10.PE文件之合并节

已于 2023-10-08 20:34:01 修改
阅读量3.7k 收藏 5
点赞数
分类专栏: Pe文件解析 文章标签: PE文件 安全 安全漏洞 C语言 C++
于 2021-10-29 20:10:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/121041511
版权

目录

合并节对PE文件中哪些值会有影响?

合并节步骤:

手动合并节

代码合并节

合并节与新增节扩大节有一点区别.合并节如果文件与内存对齐不同需拉伸到内存后进行合并节.

合并节对PE文件中哪些值会有影响?

  • IMAGE_FILE_HEADER→NumberOfSections(当前PE文件节的数量,如果更改需要修正此值).
  • 第一个节得包含其余所有节的属性.
  • 修正第一个节内存中的大小以及文件中的大小.
  • 如果文件对齐与内存对齐相等则不需要拉伸即可完成.如果文件对齐与内存对齐不相同必须拉伸到ImageBuffer来处理否则合并节后程序无法运行.

合并节步骤:

  • 修改第一个节的内存大小以及文件大小,公式如下:
  • MAX = 最后一个节内存中的大小 > 最后一个节文件中的大小 ? 最后一个节内存中的大小 : 最后一个节文件中的大小.
  • DWORD dwMax = pSec[pFil->NumberOfSections - 1].Misc.VirtualSize > pSec[pFil->NumberOfSections - 1].SizeOfRawData ? pSec[pFil->NumberOfSections - 1].Misc.VirtualSize : pSec[pFil->NumberOfSections - 1].SizeOfRawData;
  • 第一个节内存中的大小 = 文件中的大小 = 最后一个节内存中的起始位置 + MAX - SizeOfHeader(内存对齐后的大小).
  • pSec->Misc.VirtualSize = pSec->SizeOfRawData = pSec[pFil->NumberOfSections - 1].VirtualAddress + dwMax - Align(pOpo->SectionAlignment, pOpo->SizeOfHeaders);
  • 修正第一个节的属性.
  • 修改IMAGE_FILE_HEADER→NumberOfSections为1.
  • 抹除其余节数据

手动合并节

通过WinHex工具查看PE文件默认属性

测试文件内存与文件对齐一致(1000h)

1).修改第一个节的内存大小以及文件大小

MAX = 最后一个节内存中的大小 > 最后一个节文件中的大小 ? 最后一个节内存中的大小 : 最后一个节文件中的大小 = 0x8000

第一个节内存中的大小 = 文件中的大小 = 最后一个节内存中的起始位置 + MAX - SizeOfHeader(内存对齐后的大小) = 0x2b000 + 0x8000 - 0x1000 = 0x32000

2).修正第一个节的属性

IMAGE_SECTION_HEADER[0] -> Characteristics = 0x60000020

IMAGE_SECTION_HEADER[1] -> Characteristics = 0x40000040

IMAGE_SECTION_HEADER[2] -> Characteristics = 0xC0000040

IMAGE_SECTION_HEADER[3] -> Characteristics = 0x40000040

所有属性进行OR(或运算)得出结果 = 0xE0000060

3.修改IMAGE_FILE_HEADER→NumberOfSections为1

4.抹除其余节数据

存为文件,通过PE工具查看其数据

程序是否可以正常运行就知道合并节成功与否.

代码合并节

读取文件代码

PVOID FileToMem(IN PCHAR szFilePath, OUT LPDWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "rb");
	if (!pFile)
	{
		printf("FileToMem fopen Fail \r\n");
		return NULL;
	}
 
	//获取文件长度
	fseek(pFile, 0, SEEK_END);			//SEEK_END文件结尾
	DWORD Size = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);			//SEEK_SET文件开头
 
	//申请存储文件数据缓冲区
	PCHAR pFileBuffer = (PCHAR)malloc(Size);
	if (!pFileBuffer)
	{
		printf("FileToMem malloc Fail \r\n");
		fclose(pFile);
		return NULL;
	}
 
	//读取文件数据
	fread(pFileBuffer, Size, 1, pFile);
 
	//判断是否为可执行文件
	if (*(PSHORT)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("Error: MZ \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (*(PDWORD)(pFileBuffer + *(PDWORD)(pFileBuffer + 0x3C)) != IMAGE_NT_SIGNATURE)
	{
		printf("Error: PE \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (dwFileSize)
	{
		*dwFileSize = Size;
	}
 
	fclose(pFile);
 
	return pFileBuffer;
}

输出文件代码

VOID MemToFile(IN PCHAR szFilePath, IN PVOID pFileBuffer, IN DWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "wb");
	if (!pFile)
	{
		printf("MemToFile fopen Fail \r\n");
		return;
	}
 
	//输出文件
	fwrite(pFileBuffer, dwFileSize, 1, pFile);
 
	fclose(pFile);
}

FileBuffer -> ImageBuffer

VOID FileBufferToImageBuffer(IN PVOID pFileBuffer, OUT PVOID* pImageBuffer)
{
	//定位PE结构
	PIMAGE_DOS_HEADER			pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS			pNth = (PIMAGE_NT_HEADERS)((PUCHAR)pFileBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER			pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER		pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER		pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);
 
	//通过IMAGE_OPTIONAL_HEADER.SizeOfOptionalHeader确定分配内存缓存大小
	DWORD dwImageSize = pOpo->SizeOfImage;
	PUCHAR pTemp = (PUCHAR)malloc(dwImageSize);
	if (!pTemp)
	{
		printf("FileBufferToImageBuffer malloc Fail \r\n");
		*pImageBuffer = NULL;
		return ;
	}
	memset(pTemp, 0, dwImageSize);
	
	//拷贝头+节表数据
	memcpy(pTemp, pFileBuffer, pOpo->SizeOfHeaders);
 
	//拷贝节区数据
	for (size_t i = 0; i < pFil->NumberOfSections; i++)
	{
		memcpy(
			pTemp + pSec[i].VirtualAddress,					//内存镜像基址 + 内存节区偏移
			(PUCHAR)pFileBuffer + pSec[i].PointerToRawData,	//文件镜像基址 + 文件节区偏移
			pSec[i].SizeOfRawData						//拷贝大小
		);
 
	}
 
	*pImageBuffer = pTemp;
}

ImageBuffer -> FileBuffer

DWORD ImageBufferToFileBuffer(IN PVOID pImageBuffer, OUT PVOID* pFileBuffer)
{
	//定位PE结构
	PIMAGE_DOS_HEADER			pDos = (PIMAGE_DOS_HEADER)pImageBuffer;
	PIMAGE_NT_HEADERS			pNth = (PIMAGE_NT_HEADERS)((PUCHAR)pImageBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER			pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER		pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER		pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);
 
	//遍历获取内存镜像对应文件镜像大小
	DWORD dwFileSize = pOpo->SizeOfHeaders;
	for (size_t i = 0; i < pFil->NumberOfSections; i++)
	{
		dwFileSize += pSec[i].SizeOfRawData;
	}
	//也可通过最后一个节区的文件偏移+文件大小获取
 
	//分配文件缓存
	PUCHAR pTemp = (PUCHAR)malloc(dwFileSize);
	if (!pTemp)
	{
		printf("ImageBufferToFileBuffer malloc Fail \r\n");
		*pFileBuffer = NULL;
		return NULL;
	}
	memset(pTemp, 0, dwFileSize);
 
	//拷贝头+节表数据
	memcpy(pTemp, pImageBuffer, pOpo->SizeOfHeaders);
 
	//拷贝节区数据
	for (size_t i = 0; i < pFil->NumberOfSections; i++)
	{
		memcpy(
			pTemp + pSec[i].PointerToRawData,					//文件镜像基址 + 文件节区偏移
			(PUCHAR)pImageBuffer + pSec[i].VirtualAddress,		//内存镜像基址 + 内存节区偏移
			pSec[i].SizeOfRawData							//拷贝大小
		);
 
	}
 
	*pFileBuffer = pTemp;
 
	return dwFileSize;	
}

合并节代码

PVOID MergeSection2(PCHAR pBuffer, LPDWORD pNewFileSize)
{
	//定位结构
	PIMAGE_DOS_HEADER        pDos = (PIMAGE_DOS_HEADER)pBuffer;
	PIMAGE_NT_HEADERS        pNth = (PIMAGE_NT_HEADERS)(pBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER		 pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER   pOpo = (PIMAGE_OPTIONAL_HEADER)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER    pSec = (PIMAGE_SECTION_HEADER)((PUCHAR)pOpo + pFil->SizeOfOptionalHeader);


	//修改最后一个节的属性
	DWORD dwMax = pSec[pFil->NumberOfSections - 1].Misc.VirtualSize > pSec[pFil->NumberOfSections - 1].SizeOfRawData ? pSec[pFil->NumberOfSections - 1].Misc.VirtualSize : pSec[pFil->NumberOfSections - 1].SizeOfRawData;

	pSec->Misc.VirtualSize = pSec->SizeOfRawData = pSec[pFil->NumberOfSections - 1].VirtualAddress + dwMax - Align(pOpo->SectionAlignment, pOpo->SizeOfHeaders);

	for (size_t i = 1; i < pFil->NumberOfSections; i++)
	{
		pSec->Characteristics |= pSec[i].Characteristics;
	}

	//抹除其他节表数据
	memset(pSec + 1, 0, IMAGE_SIZEOF_SECTION_HEADER * (pFil->NumberOfSections - 1));

	//修正NumberOfSections
	pFil->NumberOfSections = 1;

	return NULL;
}

测试代码

int main()
{
	//读取文件二进制数据
	DWORD dwFileSize = 0;
	PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);

	PCHAR pImageBuffer = NULL;
	FileBufferToImageBuffer(pFileBuffer, &pImageBuffer);

	MergeSection2(pImageBuffer, 0);

	PUCHAR pNewBuffer = NULL;
	dwFileSize = ImageBufferToFileBuffer(pImageBuffer, &pNewBuffer);

	MemToFile(FILE_PATH_OUT, pNewBuffer, dwFileSize);

	return 0;
}

「已注销」
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向——PE合并
sunr.
04-10 896
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
滴水逆向三期实践7:合并
Rivival_S 的博客
09-29 631
会不会有极端情况,DOS stub的空间也不足,NT头和表不能抬升,表和第一之间也没有空隙插入新,这种情况如何加入自己的代码呢? 就需要到合并,将全部的(一般文件都有两个以上的合并成一个,那就可以有空隙增加自己的表了。这里不搞那么复杂了,只做合并,将全部合并成一个后文件仍然可用即可。 合并: 1、拉伸到内存 (这里是真的拉伸到一块内存空间) 2、将第一个的内存大小、文件大小改成一样 VirtualSize =...
PE_合并
qq_42363151的博客
09-25 277
PE
滴水PE作业合并
最新发布
qq_52442096的博客
01-31 128
滴水PE作业合并
PE结构学习(4)_的操作
xf555er的博客
08-07 1113
文件表进行扩大,为了方便操作,只需对最后一个进行扩大OK了此处演示扩大1000(16进制)个字的操作扩大扩出来的空白区还需要考虑的权限问题,若扩大出来的没有执行代码的权限,那么还要修改整个的权限属性,的权限属性由表结构体的最后一个成员Characteristics决定因为新增的可以自己设置权限,所以相比扩大而言还是方便挺多的新增有一个前提条件,最后一个后面至少要有40个字的空白区若前提条件不满足, 那只能合并,即将多个合并成一个,多余的空间就可以用于新增。...
扩大-合并
qq_51600802的博客
10-19 177
注意:扩大最好在最后扩展 不然要修改好多东西一:扩大1、拉伸到内存2、分配一块新的空间:SizeOfImage+Ex3、将最后一个的SizeOfRawData 和 VirtualSize改成NN = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex4、修改sizeofimage大小。
exe文件合并器.rar
04-04
"exe文件合并器"是一种工具,主要用于将多个.exe可执行文件合并成一个单一的可执行文件。这种工具在软件开发、部署或者系统维护中可能会派上用场,因为它可以简化程序的分发和管理,尤其是在需要运行多个相互依赖的....
关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
4. **调整区**:根据需求,可以增加、删除或合并区,以改变程序的内存布局,可能会影响到代码的定位和执行。 5. **注入代码**:通过在PE文件中插入新的代码或修改现有代码,可以实现功能增强、病毒注入或其他...
Bind2File.rar_pe 捆绑_捆绑_文件捆绑器
09-23
而"文件捆绑器"则是一种工具,它允许我们将多个PE文件合并成一个单一的可执行文件,这种技术通常被称为"PE捆绑"。本文将详细探讨PE文件捆绑的概念、原理以及Bind2File源码的实现细。 首先,PE捆绑的核心思想是将...
添加,插入PE文件
10-31
通过添加新的区,可以将外部二进制数据合并到现有的PE文件中,实现对原始程序的扩展或注入。 在“插入PE”这个操作中,通常会涉及到以下步骤: 1. **读取源PE文件**:首先,我们需要读取目标PE文件,解析其头部...
pecoff_v93.docx
05-03
COFF文件格式则主要用于未链接的对象文件,这些文件在链接过程中会被合并PE文件中。 本规范的9.3版覆盖了以下主要内容: 1. **文件结构**:PE文件的结构由多个区(sections)组成,每个区包含了特定的数据,...
PE文件实战之手动合并
weixin_43742894的博客
04-01 402
一丶简介 根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解. 以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤: 1.修改文件表个数 2.修改表中的属性 .sIzeofRawData 数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并以0填充. 二丶实战合并一个 1.修改文件头中
滴水三期:day29.1-
Edimade的博客
05-02 1018
一、表(1.表引入>2.定位表位置与计算个数>3.表结构)>二、表每个字段的含义>三、作业(1.手动解析表>2.编写程序打印表中的信息)
word文档中如何合并_如何在Word中选择整个
culunxun2863的博客
09-12 2665
word文档中如何合并You can use section breaks in Word to apply different layout or formatting for part of your document, page numbers or page number style, headers or footers, etc. If you need to select all ...
PE知识复习之PE合并
weixin_30794851的博客
10-02 375
                      PE知识复习之PE合并 一丶简介    根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解.   以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤.   1.修改文...
合并
qq_41490873的博客
12-26 342
在这里插入代码片 ```BOOL MergeSection(char*lpszFileName) { //读取文件到内存 //拉伸为运行状态 //修改表信息 //修改numberofsection为1 //restore为文件状态 //保存文件 LPVOID pImage=NULL; DWORD dwFileSize= ReadFileToImage(lpszFileName,&...
PE结构里面新增、扩大合并
lygl35的博客
02-25 296
【2021.01.14】合并
oalken的博客
01-14 110
#define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; .
PE文件详解(二)--表和
lj94093的专栏
01-12 4107
PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值