PE结构-扩大节区(附实例代码)

最新推荐文章于 2022-12-04 00:33:59 发布
最新推荐文章于 2022-12-04 00:33:59 发布
阅读量399 收藏
点赞数
分类专栏: 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21095573/article/details/108972022
版权

在这里插入图片描述

1、拉伸到内存

2、分配一块新的空间:SizeOfImage + Ex

3、将最后一个节的SizeOfRawData和VirtualSize改成N
SizeOfRawData = VirtualSize = N
N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex

4、修改SizeOfImage大小
SizeOfImage = SizeOfImage + Ex

BOOL EnlargedNodalRegion(IN LPVOID pImageBuffer, OUT LPVOID* pNewBuffer, size_t EnlargeSize)
{
	//DOC头
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	if (*((PWORD)pImageBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("MZ文件标志头不存在!");
		free(pImageBuffer);
		return false;
	}
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	//申请新的空间
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	for (int i = 1; i < pPEHeader->NumberOfSections; i++)
		pSectionHeader++;
	pSectionHeader->SizeOfRawData = pSectionHeader->Misc.VirtualSize = Align((pSectionHeader->SizeOfRawData += EnlargeSize) > (pSectionHeader->Misc.VirtualSize += EnlargeSize) ?
		pSectionHeader->SizeOfRawData: pSectionHeader->Misc.VirtualSize, pOptionHeader->SectionAlignment);
	pOptionHeader->SizeOfImage += EnlargeSize;
	*pNewBuffer = (PDWORD)malloc(pOptionHeader->SizeOfImage);
	if (!*pNewBuffer)
	{
		printf("%s", "申请新扩大节后的空间失败!");
		free(*pNewBuffer);
		return false;
	}
	memset(*pNewBuffer, 0, pOptionHeader->SizeOfImage);
	memcpy(*pNewBuffer, pImageBuffer, pOptionHeader->SizeOfImage);
	return true;
}

Github地址:https://github.com/vShellCode/Analysis-of-PE-structure

v寰宇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
html作业 - 端午日介绍代码实例
06-06
在这个端午代码实例中,我们可以创建一个标题(`<h1>`)来介绍端午,比如“端午——中国传统的重要日”。接着,使用`<p>`标签添加关于端午的历史和起源的段落文本,描述屈原的故事以及人们为何庆祝这个...
PE实战教程之扩大
weixin_43742894的博客
04-01 619
本篇文章复习扩大,顾名思义就是将表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大? 2.如何扩大PE实战教程之扩大为什么扩大如何扩大扩大哪一个扩大的步骤实战环: 为什么扩大 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大。 如何扩大? 我们先看表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
EverEdit逆向 PE结构
qq_45992231的博客
09-01 139
text块 virtual size 001990A9 virtual address 00001000 size of raw date 00199200 pointer to raw date 00000400 开始761000 结束8FA0A9 400+1990A9=1994A9 virtual size就是text块实际数据的大小符合 rdata块 virtual size 00037682 virtual address 0019B000 size of raw data 00037800 poi
PE文件扩大
istream1的博客
12-04 461
PE文件扩大
PE知识复习之PE扩大
weixin_30619101的博客
10-01 256
              PE知识复习之PE扩大 一丶为什么扩大   上面我们讲了,空白区添加我们的代码.但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大.   扩大其实很简单.修改数据对齐后的大小即可. 并且在PE文件中添加0数据进行填充即可. 首先看一下我们的表 typedef struct _IMAGE_SECTION_HEADER { B...
逆向 杂知识点
qq_45992231的博客
08-26 5811
对于一个可执行文件的来说 1.DOS头 对于DOS头关注两个偏移量00h,和3ch 前者的内容是一个WORD型数据标记了DOS头,为4D 5A h 后者的内容是一个DWORD型数据是PE头的地址,即可通过DOS头的003ch中的内容知道PE头的地址 2.PE头 在PE头中讨论偏移量时都是相对于PE头的首地址的偏移量 偏移量00h的单元内容是一个DWORD型数据,在有效的PE文件里为00 00 45 50h 在小段储存的模式下即为PE00 偏移量04h到18h的单元内容为结构体IMAGE_FILE_HEADE
s7-200PLC恒压供水实例代码.zip
12-16
【亲测实用】s7-200PLC恒压供水实例代码 文件类型:程序源代码 主要功能: 西门子200PLC做的恒压供水的实例,梯形图编程,打开即可使用,编程严谨整洁,适合做参考。 适合人群:新手及有一定经验的开发人员
SPSS教程-聚类分析-实例操作
01-17
SPSS教程-聚类分析-实例操作 SPSS教程-聚类分析-实例操作 SPSS教程-聚类分析-实例操作 SPSS教程-聚类分析-实例操作
4--[条件结构实例].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码
04-16
4--[条件结构实例].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码4--[条件结构实例].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码4--[条件结构实例].zip源码scratch2.0 3.0编程项目...
在vue中使用vue-echarts-v3的实例代码
10-18
主要介绍了在vue中使用vue-echarts-v3的实例代码,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
PE文件实战之手动合并
weixin_43742894的博客
04-01 402
一丶简介 根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解. 以前我们讲过PE扩大一个怎么做. 合并扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤: 1.修改文件头表个数 2.修改表中的属性 .sIzeofRawData 数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并的以0填充. 二丶实战合并一个 1.修改文件头中
PE_扩大
qq_42363151的博客
09-25 144
PE逆向
C语言实现PE的拉伸压缩和扩大、合并、增加节区
qq_35289660的博客
05-11 1593
C语言实现PE的拉伸压缩和扩大、合并、增加节区 文章目录C语言实现PE的拉伸压缩和扩大、合并、增加节区0.说明一.各个部分的子函数1.读取2.拉伸3.压缩4.存盘5.扩大6.合并7.新增二.整体代码 0.说明 看滴水初期视频PE部分的笔记 然后自己写代码实现 文件的拉伸过程 PE节区扩大、合并、增大都是在拉伸之后实现的 这之中涉及了许多结构体和自定义数据,都是定义在winnt.h这个头文件中,当然也被包含于windows.h这个头文件。开始的时候都是不熟,只有多写,自然就记着了。 编译环境:vc++
9.PE文件之扩大
kernelhack
10-28 3708
目录 扩大PE文件中哪些值会有影响? 扩大步骤: 手动扩大 代码扩大 通常扩大最后一个比较方便,假设扩大第一个则后续所有对应的数据都需要更改. 扩大PE文件中哪些值会有影响? 最后一个IMAGE_SECTION_HEADER结构成员中SizeOfRawData和VirtualSize. IMAGE_OPTIONAL_HEADER → SizeOfImage(扩大后在内存中的大小需要修正). 扩大步骤: 将最后一个文件中的大小修改为当前文件大小加新增大小(文
PE新增|扩大|合并
个人笔记
05-21 531
PE操作新增实现步骤扩大实现步骤合并实现步骤 新增 PE结构使用: SizeOfImage NumberOfSections VirtualSize VirtualAddress SizeOfRawData PointerToRawData 实现步骤 -判读那是否有足够空间,可以添加一个表 SizeOfHeaders-(DOS+DOS STUB+NT头+已存在表) >=2个表大小 满足才可添加,否则提升PE头 -完善新增表内容 -在新添表后面填充一个(表)大小的00 -修改PE
PE扩大
m0_63206880的博客
03-29 547
注意:扩大最好在最后扩展 不然要修改好多东西 一:扩大 1、拉伸到内存 2、分配一块新的空间:SizeOfImage+Ex 3、将最后一个的SizeOfRawData 和 VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex 4、修改sizeofimage大小 Sizeofimage= sizeofimage+Ex 下面是实现代码: ...
PE结构 扩大*
qq_45992231的博客
09-01 126
首先是吾爱破解论坛lyl610abc的做法 1.将最后一个的SizeOfRawData和VirtualSize改成N,N = 内存对齐后的大小 + 2.要扩大的大小 3.修改 SizeOfImage大小=SizeOfImage大小+要扩大的大小 4.分配一块新的空间,大小为:内存对齐增加的大小+要扩大的大小 这个做法实际上就是我们的目的是要把SizeOfRawData和VirtualSize都变成N, 自然PE文件在磁盘中的块大小应该要增加一点。增加的大小就是内存对齐增加的大小+要扩大的大小。因为在
PE扩大最后一个
hambaga的博客
05-13 334
增加 SizeOfImage, VirtualSize, SizeOfRawData, 注意文件对齐和内存对齐即可。 // 扩大最后一个 // 返回新文件的大小,失败返回0 DWORD ExpandLastSection(IN LPVOID pFileBuffer, OUT LPVOID *pNewFileBuffer, DWORD oldSize, DWORD expandSize) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS p
selenium-chrome-driver 的实例代码
最新发布
05-31
以下是一个使用 Selenium Chrome Driver 进行自动化测试的示例代码: ```java import org.openqa.selenium.WebDriver; import org.openqa.selenium.chrome.ChromeDriver; public class ChromeTest { public static void main(String[] args) { // 设置 ChromeDriver 路径 System.setProperty("webdriver.chrome.driver", "/path/to/chromedriver"); // 创建 ChromeDriver 实例 WebDriver driver = new ChromeDriver(); // 打开网页并进行测试 driver.get("https://www.google.com"); System.out.println("Title: " + driver.getTitle()); driver.quit(); } } ``` 在这个例子中,我们设置了 ChromeDriver 的路径,然后创建了一个 ChromeDriver 实例。接着我们使用 `driver.get()` 方法打开了 Google 的首页,并输出了页面标题。最后我们调用 `driver.quit()` 方法关闭了浏览器。需要注意的是,为了能够正常运行这个例子,需要下载并安装 ChromeDriver,并将其路径替换为 `/path/to/chromedriver`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值