壳的编写(4)-- 获取被加壳文件的PE信息

最新推荐文章于 2022-02-12 16:58:26 发布
最新推荐文章于 2022-02-12 16:58:26 发布
阅读量1.4k 收藏 2
点赞数 3
分类专栏: 壳相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50478832
版权

         我们将获取PE信息的操作单独封装到一个类文件中,在这个文件中,我们需要定义一个结构_PE_INFO用于封装PE相关信息并供外部调用,除此之外我们还需要定义RVA转文件偏移,文件偏移转,获取PE文件的信息,修复重定位信息,获取导出全局变量的文件偏移,设置新OEP,添加区段等函数。

         在Pack_Dll中添加一个CProcessingPE类,在ProcessingPE.h文件中内容如下:

#pragma once
#include <Windows.h>
#include <string.h>
#include <stdlib.h>


// 关键PE信息
typedef struct _PE_INFO
{
	DWORD                 dwOEP;          // 入口点
	DWORD                 dwImageBase;    // 映像基址
	PIMAGE_DATA_DIRECTORY pDataDir;       // 数据目录指针
	IMAGE_DATA_DIRECTORY  stcExport;      // 导出目录
	PIMAGE_SECTION_HEADER pSectionHeader; // 区段表头部指针
}PE_INFO, *PPE_INFO;


class CProcessingPE
{
public:
	CProcessingPE(void);
	~CProcessingPE(void);

public:
	DWORD RVAToOffset(ULONG uRvaAddr);                                        // RVA转文件偏移
	DWORD OffsetToRVA(ULONG uOffsetAddr);                                     // 文件偏移转RVA
	BOOL  GetPeInfo(LPVOID lpImageData, DWORD dwImageSize, PPE_INFO pPeInfo); // 获取PE文件的信息
	void  FixReloc(DWORD dwLoadImageAddr);                                    // 修复重定位信息
	PVOID GetExpVarAddr(LPCTSTR strVarName);                                  // 获取导出全局变量的文件偏移
	void  SetOEP(DWORD dwOEP);                                                // 设置新OEP
	PVOID AddSection(LPCTSTR strName, DWORD dwSize, DWORD dwChara, PIMAGE_SECTION_HEADER pNewSection, PDWORD lpSize); // 添加区段
	void SetDLL();															  // 去除DLL动态加载标识
private:
	DWORD             m_dwFileDataAddr; // 目标文件所在缓存区的地址
	DWORD             m_dwFileDataSize; // 目标文件大小
	PIMAGE_DOS_HEADER m_pDos_Header;    // DOS头指针
	PIMAGE_NT_HEADERS m_pNt_Header;     // NT头指针
	PE_INFO           m_stcPeInfo;      // PE关键信息

};


ProcessingPE.cpp 实现如下:

#include "stdafx.h"
#include "ProcessingPE.h"



CProcessingPE::CProcessingPE(void)
{
	ZeroMemory(&m_stcPeInfo, sizeof(PE_INFO));
}
CProcessingPE::~CProcessingPE(void)
{
}

 
/************************************************************************/
/* 方法名称:  RVAToOffset
/* 方法全称: CProcessingPE::RVAToOffset
/* 参数:	  ULONG uRvaAddr		RVA地址值
/* 返回值:	  DWORD					成功返回Offset,失败则返回0
/* 说明:     相对虚拟地址(RVA)转文件偏移(Offset)
/************************************************************************/
DWORD CProcessingPE::RVAToOffset(ULONG uRvaAddr)
{
	//获取区段头表 
	PIMAGE_SECTION_HEADER pSectionHeader = IMAGE_FIRST_SECTION(m_pNt_Header);

	//获取区段的数量  --- nt表中的文件头中  
	DWORD dwSize = m_pNt_Header->FileHeader.NumberOfSe
最低0.47元/天 解锁文章
布衣僧
关注
专栏目录
PE文件操作-简单的加壳实现
yeshahayes的博客
08-14 3690
处于一些原因,需要对PE文件进行加壳。所谓加壳就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader加载加壳文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。 这个加壳程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。 先说一下思路:对原始PE文件编码
PE文件加壳
yellow的博客
06-15 1662
1、upx的,官网地址https://upx.github.io/ 这种很常见,应该是技术已经很纯熟了,加壳、脱利用官网发布的工具可以轻松实现。 程序参数如下: 试验一下: 加壳:(如果程序已经加过upx的,工具发现后会提示已经加过,不再二次加壳) 脱:(如果程序没有加过upx,工具会提示,不会进行脱) 2、MPRESS,官网地址http://www.mat...
PE文件的简单加壳和脱(UPX和PEiD)
qq_29566629的博客
02-12 3871
先普及几个概念: PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外后,
pediy——对PE文件进行加壳保护
08-21
《加密与解密》第三版书中源代码,实现对PE文件加壳保护
(未完待续)Windows PE 文件加壳学习笔记
silvasaga的专栏
11-05 1977
要想给PE文件加壳,搞清楚PE文件的格式是前提。以可执行程序EXE文件为例, 由描述程序信息文件头和记录代码数据的节组成。文件头包括DOS文件头, PE文件头, PE可选信息头组成下面给出个结构的C定义(在windos开发包 winnt.h 文件中可以找到)typedef struct _PE_IMAGE_DOS_HEADER {   // DOS .EXE header    WORD   e
易语言编写加壳工具(非打包调用内存运行)
06-03
这可能涉及对PE文件格式的理解,包括节区、导入表、导出表等关键部分。外程序需要在适当的时候解密payload,并将其加载到内存中执行。此外,如果payload依赖于特定的API,外程序还需要处理API Hook,确保这些...
dll加壳c语言,使用VC自己动手编写加壳程序
weixin_39743824的博客
05-21 835
《使用VC自己动手编写加壳程序》由会员分享,可在线阅读,更多相关《使用VC自己动手编写加壳程序(29页珍藏版)》请在人人文库网上搜索。1、使用VC自己动手编写加壳程序阅读对象:想写的新手。高手掠过,本文仅限于写入门。基本要求:了解VC+6.0基本使用方法;了解PE格式,不熟悉的地方能够通过查阅资料弄懂;(1) 生成界面,完成文件操作主要内容:生成界面,完成打开文件对话框。首先说一下写作原因。最...
C#实现软件加壳
07-07
5. **测试加壳效果**:运行生成的加壳文件,确保程序功能正常且安全性得到提升。 除了使用第三方工具,还可以采用自定义加壳技术。这需要深入理解PE文件结构、内存管理和反调试技术。在C#中,可以借助于IL2CPP...
易语言UPX编译自动加壳
07-23
在易语言中实现UPX编译自动加壳,通常需要编写一段代码,这段代码会在编译过程中调用UPX工具对生成的可执行文件进行加壳操作。这涉及到了程序自动化、文件操作和系统调用等技术。开发者需要知道如何在易语言中执行...
PE文件简单加密(加壳)--源码 <img src="/images/sunny.gif" ali
02-23
这个小软件通过在可执行文件(.exe)的尾部添加一个新节(Section),并且修改PE的入口地址,使可执行文件在运行时,跳出一个输入密码的对话框,从而实现了简单的加密。源程序采用Delphi 6.0编写, 兼有少量的asm代码,用於可执行文件的加密。如需传播,请保留作品的完整性!
PE文件加壳软件源代码
05-08
本软件能对PE文件exe加壳,保护程序,这个是源代码程序,学习加壳的,可以看看
多种常见加壳工具,rar
10-09
绝对超值,避免大家到处寻找。 我将常见的加壳工具搜集到一起供大家下载。 [MSLRH]v0.31a.rar ASPack加壳.rar Hying'sPE-Armor0.75.rar MaskPE2.0最终版.rar PECompact.rar PEncrypt4.rar petite2.3GUI.rar UPX压缩和解压器.rar 网络休闲庄专用加壳程序F1修改版.rar 仙剑.rar(包括大家想要的所有仙剑)
telock大名鼎鼎的加壳工具
01-06
themida大名鼎鼎,但是它除了anti之外一无是处,虽然it的修复确实让人头痛了好一阵子,于此形成讽刺意义的是其实它的it 一段时间内在memory中是完整的。它可以看成是aspr的一个clone版。
老狼Gh0st远程协助软件编写系列教程文档源码
08-25
老狼Gh0st远程协助软件编写系列教程文档源码
C++实现PE文件添加新节区(加壳器)
Anansi的博客
03-21 2704
最近潜心研究二进制安全,接触到了shellcode还有加壳有关的内容,于是心血来潮,想用自己不怎么成熟的编程功夫来实现写一个加壳器,并记录下代码编写过程中遇到的坑。 (以下文章中区段==节区) PE文件格式 pe(Portable Executable)其实就是在windows系统上的程序文件,这种文件格式在windows系列操作系统上基本上是通用的,我们平时见到的.exe、.dll、.obj...
加壳学习系列(一)-PE基础
qq_44370676的博客
06-11 1087
PE基础示例源代码010Editor查看NT可选头节表.text节PE中的重要信息PE结构节区PE文件的执行内存映射 示例 源代码 学习PE结构有示例总是好过纯看理论,示例用的C代码如下: #include<Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ int i; i = MessageBoxA(NULL, "do yo
PE加壳原理以及实现
qq_31615907的博客
04-09 9825
     对于很多高手来说,加壳是一件微不足道的小事,但是对于大部分从未接触过的朋友都是有点懵。新手对于的理解大都就是在执行原程序代码前率先取得控制权的代码,这些代码可以对原代码or数据进行解密(在未解密前是看不懂的),此方法常用于干扰静态反汇编,记得早些时候也被称为SMC加密。    就整体思路来说,这个想法是完全正确的,但是需要实际操作起来却不是向说得那么轻松。1、我们是基于二进制文件修改...
PE结构详解(加壳必备知识)
热门推荐
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、节表。...
C++代码解析PE文件结构与特性
- 除了手动编写代码,还有许多开源库和工具可以帮助分析PE文件,如PEiD(识别PE文件的打包器和加壳工具)、PE-bear(一个C++的PE文件分析库)等。 PE文件分析是Windows编程和逆向工程中的核心技能,涵盖了文件结构...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值