PE添加节_最后节表后无空白字节

最新推荐文章于 2023-05-28 16:26:40 发布
最新推荐文章于 2023-05-28 16:26:40 发布
阅读量492 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mihacker_/article/details/72262224
版权


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  昨天在对PE文件进行了节的添加,并且程序可以正常运行。


  今天记录另一种情况,就是当最后一个节表后无80个空白字节时,节表该添加到哪?

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


  在windows的应用程序notepad.exe就是这种类型,看下图:

      

  节表后面没有一个空白的字节,

  我们知道在DOS头下面有一段垃圾数据,我们可以利用这块垃圾数据区进行节表的添加。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  [1] 找个PE头,包括NT头和节表:

      

  这里的数据共有23行,我们在DOS头的下面进行粘贴


  [2] 粘贴完成之后,记得修改DOS头下的e_lfanew指向新的PE签名地址


  [3] 将之前节表下不用的区域添充00


  [4] 最后,就可以用之前的方法进行节表的添加了


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

赤坂丶龙之介
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE新增
hambaga的博客
05-13 698
测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个节表后面并不是0,而是有一些奇怪的数据,以32位notepad为例,最后一个节表后面的数据是这样的: 对于其他程序,如ipmsg,还有一个我自己写的32位GUI程序,新增后都可以正常运行。 对于这个问题,解决方案可以改为扩大最后一个,或者让NT头上移,就是覆盖掉原来dos stub那部分数据,然后改一下e_lfanew,由于不是本次作业的重点,我就不写了。 下面是函数代码,只包含添加的函数,其他函数就不贴了,上一篇博客有
PE文件的修改----增加
weixin_51738129的博客
02-01 902
PE文件的修改
PE结构-----新增
mysqld521的博客
05-28 119
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字节))》=80字节。可以直接在最后表的后边添加新增,还要将后面的40个字节置00。2、上面的空间不足80个字节的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字节进行00的填充。
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1316
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下表新增表的步骤1.判断是否有足够的空间增加一个新.2.表新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增表的属性.Virt.
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE新增一个
qq_42363151的博客
08-31 199
新增
crc.rar_CRC 半字节_半字节查表
09-21
单片机实现CRC算法的程序,包括按半字节查表求CRC和按字节查表求CRC.
neicun.rar_4 3 2 1_字节编址
09-14
4.1.1.程序运行为什么...4.1.3.位、字节、半字、字的概念和内存位宽 4.1.4.内存编址和寻址、内存对齐 4.1.5.C语言如何操作内存 4.1.6.内存管理之结构体 4.1.7、内存管理之栈 4.1.8、内存管理之堆 4.1.9、复杂数据结构
字节第四青训营大项目—前端监控系统源码.tar
最新发布
11-17
字节第四青训营大项目—前端监控系统源码.tar字节第四青训营大项目—前端监控系统源码.tar字节第四青训营大项目—前端监控系统源码.tar字节第四青训营大项目—前端监控系统源码.tar字节第四青训营大项目—...
易语言字节集动态添加
07-23
易语言字节集动态添加源码,字节集动态添加
面向字节_计算机网络.pdf
01-27
面向字节_计算机网络.pdf
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 370
手工解析PE(新增)
PE添加_手动
赤坂龙之介的博客
05-15 396
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>   今天在学习PE的过程通过通过手动对PE文件进行添加,过程遇到了一些问题,写下来以便今后及时复习 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>   [1] 确定的对齐尺
[PE结构] 手工给32位PE文件增加一个新
輚至消亡
07-24 1289
0x01 去除重定位表 为了更好的理解PE文件结构,首先得了解增加一个区需要修改什么,本片博客先去除.reloc区再增加一个新的.new区。 FileHeader.NumberOfSections 区数量 OptionalHeaders.SizeOfHeaders PE头的大小(因为增加了一个新的IMAGE_SECION_HEADER) OptionalHeaders.SizeO...
PE知识复习之PE新增
weixin_30302609的博客
10-02 414
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件空白区可以添加代码.但是这样是由一个弊端的.因为你的空白属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
PE增加,并插入自己代码
windows小菜鸡的博客
08-15 1256
PE文件的基础知识大家可以自行百度。 1、在PE末尾添加一个PE末尾添加一个,需要注意: (1)RVA和FOA的转换 (2)需要修改SizeofImage的大小 (3)需要修改PE的数量 (4)如果现有的节表后添加的空间不足,可以移动NT头和表 (5)新增加表的属性根据自己的需要修改 (6)新增的RVA 需要注意计算,需要计算上一个RVA对齐后的尺寸 计算公式如下: //计算内存对齐的大小 DWORD VirtulaSize = NULL; if (secti
PE文件在任意空白区域添加代码
CleanMe的博客
12-24 681
环境: windowsXP 工具: 吾爱版OD,winhex , vc6++ 当然,知道一些PE文件头的知识更好 在最后有介绍一点PE文件结构的知识,有助于理解此文章 目标:在一个程序的任意空白区域添加代码 ( 转换为机器码 ) 如在文件头与数据之间添加代码: 在此位置添加一个message弹框的机器码,使程序在执行前先弹出一个消息框。 先查看message消息框的汇编代码 在00401032处先把message函数方法需要四个参数压入栈,然后call直接调用message函数 但是m.
空白添加代码。
LittleCracker的博客
05-17 1032
菜鸟一只,最近一直在学PE,刚学的往空白添加代码,就想水个贴,然后算是总结一下,大牛就别看了,太菜……    用的软件是WinHex,OD,Petools,跟vs2013,感染的软件是本地的记事本notepad.exe    这是很简单的一个感染,在打开程序之前加上弹窗。先执行我们的弹窗,之后再执行软件自身的代码。     步骤如下:   1、获取MessageBox地址,构造ShellCo...
int 转为字节后 低字节在前_NumPy 字节交换
05-31
可以使用NumPy库的`numpy.ndarray.byteswap`方法来实现字节交换。具体实现步骤如下: 1. 将int类型的数值转换为NumPy的ndarray数组,可以使用`numpy.array`方法。 2. 使用`numpy.ndarray.byteswap`方法对数组进行字节交换,将`swap`参数设置为`True`,表示进行字节交换。 3. 最后,将字节交换后的数组转换为字节串,可以使用`numpy.ndarray.tobytes`方法。 下面是示例代码: ```python import numpy as np # 将int转换为ndarray a = np.array([123456789], dtype=np.int32) # 进行字节交换 a.byteswap(True) # 转换为字节串 bytes_data = a.tobytes() print(bytes_data) ``` 输出结果为:`b'\x15\xcd\x5b\x07'`,其字节`07`在前。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值