9.PE文件之扩大节

已于 2023-10-08 20:33:54 修改
阅读量3.6k 收藏 3
点赞数
分类专栏: Pe文件解析 文章标签: PE文件 安全 安全漏洞 C语言 C++
于 2021-10-28 20:14:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/121021946
版权

目录

扩大节对PE文件中哪些值会有影响?

扩大节步骤:

手动扩大节

代码扩大节

通常扩大最后一个节比较方便,假设扩大第一个节则后续所有节对应的数据都需要更改.

扩大节对PE文件中哪些值会有影响?

扩大节步骤:

  • 将最后一个节文件中的大小修改为当前文件大小加新增大小(文件对齐后的大小),节内存中的大小修改为当前内存大小加新增大小.
  • 修复IMAGE_OPTIONAL_HEADER → SizeOfImage.
  • 重新分配新增后对应大小的文件缓存.
  • 拷贝先前数据.

手动扩大节

通过WinHex工具查看PE文件默认属性

1).修改最后一个节文件与内存大小

方便测试这里扩大1000h(下述代码示例会自动检测对齐).

2).修复IMAGE_OPTIONAL_HEADER → SizeOfImage

这个值必须是内存对齐后的大小,默认值为0x00033000,扩大节大小为0x1000,内存对齐为1000h.

3.在文件中新增对应节数据

移至文件尾部选中最后一个字节,WinHex选中菜单栏中编辑,选中菜单项粘贴0数据

扩大节大小为1000h,对应十进制为4096.

新增数据后另存为文件,通过PE工具查看其数据

程序是否可以正常运行就知道扩大节成功与否.

代码扩大节

读取文件代码

PVOID FileToMem(IN PCHAR szFilePath, OUT LPDWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "rb");
	if (!pFile)
	{
		printf("FileToMem fopen Fail \r\n");
		return NULL;
	}
 
	//获取文件长度
	fseek(pFile, 0, SEEK_END);			//SEEK_END文件结尾
	DWORD Size = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);			//SEEK_SET文件开头
 
	//申请存储文件数据缓冲区
	PCHAR pFileBuffer = (PCHAR)malloc(Size);
	if (!pFileBuffer)
	{
		printf("FileToMem malloc Fail \r\n");
		fclose(pFile);
		return NULL;
	}
 
	//读取文件数据
	fread(pFileBuffer, Size, 1, pFile);
 
	//判断是否为可执行文件
	if (*(PSHORT)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("Error: MZ \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (*(PDWORD)(pFileBuffer + *(PDWORD)(pFileBuffer + 0x3C)) != IMAGE_NT_SIGNATURE)
	{
		printf("Error: PE \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (dwFileSize)
	{
		*dwFileSize = Size;
	}
 
	fclose(pFile);
 
	return pFileBuffer;
}

输出文件代码

VOID MemToFile(IN PCHAR szFilePath, IN PVOID pFileBuffer, IN DWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "wb");
	if (!pFile)
	{
		printf("MemToFile fopen Fail \r\n");
		return;
	}
 
	//输出文件
	fwrite(pFileBuffer, dwFileSize, 1, pFile);
 
	fclose(pFile);
}

扩大节代码

PVOID ExpandSection(PCHAR pBuffer, DWORD dwSectionSize, LPDWORD pNewFileSize)
{
	//定位结构
	PIMAGE_DOS_HEADER        pDos = (PIMAGE_DOS_HEADER)pBuffer;
	PIMAGE_NT_HEADERS        pNth = (PIMAGE_NT_HEADERS)(pBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER		 pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER   pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER    pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);

	//默认文件大小
	DWORD dwOldSize = pSec[pFil->NumberOfSections - 1].SizeOfRawData + pSec[pFil->NumberOfSections - 1].PointerToRawData;

	//修改最后一个节的属性
	pSec[pFil->NumberOfSections - 1].Misc.VirtualSize += dwSectionSize;//内存中对齐前的大小
	pSec[pFil->NumberOfSections - 1].SizeOfRawData += Align(pOpo->FileAlignment, dwSectionSize);//文件中对齐后的大小
	
	//修复内存镜像大小
	pOpo->SizeOfImage += Align(pOpo->SectionAlignment, dwSectionSize);

	//当前文件大小
	DWORD dwNewSize = pSec[pFil->NumberOfSections - 1].SizeOfRawData + pSec[pFil->NumberOfSections - 1].PointerToRawData;
	if (pNewFileSize)
	{
		*pNewFileSize = dwNewSize;
	}

	//重新分配缓冲区
	PUCHAR pTemp = (PUCHAR)malloc(dwNewSize);
	if (!pTemp)
	{
		printf("AddNewSection malloc Fail \r\n");
		free(pBuffer);
		return NULL;
	}
	memset(pTemp, 0, dwNewSize);
	memcpy(pTemp, pBuffer, dwOldSize);
	free(pBuffer);

	return pTemp;
}

测试代码

int main()
{
	//读取文件二进制数据
	DWORD dwFileSize = 0;
	PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);
	if (!pFileBuffer)
	{
		return;
	}

	//扩大节
	pFileBuffer = ExpandSection(pFileBuffer, 0x2222, &dwFileSize);

	//将二进制数据输出到文件
	MemToFile(FILE_PATH_OUT, pFileBuffer, dwFileSize);

	return
		;
}
「已注销」
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE扩大
m0_63206880的博客
03-29 534
注意:扩大最好在最后扩展 不然要修改好多东西 一:扩大 1、拉伸到内存 2、分配一块新的空间:SizeOfImage+Ex 3、将最后一个的SizeOfRawData 和 VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex 4、修改sizeofimage大小 Sizeofimage= sizeofimage+Ex 下面是实现代码: ...
PE文件资源查看.rar
04-05
PE文件资源查看.rar
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加新并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE文件区段.rar
04-06
PE文件区段.rar
PE文件格式全解读
凌阳的博客
06-08 4705
PE文件包括DOS部分、PE文件头和表和数据。从DOS头(DOS header)到区头(Sectionheader)是PE头部分,其下的区合称PE体。数据包括代码(.text)、数据(.data)、资源(.rsrc),分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE文件扩大的代码实现
qq_31125257的博客
12-11 731
一、扩大(一般只适合扩大最后一个) //1、拉伸到内存 //2、重新分配一块新的内存:SizeOfImage + Ex //3、将最后一个的SizeOfRawData和VirtualSize改成N, // N=SizeOfRawData=VirtualSize=(SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex //4、修改sizeofimage大小,sizeofimage = sizeofimage + Ex 二、代码实现 PVOID EnlargeLast
PE实战教程之扩大
weixin_43742894的博客
04-01 585
本篇文章复习扩大,顾名思义就是将表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大? 2.如何扩大PE实战教程之扩大为什么扩大如何扩大扩大哪一个扩大的步骤实战环: 为什么扩大 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大。 如何扩大? 我们先看表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
PE文件扩大
istream1的博客
12-04 433
PE文件扩大
PE知识复习之PE扩大
weixin_30619101的博客
10-01 255
              PE知识复习之PE扩大 一丶为什么扩大   上面我们讲了,空白区添加我们的代码.但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大.   扩大其实很简单.修改数据对齐后的大小即可. 并且在PE文件中添加0数据进行填充即可. 首先看一下我们的表 typedef struct _IMAGE_SECTION_HEADER { B...
PE_扩大
qq_42363151的博客
09-25 136
PE逆向
57.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)1
08-04
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
PE文件版本信息模块.rar
04-06
PE文件版本信息模块.rar
手工解析PE(扩大)
GNAIXGNAHZ的博客
06-16 129
手工解析PE(扩大)
PE结构学习(4)_的操作
xf555er的博客
08-07 1052
文件表进行扩大,为了方便操作,只需对最后一个进行扩大OK了此处演示扩大1000(16进制)个字的操作扩大扩出来的空白区还需要考虑的权限问题,若扩大出来的没有执行代码的权限,那么还要修改整个的权限属性,的权限属性由表结构体的最后一个成员Characteristics决定因为新增的可以自己设置权限,所以相比扩大而言还是方便挺多的新增有一个前提条件,最后一个后面至少要有40个字的空白区若前提条件不满足, 那只能合并,即将多个合并成一个,多余的空间就可以用于新增。...
PE扩大最后一个
hambaga的博客
05-13 330
增加 SizeOfImage, VirtualSize, SizeOfRawData, 注意文件对齐和内存对齐即可。 // 扩大最后一个 // 返回新文件的大小,失败返回0 DWORD ExpandLastSection(IN LPVOID pFileBuffer, OUT LPVOID *pNewFileBuffer, DWORD oldSize, DWORD expandSize) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS p
滴水逆向PE扩大最后一个
qq_45694932的博客
07-10 226
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<Windows.h> #include<malloc.h> char file_path[] = "C:\\CTF\\notepad.exe"; char save_path[] = "C:\\CTF\\extend_note.exe"; DWORD Fileread(char** Filebuffer) { FILE* fp = NULL; cha
PE新增|扩大|合并
个人笔记
05-21 514
PE操作新增实现步骤扩大实现步骤合并实现步骤 新增 PE结构使用: SizeOfImage NumberOfSections VirtualSize VirtualAddress SizeOfRawData PointerToRawData 实现步骤 -判读那是否有足够空间,可以添加一个表 SizeOfHeaders-(DOS+DOS STUB+NT头+已存在表) >=2个表大小 满足才可添加,否则提升PE头 -完善新增表内容 -在新添表后面填充一个(表)大小的00 -修改PE
PE结构-扩大区(附实例代码)
Alone的博客
10-24 391
1、拉伸到内存 2、分配一块新的空间:SizeOfImage + Ex 3、将最后一个的SizeOfRawData和VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex 4、修改SizeOfImage大小 SizeOfImage = SizeOfImage + Ex 5.添加表属性 ...
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
最新发布
NewsMash的博客
05-15 133
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
请利用WINDOWS API技术通过将PE文件的NTheader向下偏移,紧邻着表来完成.exe文件表免疫,给出相应C++代码
06-01
为了实现.exe文件表免疫,可以通过以下步骤: 1. 使用Windows API函数打开可执行文件,获取可执行文件文件头和表信息。 2. 计算新的NT头偏移量,将NT头偏移至表之后。 3. 将修改后的NT头信息写回可执行文件中。 以下是相应的C++代码实现: ```c++ #include <windows.h> #include <iostream> using namespace std; int main() { // 打开可执行文件 HANDLE hFile = CreateFileA("test.exe", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if(hFile == INVALID_HANDLE_VALUE) { cout << "Open file failed!" << endl; return 0; } // 获取可执行文件文件头 IMAGE_DOS_HEADER dosHeader; DWORD dwBytesRead = 0; ReadFile(hFile, &dosHeader, sizeof(dosHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(dosHeader)) { cout << "Read file header failed!" << endl; CloseHandle(hFile); return 0; } IMAGE_NT_HEADERS ntHeader; ReadFile(hFile, &ntHeader, sizeof(ntHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(ntHeader)) { cout << "Read file header failed!" << endl; CloseHandle(hFile); return 0; } // 获取表信息 DWORD dwSectionOffset = dosHeader.e_lfanew + sizeof(ntHeader.Signature) + sizeof(ntHeader.FileHeader) + ntHeader.FileHeader.SizeOfOptionalHeader; IMAGE_SECTION_HEADER sectionHeader; SetFilePointer(hFile, dwSectionOffset, NULL, FILE_BEGIN); for (int i = 0; i < ntHeader.FileHeader.NumberOfSections; i++) { ReadFile(hFile, &sectionHeader, sizeof(sectionHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(sectionHeader)) { cout << "Read section header failed!" << endl; CloseHandle(hFile); return 0; } } // 计算新的NT头偏移量 DWORD dwNewNtHeaderOffset = dwSectionOffset + ntHeader.FileHeader.NumberOfSections * sizeof(sectionHeader); // 将NT头偏移至表之后 SetFilePointer(hFile, dwNewNtHeaderOffset, NULL, FILE_BEGIN); WriteFile(hFile, &ntHeader, sizeof(ntHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(ntHeader)) { cout << "Write NT header failed!" << endl; CloseHandle(hFile); return 0; } // 关闭文件句柄 CloseHandle(hFile); cout << "File section table immune success!" << endl; return 0; } ``` 需要注意的是,此代码仅供学习和参考使用,具体实现可能需要根据实际情况进行调整和优化。同时,对于修改可执行文件的操作需谨慎,应在测试环境下进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值