据.

新增节对PE文件中哪些值会有影响?

新增节步骤:

  • 通过判断IMAGE_OPTIONAL_HEADER → SizeOfHeaders(所有头+节表文件对齐后的大小)来检查是否有足够空间新增一个节表数据,如果不够抹除DOS_STUB数据并整体移动NT,SECTION的数据到DOS_STUB位置.并修正IMAGE_DOS_HEADER → e_lfanew.
  • 在当前最后节后面新增一个IMAGE_SECTION_HEADER结构,并依据新增节大小修正其属性.
  • 修复IMAGE_FILE_HEADER→NumberOfSections.
  • 修复IMAGE_OPTIONAL_HEADER → SizeOfImage.
  • 重新分配新增后对应大小的文件缓存.
  • 拷贝先前数据.

手动新增节

通过WinHex工具查看PE文件默认属性

1).判断空间是否足够新增节

当前最后一个节后存在SIZEOF(IMAGE_SECTION_HEADER) * 2(80BYTE) 大小的空闲数据.

2).最后节处追加一个节表结构

内存与文件中的大小设置为0x1000方便一点(文件中大小为文件对齐后的大小).

内存与文件中的偏移设置为上一个节中pointertorawdata + sizeofrawdata.

节属性根据实际要求设置即可标志位对应数据点此查看.

3).修复IMAGE_FILE_HEADER→NumberOfSections.

4.修复IMAGE_OPTIONAL_HEADER → SizeOfImage.

5.在文件中新增对应节数据

移至文件尾部选中最后一个字节,WinHex选中菜单栏中编辑,选中菜单项粘贴0数据

新增节大小为1000h,对应十进制为4096.

新增数据后另存为文件,通过PE工具查看其数据

程序是否可以正常运行就知道新增节成功与否.

代码新增节

读取文件代码

PVOID FileToMem(IN PCHAR szFilePath, OUT LPDWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "rb");
	if (!pFile)
	{
		printf("FileToMem fopen Fail \r\n");
		return NULL;
	}

	//获取文件长度
	fseek(pFile, 0, SEEK_END);			//SEEK_END文件结尾
	DWORD Size = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);			//SEEK_SET文件开头

	//申请存储文件数据缓冲区
	PCHAR pFileBuffer = (PCHAR)malloc(Size);
	if (!pFileBuffer)
	{
		printf("FileToMem malloc Fail \r\n");
		fclose(pFile);
		return NULL;
	}

	//读取文件数据
	fread(pFileBuffer, Size, 1, pFile);

	//判断是否为可执行文件
	if (*(PSHORT)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("Error: MZ \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}

	if (*(PDWORD)(pFileBuffer + *(PDWORD)(pFileBuffer + 0x3C)) != IMAGE_NT_SIGNATURE)
	{
		printf("Error: PE \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}

	if (dwFileSize)
	{
		*dwFileSize = Size;
	}

	fclose(pFile);

	return pFileBuffer;
}

输出文件代码

VOID MemToFile(IN PCHAR szFilePath, IN PVOID pFileBuffer, IN DWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "wb");
	if (!pFile)
	{
		printf("MemToFile fopen Fail \r\n");
		return;
	}

	//输出文件
	fwrite(pFileBuffer, dwFileSize, 1, pFile);

	fclose(pFile);
}

移动NT+节表代码

BOOL MoveNtAndSectionToDosStub(IN PCHAR pBuffer)
{
	//定位结构
	PIMAGE_DOS_HEADER        pDos = (PIMAGE_DOS_HEADER)pBuffer;
	PIMAGE_NT_HEADERS        pNth = (PIMAGE_NT_HEADERS)(pBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER		 pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER   pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER    pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);

	//清空DOS_STUB数据
	memset(pBuffer + sizeof(IMAGE_DOS_HEADER), 0, pDos->e_lfanew - sizeof(IMAGE_DOS_HEADER));

	//移动数据大小
	DWORD dwMoveSize = sizeof(IMAGE_NT_HEADERS) + pFil->NumberOfSections * IMAGE_SIZEOF_SECTION_HEADER;

	//备份数据
	PUCHAR pTemp = (PUCHAR)malloc(dwMoveSize);
	if (!pTemp)
	{
		return FALSE;
	}
	memset(pTemp,0, dwMoveSize);
	memcpy(pTemp, pBuffer + pDos->e_lfanew, dwMoveSize);

	//清空默认数据
	memset(pBuffer + pDos->e_lfanew, 0, dwMoveSize);

	//移动数据
	memcpy(pBuffer + sizeof(IMAGE_DOS_HEADER), pTemp, dwMoveSize);

	//修正e_lfanew指向
	pDos->e_lfanew = sizeof(IMAGE_DOS_HEADER);

	free(pTemp);

	return TRUE;
}

新增节代码

PVOID AddNewSection(PCHAR pBuffer, DWORD dwSectionSize, LPDWORD pNewFileSize)
{
	//定位结构
	PIMAGE_DOS_HEADER        pDos = (PIMAGE_DOS_HEADER)pBuffer;
	PIMAGE_NT_HEADERS        pNth = (PIMAGE_NT_HEADERS)(pBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER		 pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER   pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER    pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);

	//判断头部是否有空间新增节
	if (pBuffer + pOpo->SizeOfHeaders - &pSec[pFil->NumberOfSections + 1] < IMAGE_SIZEOF_SECTION_HEADER )
	{
		//抹除DOS_STUB数据并将NT,SECTION整理向上移动
		BOOL bRet = MoveNtAndSectionToDosStub(pBuffer);
		if (!bRet)
		{
			printf("AddNewSection MoveNtAndSectionToDosStub Fail \r\n");
			free(pBuffer);
			return NULL;
		}

		pDos = (PIMAGE_DOS_HEADER)pBuffer;
		pNth = (PIMAGE_NT_HEADERS)(pBuffer + pDos->e_lfanew);
		pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
		pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
		pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);

	}

	//填充新增节数据
	CHAR szName[] = ".Kernel";
	memcpy(pSec[pFil->NumberOfSections].Name, szName,8);
	pSec[pFil->NumberOfSections].Misc.VirtualSize = dwSectionSize;//内存中对齐前的大小
	pSec[pFil->NumberOfSections].VirtualAddress = Align(pOpo->SectionAlignment, pSec[pFil->NumberOfSections - 1].Misc.VirtualSize + pSec[pFil->NumberOfSections - 1].VirtualAddress);//内存中的偏移
	pSec[pFil->NumberOfSections].SizeOfRawData = Align(pOpo->FileAlignment, dwSectionSize);//文件中对齐后的大小
	pSec[pFil->NumberOfSections].PointerToRawData = Align(pOpo->FileAlignment, pSec[pFil->NumberOfSections - 1].PointerToRawData + pSec[pFil->NumberOfSections - 1].SizeOfRawData);//文件中的偏移
	pSec[pFil->NumberOfSections].PointerToRelocations = 0;
	pSec[pFil->NumberOfSections].PointerToLinenumbers = 0;
	pSec[pFil->NumberOfSections].NumberOfRelocations = 0;
	pSec[pFil->NumberOfSections].NumberOfLinenumbers = 0;
	pSec[pFil->NumberOfSections].Characteristics |= pSec->Characteristics;//默认代码节
	pSec[pFil->NumberOfSections].Characteristics |= 0xC0000040;
	
	//新增节后补充大小为IMAGE_SECTION_HEADER结构的0数据
	memset(&pSec[pFil->NumberOfSections + 1], 0, IMAGE_SIZEOF_SECTION_HEADER);

	//修复默认节数量
	pFil->NumberOfSections++;

	//修复内存镜像大小
	pOpo->SizeOfImage += Align(pOpo->SectionAlignment, dwSectionSize);

	//默认文件大小
	DWORD dwOldSize = pSec[pFil->NumberOfSections - 2].SizeOfRawData + pSec[pFil->NumberOfSections - 2].PointerToRawData;

	//当前文件大小
	DWORD dwNewSize = pSec[pFil->NumberOfSections - 1].SizeOfRawData + pSec[pFil->NumberOfSections - 1].PointerToRawData;
	if (pNewFileSize)
	{
		*pNewFileSize = dwNewSize;
	}

	//重新分配缓冲区
	PUCHAR pTemp = (PUCHAR)malloc(dwNewSize);
	if (!pTemp)
	{
		printf("AddNewSection malloc Fail \r\n");
		free(pBuffer);
		return NULL;
	}
	memset(pTemp,0, dwNewSize);
	memcpy(pTemp, pBuffer, dwOldSize);
	free(pBuffer);

	return pTemp;
}

测试代码

int main()
{
	//读取文件二进制数据
	DWORD dwFileSize = 0;
	PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);
	if (!pFileBuffer)
	{
		return;
	}

	//新增节
	pFileBuffer = AddNewSection(pFileBuffer, 0x2222, &dwFileSize);

	//将二进制数据输出到文件
	MemToFile(FILE_PATH_OUT, pFileBuffer, dwFileSize);

	return 0;
}

「已注销」
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
PE文件(六)新增-添加代码
2301_78838647的博客
05-24 1072
我们有时候发现文件内存中未对齐的大小确实比文件中对齐的大小大,这是由于中包含初始化数据的缘故。当整体上移后空白出来的空间还不够新增表的大小时,我们可以采用扩大最后一个的方式,将添加的代码加到最后一个扩大的空间中,由于内存对齐的原因,我们会有很大一部分的空间供我们去添加代码。二.当满足添加表的条件时,我们可以将已有的一个表的40字信息复制一份紧挨着最后一个表的末尾(表与表之间时连续的),然后再定义之后的40字都是0,之后再根据新增的信息,去修改对应表的字段值。
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1403
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下新增表的步骤1.判断是否有足够的空间增加一个新.2.新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增表的属性.Virt.
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1143
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
导入表注入
qq_41232519的博客
10-14 553
文章目录一 、流程二、演示三、完整代码 一 、流程 1、File-> FileBuffer 2、添加 3、定位导入表 4、将导入表移动到新增里面 5、新增一个导入表 6、在导入表后面添加INT表和IAT表 7、INT和IAT表指向函数名 8、修正导入表 9、存盘 二、演示 1、File-> FileBuffer DWORD Size = 0; //用来接收数据大小 BOOL isok = FALSE; //用来接收写入磁盘是否成功 LPVOID pFileBuffer
C++ 获取 PE 文件的各种信息
CSDN
07-16 7815
首先感谢 cyxvc 老哥,他的代码可读性超高,精简有用以理解,我找这方面的资料好久了,这篇文章对我帮助很大。参考代码: 效果图:另外附上我的代码。😕 获取某指定区段的信息:
PE结构-
小喇叭儿滴滴的吹
02-12 460
首先,的话有两部分,一部分是表,另外一部分就是区了,表是用于描述区信息的,而区呢,简单点说就是数据块。 在上一篇博客中有提及过如何定位表,重点就是需要根据选项头的大小来定位,这里的话就直接上一点代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos头 if (pDosHeader ==...
PE文件添加.zip
08-19
PE文件添加是一个涉及到Windows可执行文件结构和编程技术的主题。PE(Portable Executable)文件格式是Microsoft Windows操作系统中用于存放可执行程序、动态链接库(DLL)等类型的文件的标准格式。在这里,我们...
DOS.rar_PE修改_pe_pe文件修改
09-14
PE文件由多个部分组成,包括DOS头、PE头、表、区等。DOS头是一个历史遗留的部分,用于在旧的DOS系统中识别PE文件PE头则包含关于程序的重要信息,如入口点地址、目标操作系统、文件的描述等。表和区则...
PE文件捆绑工程源码下载
12-16
1. **分析PE文件结构**:首先,需要理解PE文件的结构,包括表(Section Table)和(Section)。每个代表了文件内存映射的一部分,可以包含代码、数据或其他资源。 2. **寻找插入位置**:找到一个合适的,...
《WindowsPE权威指南》附书源代码.rar
08-01
-chapter3 PE文件头 -HelloWorld.exe -chapter4 导入表 -HelloWorld.exe -chapter5 导出表 -HelloWorld.exe -chapter6 堆栈与重定位表 -HelloWorld.exe -chapter7 资源表 -HelloWorld.exe -chapter8 ...
PE文件区添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PEfile_infection:Windows 32位的PE文件注入
02-16
4. **修改PE头**:更新PE文件的头信息,如表、大小和重定位信息,以适应新增的代码或数据。 5. **注入过程**:使用API函数,如CreateRemoteThread或VirtualAllocEx,将修改后的PE文件加载到目标进程的地址空间,...
PE结构-----新增
最新发布
mysqld521的博客
05-28 130
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字))》=80字。可以直接在最后的表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字进行00的填充。
滴水三期逆向基础系列(二)-加壳初识-文件开头弹出对话框
henuyl的博客
04-23 642
VOID AddCodeToCodeSec( VOID ){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...
PE文件详解(二)--表和
lj94093的专栏
01-12 4110
PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。
PE文件格式总结 - DOS文件头、PE文件头、表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、表和表详解
PE修改属性
跃然实验室
06-12 917
属性更改-----可执行 //修改属性,使之属于可执行 pLastSectionInfo->Characteristics |= IMAGE_SCN_MEM_EXECUTE |IMAGE_SCN_MEM_WRITE ;
PE表属性
hambaga的博客
05-09 731

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值