PE中增加节,并插入自己代码

最新推荐文章于 2023-05-09 21:05:53 发布
最新推荐文章于 2023-05-09 21:05:53 发布
阅读量1.2k 收藏 9
点赞数 3
分类专栏: PE基础 文章标签: 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46308946/article/details/108023449
版权

PE文件的基础知识大家可以自行百度。

1、在PE中末尾添加一个节

在PE末尾中添加一个节,需要注意:
(1)RVA和FOA的转换
(2)需要修改SizeofImage的大小
(3)需要修改PE头中节的数量
(4)如果现有的节表后面添加的空间不足,可以移动NT头和节表
(5)新增加节表的属性根据自己的需要修改
(6)新增节的RVA 需要注意计算,需要计算上一个节RVA对齐后的尺寸
计算公式如下:

 //计算内存中对齐的大小
    DWORD VirtulaSize = NULL;
    if (section_header->SizeOfRawData < section_header->Misc.VirtualSize) {
        VirtulaSize = ((section_header->Misc.VirtualSize /0x1000)+1) * 0x1000;
    }
    else
    {
        VirtulaSize = (section_header->SizeOfRawData/0x1000+1)*0x1000;
    }
    pAddsection->VirtualAddress = section_header->VirtualAddress + VirtulaSize;

在这里插入图片描述

2、添加节区的代码如下

BOOL AddSection(char* FileBuffer, LPCSTR NewFileName) {
    PIMAGE_DOS_HEADER dos = NULL;
    PIMAGE_NT_HEADERS nt = NULL;
    PIMAGE_FILE_HEADER file_header = NULL;
    PIMAGE_SECTION_HEADER section_header = NULL;
    PIMAGE_OPTIONAL_HEADER option_header = NULL;
    dos = (PIMAGE_DOS_HEADER)FileBuffer;
    nt = (PIMAGE_NT_HEADERS)(FileBuffer + dos->e_lfanew);
    file_header = (PIMAGE_FILE_HEADER)(&(nt->FileHeader));
    option_header = (PIMAGE_OPTIONAL_HEADER)(&(nt->OptionalHeader));
    section_header = PIMAGE_SECTION_HEADER((char*)option_header + file_header->SizeOfOptionalHeader);
    //添加大小为0x1000的节
    option_header->SizeOfImage = option_header->SizeOfImage + 0x1000; 
    
    //1、计算后续空间能不能增加节表
    DWORD dwNumofSection = file_header->NumberOfSections;
    DWORD dwLfanew = dos->e_lfanew;
    DWORD dwSizeofHeader = option_header->SizeOfHeaders;
    printf("%d,%d,", sizeof(*nt), sizeof(*section_header));
    DWORD dwSizeNowHeader = dwLfanew + sizeof(*nt) + dwNumofSection * sizeof(*section_header);
    //1.1  后续空间无法添加节表,移动头部信息
    if (dwSizeofHeader - dwSizeNowHeader < 2 * sizeof(section_header)) {
        memcpy(FileBuffer + 0x40, FileBuffer + dos->e_lfanew, sizeof(*nt) + dwNumofSection * sizeof(*section_header));
       
        dos->e_lfanew = 0x40;
        nt = (PIMAGE_NT_HEADERS)(FileBuffer + dos->e_lfanew);
        file_header = (PIMAGE_FILE_HEADER)(&(nt->FileHeader));
        option_header = (PIMAGE_OPTIONAL_HEADER)(&(nt->OptionalHeader));
        section_header = PIMAGE_SECTION_HEADER((char*)option_header + file_header->SizeOfOptionalHeader);
        DWORD dwNumofSection = file_header->NumberOfSections;
        DWORD dwLfanew = dos->e_lfanew;
        DWORD dwSizeofHeader = option_header->SizeOfHeaders;
        printf("%d,%d,", sizeof(*nt), sizeof(*section_header));
        DWORD dwSizeNowHeader = dwLfanew + sizeof(*nt) + dwNumofSection * sizeof(*section_header);
       
    }
    //1.2添加两个节表
    //(1)移动到最后一个节表处
    for (int i = 0; i < dwNumofSection-1; i++) {
        section_header = section_header + 1;
    }
    //(2)添加节表
    DWORD dwAddSectionAddress = dwSizeNowHeader;
    PIMAGE_SECTION_HEADER pAddsection = (PIMAGE_SECTION_HEADER)malloc(sizeof(IMAGE_SECTION_HEADER));
    if (pAddsection == NULL) {
        return FALSE;
    }
    memset(pAddsection, 0, sizeof(*pAddsection));
    char newName[] = ".newSec";
    memcpy(pAddsection, newName, 8);

    //计算内存中对齐的大小
    DWORD VirtulaSize = NULL;
    if (section_header->SizeOfRawData < section_header->Misc.VirtualSize) {
        VirtulaSize = ((section_header->Misc.VirtualSize /0x1000)+1) * 0x1000;
    }
    else
    {
        VirtulaSize = (section_header->SizeOfRawData/0x1000+1)*0x1000;
    }
    //添加节表信息
    pAddsection->VirtualAddress = section_header->VirtualAddress + VirtulaSize;
    pAddsection->Misc.VirtualSize = 0x600;
    pAddsection->SizeOfRawData = 0x1000;
    pAddsection->PointerToRawData = section_header->PointerToRawData + section_header->SizeOfRawData;
    pAddsection->Characteristics = IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_EXECUTE | IMAGE_SCN_CNT_CODE;
    //写入到fileBuffer中
    memcpy(FileBuffer + dwAddSectionAddress, pAddsection, 40);
    char secode_section[40] = { 0 };
    memcpy(FileBuffer + dwAddSectionAddress + 40, secode_section, 40);
    // 将节的数量加1
    file_header->NumberOfSections = file_header->NumberOfSections + 1;

    //申请新的空间
    DWORD* AddSectionSpace = (DWORD*)malloc(_msize(FileBuffer) +0x1000);
    if (AddSectionSpace == NULL) {
        return FALSE;
    }
    memset(AddSectionSpace, 0, _msize(AddSectionSpace));
    memcpy(AddSectionSpace, FileBuffer, _msize(FileBuffer));
    AddCode((char*)AddSectionSpace, NewFileName, file_header->NumberOfSections);
    return TRUE;
}

3、修改入口点

在增加节之后,可以往增加的节中添加自己的代码,并将程序入口点修改到自己的代码处。其中需要注意点如下:
(1)需要关闭PE的地址随机化功能,可以通过修改OptionHeader头中的DllCharacteristics = 0x8100,来绕过地址随机化。
(2)计算E8和E9的时候,CALL 偏移:跳转地址 = 当前地址+5+x ->x = 跳转地址 -当前地址-5。求出x就是E8(CALL指令的硬编码)后的跳转偏移。
(3)需要进行RVA和FOA的转换,所有的地址都是加载到内存后的地址。
代码如下:其中AddNumSction是需要将代码插入到哪个节中

BOOL AddCode(char* FileBuffer, LPCSTR NewFileName,INT AddNumSction) {
    PIMAGE_DOS_HEADER dos = NULL;
    PIMAGE_NT_HEADERS nt = NULL;
    PIMAGE_FILE_HEADER file_header = NULL;
    PIMAGE_SECTION_HEADER section_header = NULL;
    PIMAGE_OPTIONAL_HEADER option_header = NULL;
    DWORD dwSizeofOptionHeader = NULL;
    DWORD dwVirtualAddress = NULL;
    DWORD dwPointerRawData = NULL;
    DWORD dwEntryCode = NULL;
    DWORD dwImageBase = NULL;
    DWORD dwUnInitDataSize = NULL;
    DWORD dwNumofSection = NULL;
    DWORD dwCodeWirteAddress = NULL;
    dos = (PIMAGE_DOS_HEADER)FileBuffer;
    nt = (PIMAGE_NT_HEADERS)(FileBuffer + dos->e_lfanew);
    file_header = (PIMAGE_FILE_HEADER)(&(nt->FileHeader));
    option_header = (PIMAGE_OPTIONAL_HEADER)(&(nt->OptionalHeader));
    dwSizeofOptionHeader = file_header->SizeOfOptionalHeader;
    section_header = (PIMAGE_SECTION_HEADER)((char*)option_header + dwSizeofOptionHeader);
    
    dwNumofSection = file_header->NumberOfSections;
    
    dwImageBase = option_header->ImageBase;
    dwEntryCode = option_header->AddressOfEntryPoint + dwImageBase;
    DWORD Charac = IMAGE_SCN_CNT_CODE | IMAGE_SCN_MEM_EXECUTE | IMAGE_SCN_MEM_READ;
  /*  for (int i = 0; i < dwNumofSection; i++) {
        if (section_header->SizeOfRawData > 0 && (section_header->Characteristics & Charac)) {
            break;
        
        }
        section_header = (PIMAGE_SECTION_HEADER)((char*)section_header + 40);
    }*/
    for (int i = 0; i < AddNumSction-1; i++) {
        section_header = (PIMAGE_SECTION_HEADER)((char*)section_header + 40);
    }
    dwUnInitDataSize = section_header->Misc.VirtualSize;
    dwPointerRawData = section_header->PointerToRawData;
    dwVirtualAddress = section_header->VirtualAddress;
    dwCodeWirteAddress = dwUnInitDataSize + dwPointerRawData;
    HMODULE user32 = LoadLibraryA("user32.dll");
    if (user32 == NULL) {
        return FALSE;
    }
    DWORD MessageboxAAddress = (DWORD)GetProcAddress(user32, "MessageBoxA");
    //printf("%llx ", MessageboxAAddress);
  
    char message[] = "你是一个傻逼";
    //MessageBoxA(0, message, 0, 0);
    //MessageBoxA(0, message, 0, 0);
    char buffer[22] = {0x6A,0x00,     //push 0 
                       0x6A,0x00,     //push 0 
                       0xB8,0x00,0x00,0x00,0x00,  //mov eax,[message]
                       0x50,                      //push eax
                       0x6A,0x00,                 //push 0
                       0xE8,0x00,0x00,0x00,0x00,
                       0xE9,0x00,0x00,0x00,0x00};
    //printf("%d",sizeof(message));
    //去掉地址随机化
    option_header->DllCharacteristics = 0x8100;
    
    //将代码写入到FileBuffer中
    memcpy(FileBuffer + dwCodeWirteAddress, buffer, sizeof(buffer));
    //将要写入的输出字符写到fileBuffer中
    memcpy(FileBuffer + dwCodeWirteAddress + sizeof(buffer), message, sizeof(message));
    //计算CALL 偏移:跳转地址 = 当前地址+5+x   ->x = 跳转地址 -当前地址-5
    DWORD ChangeCodeAddress = dwCodeWirteAddress + 13;
    DWORD dwCallShift = MessageboxAAddress - (dwImageBase + dwVirtualAddress + dwUnInitDataSize +12+5);
    //改变E8后面的跳转偏移
    *(DWORD*)((char*)FileBuffer + ChangeCodeAddress) = dwCallShift;
   
    //改变第三个参数
    DWORD dwTextAddress = dwUnInitDataSize + sizeof(buffer) + dwImageBase + dwVirtualAddress;
    /*DWORD TextShift = (dwImageBase + dwVirtualAddress + dwCodeWirteAddress + sizeof(buffer) - (dwImageBase +dwVirtualAddress+dwCodeWirteAddress+13));*/
    *(DWORD*)((char*)FileBuffer + dwCodeWirteAddress + 5) = dwTextAddress;
    
    //Jmp到原入口地址
    DWORD EntryCodeShift = dwEntryCode - (dwImageBase + dwVirtualAddress + dwUnInitDataSize + sizeof(buffer));
    *(DWORD*)((char*)FileBuffer + dwCodeWirteAddress + 18) = EntryCodeShift;
    //修改入口地址
    
    *(&(option_header->AddressOfEntryPoint)) = dwVirtualAddress+ dwUnInitDataSize;
    FILE* fpp = NULL;
    fopen_s(&fpp,NewFileName,"wb+");
    //printf("%x",_msize(FileBuffer));
    if (fpp == NULL) {
        return FALSE;
    }
    fwrite(FileBuffer, sizeof(char), _msize(FileBuffer)/sizeof(char), fpp);
    fflush(fpp);
    fclose(fpp);
    return TRUE;
}

4、结果

修改前:只有9个段,并且EP为112C1
在这里插入图片描述
修改后:增加了一个区段,并且入口地址修改成了自己的地址
在这里插入图片描述

并且增加了可读可执行的属性
在这里插入图片描述

寒江独钓(MCC)
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE代码注入
windows小菜鸡的博客
08-15 1383
PE文件入口地址EntryPoint指向了PE文件开始执行的位置,关于PE文件的具体格式,大家可以自行百度。 本代码主要实现了在32位可执行程序注入了一个弹窗 。其主要原理是修改EntryPoint地址处的内容,指向自己代码的地方,然后执行完毕后,再跳转到原入口的地址。 其值得注意的几点: (1)需要关闭PE的地址随机化功能,可以通过修改OptionHeader头的DllCharacteristics = 0x8100,来绕过地址随机化。 (2)计算E8和E9的时候,CALL 偏移:跳转地址 = 当前
PE文件区添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
利用Shellcode注入PE文件加载计算器
威化饼的一隅
04-16 2861
文章目录简介C语言版shellcode汇编版shellcodeshellcode跳转到原入口地址代码编写思路源代码 简介 采用C语言查看和修改一些PE文件的关键结构,结合shellcode,完成功能: 先用C语言编写通过LoadLibrary()和GetProcAddress()调用msvcrt.dll的system()函数来弹出计算器的代码。在OllyDbg打开该程序,查看对应的汇编代码和...
PE格式文件代码注入
谢启东的专栏
05-05 7979
 PE格式文件代码注入   本文演示了在不需要重新编译源代码的情况下,怎样向Windows PE(Portable Executable)格式的文件(包括EXE、DLL、OCX)注入自己的代码。 程序如图:         前言       或许,你想了解一个病毒程序是怎样把自身注入到一个正常的PE文件的,又或者是,你为了保护某种数据而加密自己的P
【翻译】“PE文件格式”1.9版 完整译文(附注释)
10-30 1136
标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释)作 者: ah007时 间: 2006-02-28,13:32链 接: http://bbs.pediy.com/showthread.php?threadid=21932$Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $PE文件格式系列译文之一----          【
WIN32汇编语言程序设计——在PE文件上添加执行代码
evagenius的博客
05-09 227
这里的技术目标是这样的,我们打算使用JMP指令的一种用法:转移地址在内存的JMP指令。比如,在PE文件,一个典型的对齐值是200h ,这样,每个区块都将从200h 的倍数的文件偏移位置开始,假设第一个区块在400h 处,长度为90h,那么从文件400h 到490h 为这一区块的内容,而由于文件的对齐值是200h,所以为了使这一区块的长度为FileAlignment 的整数倍,490h 到 600h 这一个区间都会被00h 填充,这段空间称为区块间隙,下一个区块的开始地址为600h。
滴水三期:day33.1-新增、扩大-添加代码
Edimade的博客
05-02 1023
一、新增思路>二、手动新增添加代码>三、代码实现(1.编程实现:新增一个,并添加代码>2.编程实现:扩大最后一个,并添加代码
新增-添加代码
qq_51600802的博客
10-27 427
8.修改在文件对齐的大小SizeOfRawData,这个值和内存对齐前的一样 9.修改在文件的偏移PointerToRawData,实际就是上一个的在文件的偏移PointerToRawData+在文件对齐后的尺寸SizeOfRawData 10.修改最后一个 Characteristics ,的属性,60000020 表示代码属性。2、如果第一条的空间也不足, 就扩大最后一个的尺寸,扩大最后一个不影响其它。扩大的步骤: (Ex 新增的大小)添加并实现插入shellcode。
PE格式: 新建插入代码
CSDN
07-26 5283
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 经过了前一章的学习相信你已经能够独立完成FOA与VA之间的互转了,接下来我们将实现在程序插入新节区,并向新节区内插入一段能够反向连接的ShellCode代...
WindowsPE(二)空白区添加代码&新增,扩大,合并
sky123博客
11-20 875
PE 插入一段调用 MessageBox 的代码。利 OD 定位出 MessageBoxA 函数的地址为 0x77D507EA 。 构造 shellcode : 其 shellcode 的地址需要根据 shellcode 在 PE 插入的位置来确定。的 SizeOfRawData 为 该PE 文件关于文件对齐后的大小,Misc.VirtualSize 为该加载到内存后的真实大小。因此可以添加内容的空白区域大小为 SizeOfRawData - Misc.VirtualSize
手动增加pe并修改oep
wangbabadan的专栏
03-26 894
一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加和修改oep,写出来供和我一样菜的一起进步。 一、       增加pe需要的操作 1.    确定内存的对齐粒度和文件的对齐粒度,分别是pe+0038h 和3ch   也就是说 内存和文件的对齐粒度都是1000h. 2.    在文件末尾增加数据。 因为文件对齐的粒度是1000
文件增加汇编),插入自己的代码
05-19
文件增加汇编文件增加汇编文件增加汇编文件增加汇编文件增加汇编文件增加汇编
PE文件添加.zip
08-19
使用C语言PE文件末尾添加新节并改变PE文件OEP,使得在程序执行前插入一段shellcode
pe插入可执行代码的研究
05-17
详细描述了,在pe怎么插入可执行的代码,如何进行操作等等。。。
VC++ 改写PE文件插入特定代码
12-30
VC++ 改写PE文件插入特定代码,代码详细
一个PE注入,加壳的小工具
windows小菜鸡的博客
09-08 1094
本人最近无聊,写了一个入门级的PE的小工具,包括PE解析,最简单的软件加壳功能,代码注入等功能。供学习交流 1、加壳功能 2、代码注入 PE查看 源码自取哦:链接:https://pan.baidu.com/s/1XSE1qQ6jKw9BRwJCOP_Sbg 提取码:9niy ...
pe4302程控衰减器代码
最新发布
12-18
pe4302是一款高精度程控衰减器,通过控制代码来实现衰减和增益的功能。PE4302有8位并行接口,通过编程来实现对衰减器的控制。PE4302的控制代码是由三部分组成的,分别是寄存器选择码、数据输入码和使能码。寄存器选择码用于选择需要设置的寄存器,数据输入码用于输入需要设置的值,使能码用于使能当前的设置。在使用PE4302时,首先需要选择需要设置的寄存器,然后输入需要设置的值,最后使能当前的设置。PE4302的控制代码具有很高的灵活性和精确度,可以满足各种应用场景的需求。通过编程控制PE4302,可以实现对信号的精确调,从而满足不同应用场景对信号功率的要求。同时,PE4302还具有较高的工作频率范围和低插入损耗,能够在高频率下实现稳定可靠的信号衰减和增益控制。总的来说,PE4302的程控衰减器代码可以通过编程实现对信号的精确控制,具有灵活性和精确度高的特点,是一款性能优异的程控衰减器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值