pe文件节区的删除和增加

已于 2022-04-15 00:30:48 修改
阅读量1.4k 收藏 12
点赞数 1
分类专栏: 日常 PE文件结构 文章标签: 安全 学习
于 2022-04-10 12:21:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62690279/article/details/124074691
版权

pe文件节区的删除和增加

节区(.reloc)的删除(按照《逆核》书中的步骤来进行)

整个过程需要四个步骤:
1.删除节区头
2.删除节区
3.修改节区数(number of section)
4.修改映像大小(size of image)

删除节区头

在这里插入图片描述
在hxd中找到rva从270到297区域,用0填充
在这里插入图片描述

删除节区内容

在这里插入图片描述
在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容
在这里插入图片描述

修改节区数量

找到文件头中的 number of section
在这里插入图片描述
同样在hxd中修改其值为4
在这里插入图片描述

修改映像大小

因为该文件的section alignment 大小是1000(他指定了节区在内存中的最小单位),而.reloc 节区的大小是E40,所以就要自动补齐为最小单位1000,所以删除该节区就要把image减去1000
在这里插入图片描述
将减去的结果在hxd中修改
在这里插入图片描述

修改成功

试一下reloc.exe是否能正常运行

增加节区

现在来增加一个名字为new的节区

步骤

1.增加节区头
2.修改节区数量
3.修改image大小
4.增加节区内容
5.修改新增节区的属性(VirtualSize,VirtualAddress,SizeOfRawData,PointerToRawData)

一,增加节区头

在这里插入图片描述
hxd中找到之前节区头最后的位置,判断是否有足够空间(看characteristics的第一个数据:40)存放一个节区头
在这里插入图片描述
然后填充节区头内容
在这里插入图片描述

二,修改节区头数

与删除节区操作一样,将5改为6

三,修改image大小

与之前相同,image大小增加1000 = 12000
在这里插入图片描述

四,增加节区内容

在原有的最后一个节区的末尾,增加一个节区的随机内容
在这里插入图片描述

五,修改新节区属性大小

现在需要将此时此刻修改一部分的文件保存,再载入peview查看
在这里插入图片描述
此时.new节区的属性还没有确定

修改VirtualSize

修改为1000
在这里插入图片描述

修改RVA

这里要按照上一个节区的大小来修改(注意对齐)
在这里插入图片描述
上一个节区的VirtualSize是E40,对齐后是1000,所以新节区的RVA就是10000+1000=11000,修改它
在这里插入图片描述

修改SizeOfRawData
这个大小取决于我们增加的节区内容大小(1000)
在这里插入图片描述
修改pointer to raw data
在这里插入图片描述
修改的依据是上面两个值相加=D000
在这里插入图片描述

修改成功

重新载入peview查看
在这里插入图片描述

Zsc_02
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PE文件扩大节
istream1的博客
12-04 480
PE文件扩大节
PE文件添加节.zip
08-19
使用C语言在PE文件末尾添加新节并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE文件实战教程之手动实现新增节
weixin_43742894的博客
04-01 1411
前面我们说过在空白节添加代码,想要更多空间的话,可以扩大节,但是在最后一个节进行扩大的话,还需要修改原来节的属性,比较麻烦,所以不如直接新增一个节! 并且我们通过手动新增节,可以直观地看到非常多的细节,帮助我们理解原理! 手动实现新增节什么是新增一个节?了解一下节表新增节表的步骤1.判断是否有足够的空间增加一个新节.2.节表新增一个成员,在原最后一个成员后面添加3.修改节的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个节的数据(内存对齐的整数倍)6 修正新增节表的属性节.Virt.
pe文件 常见的节名及作用
syflyhua的专栏
06-26 1624
节名 作用 . b s s 未经初始化的数据 . C RT C运行期只读数据 . d a t a 已经初始化的数据 . d e b u g 调试信息 . d i d a t a 延迟输入文件名表 . e d a t a 输出文件名表 . i d a t a 输入文件名表 . r d a t a 运行期
PE文件~节表
2514804004的博客
04-11 592
节表结构体代码成员分析 结构体代码 _IMAGE_SECTION_HEADER #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5330
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
4. **调整节区**:根据需求,可以增加删除或合并节区,以改变程序的内存布局,可能会影响到代码的定位和执行。 5. **注入代码**:通过在PE文件中插入新的代码或修改现有代码,可以实现功能增强、病毒注入或其他...
PE文件捆绑工程源码下载
12-16
1. **分析PE文件结构**:首先,需要理解PE文件的结构,包括节表(Section Table)和节(Section)。每个节代表了文件内存映射的一部分,可以包含代码、数据或其他资源。 2. **寻找插入位置**:找到一个合适的节,...
CFF.zipPE文件修改器
11-28
PE文件由几个主要部分组成,包括DOS头、PE头(NT头)、节表、节区以及数据目录。每个部分都有其特定的功能和信息: 1. **DOS头**:PE文件的最开始部分,包含一个简化的MS-DOS程序,使得在不支持PE格式的系统上也能...
Windows环境PE文件分析器.doc
07-07
1. 文件读取模块:用于读取PE文件的二进制数据,解析文件头和节表,以便获取文件的基本结构信息。 2. 内容显示模块:展示PE文件的详细信息,如版本信息、导入导出函数、资源列表等,为用户提供直观的界面。 3. 修改...
VC++修改PE文件
10-28
2. **调整节区大小**:根据程序需求,可能需要增加或减少某个节区的大小。 3. **添加/删除资源**:比如添加图标、字符串资源或修改现有资源。 4. **修改节基址**:有时为了优化内存布局,可能会调整节的虚拟地址。 5...
PE文件(三)节表
最新发布
2301_78838647的博客
04-26 920
Name数组的长度最大为8字节,如果定义节的名称为.text,由于.text对应的ASCII码分别为0x2E, 0x74, 0x65, 0x78,0x74,所以Name数组中的数据为2E 74 65 78 74 00 00 00,一共8字节。所有的节表一起记录了该.exe文件中所有的节的信息,每一个节都有对应的节表来存储信息,所有的节对应的节表组合在一起就构成了PE文件的节表结构。内存中的地址:节表在4GB内存中的地址要加上imagebase的值,才是节表真正在内存中的起始地址。
Windows PE文件各个节(Section)分析
weixin_38164023的博客
06-10 2022
PE(Portable Executable),即可移植的执行体。所有Windows下可执行文件,均使用PE文件结构。 PE文件通常包括以下节(Section) .textbss/BSS BSS段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文Block Started by Symbol的简称。BSS段属于静态内存分配。 .text/CODE 代码段(text segment)通常是指用来存放程序执行代码的一块内存区域。这部分区域的大小在程序运行前就.
PE文件的修改---减少节区
weixin_51738129的博客
02-03 348
打开标准头,找到size of image地址为000000D0,大小为00008000,减去映像大小最小单位00000000。删除节区头(用0填充),用PEview打开文件Tut.ReverseMe1,找到节区reloc地址范围:0218到0240。,找到这个节的起始位置,section.reloc起始位置是00003600,之后全部删除。保存为Tut.ReverseMe3.exe。,5个节修改位4个节。
学习PE写的一个添加节区的工具
zhangmiaoping23的专栏
08-02 2084
前段时间学习PE写了一个添加节区的小工具,拿计算器测试了一下,可以添加90多个节区. 先介绍一下手动添加节区的方法 方法一:(适用于最后一个节区头部与第一个节区数据之间有0x28字节的空间) 代码: 1.添加节区数据(文件对齐值) 2.修改节数量 3.添加IMAGE_SECTION_HEADER 4.修改SizeOfImage 方法二:重新编辑PE头(适用于最后一个节区头部
PE文件结构详解 --(完整版)
热门推荐
freeking101的博客
11-02 3万+
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/details/78859214 PE...
TLS回调函数(二)手工去除TLS
Hotspurs的博客
10-21 1090
我们知道TLS常用于反调试中 TLS的简单介绍:https://blog.csdn.net/Hotspurs/article/details/90298636 手工去除TLS要使用的工具:IDA,Winhex,PEview.exe 我在一个程序的代码中添加了两端TLS回调函数,用来进行反调试。 extern "C" NTSTATUS NTAPI NtQueryInformationPro...
PE中添加,删除SECTION
push0714的专栏
12-14 861
PE中添加,删除SECTION这两天空闲,自己写了个添加,删除SECTION的程序,发现里面的技巧很多,需要注意的地方也很多,现把心得写上,希望能给正在学习PE文件的朋友提供方便。关于PE的格式,PE的基本知识,请参看其他相关文章。添加SECTION添加SECTION的前提是在最后一个SECTION与第一个区块之间有足够的空间)添加
从可执行文件手动删除.reloc
极深研几
12-07 1522
1.整理reloc节区头 2.删除.reloc节区
深入解析PE文件格式
这些源码示例展示了如何访问和解析PE文件的各种组件,如文件头、节区头、数据目录等。 文件头(Header)是PE文件的起始部分,包含了关于文件类型、目标处理器架构、文件大小等基本信息。数据目录(Data Directories...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zsc_02

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值