PE文件空白区添加代码

已于 2024-08-22 23:23:07 修改
阅读量320 收藏 3
点赞数 2
分类专栏: 逆向工程 文章标签: 安全
于 2024-08-22 22:30:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15054345/article/details/141438867
版权

1、C++源码

#include <iostream>
#include<windows.h>

int main()
{
	int i = 1;
	std::cin >> i;
	if (i == 100)
	{
		MessageBoxA(0, 0, 0, 0);
	}
	return 0;
}

2、将上述源码编译成可执行文件PEParase.exe,备用

3、使用010Editor打开该exe文件,查找PE头尾部空白区,确定代码添加位置,如下图所示,此处选择的FOA位置是3C0h

4、确定插入的代码,此处选择在程序执行之前先弹出一个空白的消息框,对应的shellcode代码模板如下:

6A 00 6A 00 6A 00 6A 00 E8 00 00 00 00 E9 00 00 00 00

5、在OD中查看MessageBoxA函数的地址为0x75D9FD1E,如下图所示:

6、计算E8指令之后的偏移量(E8指令翻译成汇编代码是call指令):

                       E8指令地址 = (ImageBase+0x358) = 0x400000 + 0x3C8 = 0x4003C8

                       偏移量= 要跳转的虚拟内存地址 - E8指令的虚拟内存地址 - 5
                       E8指令后的值:0x75D9FD1E - 0x4003C8 - 5 = 0x75 99 F9 51

注意,计算出来的偏移量是大端序,后续写入shellcode中时需要转成小端序。

7、计算E9指令之后的偏移量(E9对应于汇编指令jmp),此处就是要跳转到程序的原OEP:

查看原OEP地址:0x11023

注意上述OEP是相对虚拟地址,计算时需要加上PE文件中的ImageBase,偏移量计算过程如下:

                程序入口地址=0x11023+0x400000=0x411023
                E9指令地址=(ImageBase + 0x3CD)=0x4003CD
                E9之后的地址=入口地址-E9指令地址-5=0x00 01 0C 51

注意上述的偏移还是大端,写入shellcode时需要转成小端序,因此最终的shellcode代码如下:

6A 00 6A 00 6A 00 6A 00 E8 51 F9 99 75 E9 51 0C 
01 00

在010Editor中将上述shellcode写入PeParase.exe文件的0x3C0处,如下所示:

8、在010Editor中将EOP改为3C0h,如下图所示

9、写入完成之后保存exe文件,此处我是另存为了PEParse_1_bigEndian.exe,然后使用OD打开该exe程序,显示如下:

可见修改是成功了的,但运行时翻车了(如下图),暂时还不清楚为啥,等日后回来填坑。

不要影响我叠Q
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pe文件结构在空白添加代码
goat_2003的博客
06-10 465
想要再空白添加代码,首先我们需要清晰一下我们需要做的步骤。 1.查找本机MessageBoxA地址 2.打开OD调试工具拖入要添加的exe程序。 3.在命令中输入 : (输入后按下回车键) 4.找任意一段空白添加代码 (最好是添加空白开始预留一行的位置,便于以后再添加更多代码节约空间) 5.计算E8跳转的地址 6.修改OEP (程序入口的点) 预备知识 汇编指令 硬编码 call E8 00 00 00 00 jmp E9 00 00 00 00 push 6A .
Python统计python文件代码,注释及空白对应的行数示例【测试可用】
09-20
在Python编程中,统计源代码文件中的代码行数、注释行数和空白行数是一个非常实用的功能。它不仅可以帮助开发者了解代码的组织情况,还能够在优化代码结构时提供参考。本文将详细介绍如何使用Python编写一个统计py...
PE知识复习之PE文件空白添加代码
weixin_30696427的博客
10-01 190
          PE知识复习之PE文件空白添加代码 一丶简介   根据上面所讲PE知识.我们已经可以实现我们的一点手段了.比如PE的入口点位置.改为我们的入口位置.并且填写我们的代码.这个就是空白添加代码. 我们也可以利用这个知识.实现PEDLL注入. 原理就是 修改入口. 跳转到我们空白执行我们的代码.我们空白进行重定位.调用Loadlibary. 并且load的是我...
PE文件(五)代码空白添加代码
2301_78838647的博客
05-14 818
本节的目的就是教会我们在一个可执行文件代码节的空白添加一段代码。大致思路:正常的文件中OEP记录着程序入口的地址,现在我们将此可执行文件的程序入口OEP地址指向call0 x123456指令的地址,使其先执行我们添加代码,执行完指令后再jmp 0x456789跳转回原来正常的文件OEP指向的程序入口地址,之后程序正常运行注意在代码空白添加代码相当于给在硬盘上的文件添加数据,添加完后再运行文件。该过程可以理解为文件注入。
PE文件任意代码空白添加代码
lygl35的博客
02-25 252
根据PE可选属性sizeofimage 分配空间 根据PE可选属性 SizeOfHeaders 复制头,包括了所有头和节表对齐后的大小 根据节表的PointerTORawData 确定文件中开始拷贝的位置,根据节表属性 VirtralAddress 知道要复制到的位置 根据节表的SizeOfRawDate 知道需要复制的大小 ...
专利文件空白模板,专利模板范文
09-10
本压缩包提供了一套完整的专利文件空白模板,帮助申请人更好地理解和制作专利申请所需的各个部分。 首先,我们来看“说明书附图.doc”。在专利申请中,说明书附图是必不可少的,它直观地展示了发明的具体结构、工作...
易语言创建大空白文件模块
08-16
易语言创建大空白文件模块源码 系统结构:模块_创建空白文件, ======程序集1 | | | |------ _启动子程序 | | | |------ _临时子程序 | | | |------ 模块_创建空白文件
1G长度的空白文件,填充硬盘使用
03-17
标题 "1G长度的空白文件,填充硬盘使用" 涉及到的IT知识点主要集中在文件管理和磁盘空间的利用上。在这个场景中,创建一个1GB大小的空白文件是为了达到特定的目的,如测试存储设备的性能、占用磁盘空间或者进行数据...
静音空白音频文件生成器
04-01
标题中的“静音空白音频文件生成器”是一个工具或软件,专门用来创建没有声音的音频文件,即静音文件。这种工具在某些情况下非常有用,比如在视频制作中填充背景音轨、测试音频设备或者作为音频编辑的起点。静音音频...
OV SSL证书:增强网站信任与安全的重要保障
alsknv的博客
08-20 1282
OV SSL证书,全称为Organization Validation SSL证书,是一种需要通过验证网站或组织真实身份才能颁发的SSL证书。它不仅能为网站提供数据传输的加密功能,还能向用户展示网站的真实身份,增强用户的信任感。OV证书适用于所有需要在线信任和安全的网站,特别是电子商务网站、在线银行、金融机构以及企业门户网站等。OV SSL证书_企业验证级SSL证书-JoySSLOV是英文单词Organization Validation的缩写,即单位组织信息验证。
叉车ai行人防撞预警系统,前后盲防撞报警,让行车更安全
jiuxindianzi的博客
08-20 495
九盾叉车AI防撞预警系统,含九配件,三颗摄像头监测盲与疲劳,可选车速等配件增强安全监测。特点包括实时监测、动态规划、高精度定位、多级防撞等,全方位保障叉车操作安全
【办公软件】安全风险 Microsoft 已阻止宏运行,因为此文件的来源不受信任
一点硬件
08-20 287
安全风险 Microsoft 已阻止宏运行 因为此文件的来源不受信任
92.WEB渗透测试-信息收集-Google语法(6)
计算机王的博客
08-22 308
web渗透测试
SD-WAN安全:在灵活性与安全性之间找到平衡
A526847的博客
08-21 436
随着企业业务的不断扩展和数字化转型的加速,网络架构的灵活性和安全性成为了企业关注的重点。SD-WAN(软件定义广域网)作为一种新兴的网络架构,通过软件定义和虚拟化技术,为企业提供了更灵活、可靠、经济高效的广域网连接方案。然而,在追求灵活性的同时,如何确保网络的安全性,成为了SD-WAN应用中的一大挑战。本文将探讨SD-WAN如何在灵活性与安全性之间找到平衡。
ChaCha20:高效且安全的流密码算法
最新发布
jiamisoft的博客
08-23 316
ChaCha20作为一种现代流密码算法,以其高速性能和良好的安全性,在信息安全领域占据了一席之地。随着技术的发展,ChaCha20将继续在保护数据安全方面发挥重要作用。同时,随着量子计算技术的进步,我们也需要关注ChaCha20等现有加密算法在量子时代的安全性,并积极探索新的加密技术。
适用于应用程序安全的 11 大 DevSecOps 工具
网络研究观
08-21 1300
发现用于应用程序安全的顶级 DevSecOps 工具,其功能包括代码安全、实时监控和漏洞修复等。
中间件安全
2201_75572825的博客
08-20 1127
Tomcat是一个开源的Java Servlet容器,它可以作为独立的Web服务器或应用服务器,也可以作为其他Web服务器的插件来使用,如Apache HTTP Server。Tomcat支持JavaServlet、JavaServer Pages (JSP) 、Java Expression Language (EL) 和WebSocket等Java技术,并提供了许多企业级特性,如集群、安全性和可扩展性。
趋势分享|Gartner解读中国企业容器管理新挑战:混合环境、容器安全、AI支持
SmartX 超融合
08-20 958
容器管理不应止于“管理容器”。
怎么使用od找到exe文件空白
06-09
你可以使用OD打开exe文件后,按下Ctrl+G,然后输入要查找的偏移量,这个偏移量可以在PE头中的Optional Header中的Image Base加上代码段的偏移量得到。然后在OD中按下 Ctrl+Shift+E,这时会打开一个新的窗口,选择"Hex"模式,然后在第一行输入要查找的空白域的十六进制表示,比如说"00 00 00 00",然后点击"Find Next"按钮,OD就会在文件中查找下一个匹配的空白域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值