PE结构-----新增节

最新推荐文章于 2024-05-24 19:31:36 发布
最新推荐文章于 2024-05-24 19:31:36 发布
阅读量133 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mysqld521/article/details/130913161
版权
在PE文件中,当需要添加新的节表时,需确保有足够空间。方法包括检查sizeofheader是否大于80字节,如果不足,则移动DOS_STU之后的数据。须注意填充最后一个节表后的40个字节为0,更新numberofsection、sizeoflmage以及节表内容。
摘要由CSDN通过智能技术生成

前提条件:
需要两个节表的大小(第一个节表存放新增节表,第二个存放40个00)

实现方法:
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*节表的大小(40字节))》=80字节。可以直接在最后的节表的后边添加新增节,还要将后面的40个字节置00

2、上面的空间不足80个字节的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。使用此方法的时候记得将e_lfanew指向新的PE标记

注意事项:
1.将最后一个节表的后40个字节进行00的填充
2.修改numberofsection
3.sizeoflmage装入内存后的大小
4.修改节表里面的内容

宋金泽爱学习
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1427
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下新增表的步骤1.判断是否有足够的空间增加一个新.2.新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增表的属性.Virt.
8.PE文件之新增
kernelhack
10-28 4176
目录 新增PE文件中哪些值会有影响? 新增步骤: 手动新增 代码新增 如果需要在PE文件中构建一端SHELLCODE(默认区剩余空间不足情况下),可以通过新增来解决此问题.通常大部分加壳软件都会新增来移动或者备份各种目录项数据. 新增PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果新增需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增后在内存中的大小
PE文件(六)新增-添加代码
最新发布
2301_78838647的博客
05-24 1106
我们有时候发现文件内存中未对齐的大小确实比文件中对齐的大小大,这是由于中包含初始化数据的缘故。当整体上移后空白出来的空间还不够新增表的大小时,我们可以采用扩大最后一个的方式,将添加的代码加到最后一个扩大的空间中,由于内存对齐的原因,我们会有很大一部分的空间供我们去添加代码。二.当满足添加表的条件时,我们可以将已有的一个表的40字信息复制一份紧挨着最后一个表的末尾(表与表之间时连续的),然后再定义之后的40字都是0,之后再根据新增的信息,去修改对应表的字段值。
PE新增一个
qq_42363151的博客
08-31 210
新增
PE知识复习之PE新增
weixin_30302609的博客
10-02 426
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
PE文件的修改----增加
weixin_51738129的博客
02-01 998
PE文件的修改
class5-PE结构PE感染者
05-11
在实践中,创建一个PE感染者需要对PE结构有深入的理解,包括如何定位插入点、如何修改区表、如何保持原始PE文件的完整性等。课程中可能会涵盖以下几个关键步骤: 1. **文件分析**:首先,需要分析目标PE文件的...
PE文件添加.zip
08-19
PE文件添加是一个涉及到Windows可执行文件结构和编程技术的主题。PE(Portable Executable)文件格式是Microsoft Windows操作系统中用于存放可执行程序、动态链接库(DLL)等类型的文件的标准格式。在这里,我们...
最新完整版标准 UL 758-2006英文.pdf
04-12
16. mPPE-PE材料的引用添加:引入了mPPE-PE材料的相关要求,扩展了材料选择范围。 17. 热冲击测试温度要求的澄清:明确了热冲击测试的温度设定,以确保材料在极端温度下的稳定表现。 18. 表24.1中材料术语的一致性...
windows平台PE文件自定义区添加
08-17
1. **增加FileHeader中的区个数**:首先需要更新`FileHeader`中的`NumberOfSections`字段,以反映新增区的事实。这是因为PE文件头部存储了文件的基本属性,包括区的数量。 2. **计算新区的VirtualAddress**...
《WindowsPE权威指南》附书源代码.rar
08-01
pe结构 chapter1 Windows PE开发环境 -HelloWorld.exe -chapter2 三个小工具的编写 -HelloWorld.exe -chapter3 PE文件头 -HelloWorld.exe -chapter4 导入表 -HelloWorld.exe -chapter5 导出表 -Hello...
PE文件区添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PE新增
hambaga的博客
05-13 729
测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个表后面并不是0,而是有一些奇怪的数据,以32位notepad为例,最后一个表后面的数据是这样的: 对于其他程序,如ipmsg,还有一个我自己写的32位GUI程序,新增后都可以正常运行。 对于这个问题,解决方案可以改为扩大最后一个,或者让NT头上移,就是覆盖掉原来dos stub那部分数据,然后改一下e_lfanew,由于不是本次作业的重点,我就不写了。 下面是函数代码,只包含添加的函数,其他函数就不贴了,上一篇博客有
PE结构新增一个
qq_45992231的博客
09-02 92
吾爱破解论坛里面ly610abc的做法 https://www.52pojie.cn/thread-1410348-1-1.html 关于第一步中判断是否有足够的空间来添加表是指 PE头后紧跟着的就是表,而表经文件/内存对齐后就是了,所以因为对齐的缘故,表和第一个之间有一定的空隙,若这些空隙能够插入一个新的表就能够按照上面的步骤来做。若不能就要好多的偏移,非常麻烦 ...
PE增加一个
qq_45694932的博客
07-10 374
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
PE中,新增,添加代码
weixin_34381666的博客
03-14 738
PE中,新增,添加代码 一、先判断表后是否有空闲位置,添加表信息,必须多出两个表位置,最后以零结尾。 二、新增后,需要修改以下信息   1、添加一个新,可以复制一份,最好是拥有可执行属性的,如.text。   2、在表区,新增的后面,填充一个,用零填充。   3、修改标准PE头中的数量。   4、修改SizeOfImage的大小。   5、在原有数据的后面,新...
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 406
手工解析PE(新增)
[PE结构] 手工给32位PE文件增加一个新
輚至消亡
07-24 1319
0x01 去除重定位表 为了更好的理解PE文件结构,首先得了解增加一个区需要修改什么,本片博客先去除.reloc区再增加一个新的.new区。 FileHeader.NumberOfSections 区数量 OptionalHeaders.SizeOfHeaders PE头的大小(因为增加了一个新的IMAGE_SECION_HEADER) OptionalHeaders.SizeO...
BSL308PE-VB双P沟道20V MOSFET SOT23-6封装
"BSL308PE-VB是一款双P沟道20V MOSFET,采用SOT23-6封装,适用于各种需要低阻抗和高效能的电路设计。这款MOSFET提供了两个独立的P沟道晶体管,每个具有低的RDS(on)值,以优化电源开关和驱动应用。" BSL308PE-VB ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值