PE结构-合并节(附实例代码)

最新推荐文章于 2023-01-31 00:48:26 发布
最新推荐文章于 2023-01-31 00:48:26 发布
阅读量497 收藏 1
点赞数
分类专栏: 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21095573/article/details/108972060
版权

在这里插入图片描述

合并节:
1、拉伸到内存
2、将第一个节的内存大小、文件大小改成一样
Max = SizeOfRawData>VirtualSize?SizeOfRawData:VirtualSize
SizeOfRawData = VirtualSize = 最后一个节的VirtualAddress + Max - SizeOfHeaders内存对齐后的大小
3、将第一个节的属性改为包含所有节的属性 (重点)
4、修改节的数量为1


BOOL MergingSection(IN OUT LPVOID* pImageBuffer)
{
	//DOC头
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)*pImageBuffer;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	if (*((PWORD)*pImageBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("MZ文件标志头不存在!");
		free(pImageBuffer);
		return false;
	}
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	DWORD Max = pSectionHeader->SizeOfRawData > pSectionHeader->Misc.VirtualSize ? pSectionHeader->SizeOfRawData : pSectionHeader->Misc.VirtualSize;
	PIMAGE_SECTION_HEADER pSectionHeader_tmp = pSectionHeader;
	pSectionHeader_tmp += (pPEHeader->NumberOfSections - 1);
	pSectionHeader->SizeOfRawData = pSectionHeader->Misc.VirtualSize = Align(pSectionHeader_tmp->VirtualAddress + Max - pOptionHeader->SizeOfHeaders, pOptionHeader->SectionAlignment);
	pPEHeader->NumberOfSections = 1;

	return true;
}

Github地址:https://github.com/vShellCode/Analysis-of-PE-structure

v寰宇
关注
专栏目录
MATLAB算法实战应用案例精讲-【人工智能】语义分割(实战应用案例及代码)
qq_36130719的博客
12-31 1945
语义分割,也称为像素级分类问题,其输出和输入分辨率相同(如题图中,左边为2048x1024分辨率的Cityscapes街景图像,输入模型,得到右边同样分辨率的语义图)。由此,语义分割具有两大需求,即高分辨率和高层语义,而这两个需求和卷积网络设计是矛盾的。
Transformer学习总结TF2.0代码实现
qq_43079023的博客
12-01 5837
Transformer学习总结 TF2.0代码实现Transformer1.Transformer理论详解1.1 transformer总体架构1.2 输入部分如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML ...
PE合并
m0_63206880的博客
03-30 226
//合并 PIMAGE_SECTION_HEADER andRE = pSection; andRE->SizeOfRawData = andRE->Misc.VirtualSize > andRE->SizeOfRawData ? andRE->Misc.VirtualSize : andRE->SizeOfRawData; andRE->SizeOfRawData = pOption->SizeOfImage - andRE-..
PE知识复习之PE合并
weixin_30794851的博客
10-02 383
                      PE知识复习之PE合并 一丶简介    根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解.   以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤.   1.修改文...
PE_合并
qq_42363151的博客
09-25 304
PE
合并
qq_41490873的博客
12-26 367
在这里插入代码片 ```BOOL MergeSection(char*lpszFileName) { //读取文件到内存 //拉伸为运行状态 //修改表信息 //修改numberofsection为1 //restore为文件状态 //保存文件 LPVOID pImage=NULL; DWORD dwFileSize= ReadFileToImage(lpszFileName,&...
空白区域添加代码
qq_41232519的博客
09-28 513
文章目录一、流程二、演示三、完整代码 一、流程 1、File-> FileBuffer 2、FileBuffer->ImageBuffer 3、判断空闲区是否有足够的空间存储ShellCode代码 4、将ShellCode代码复制到空闲区 5、修正E8、E9 6、修正OEP(入口程序) 7、ImageBuffer->NewBuffer 8、NewBuffer->文件 二、演示 1、看上篇 2、看上篇 3、判断空闲区是否有足够的空间存储ShellCode代码 #define SHELL
关于Transformer你需要知道的都在这里------从论文到代码深入理解BERT类模型基石(包含极致详尽的代码解析!)
g534441921的博客
02-22 3583
深入理解Transformer------从论文到代码Attention Is All You Need摘要介绍背景模型结构编码器解码器注意力 Attention Is All You Need 摘要 提出了完全基于注意力机制,避免使用循环和卷积的新的网络结构。 介绍 RNN模型通常沿输入和输出序列的符号位置进行因子计算,将位置与计算时间中的步骤对齐。它们产生一系列的隐藏状态hth_{t}ht​,...
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2423
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址,PE文件格式
PE文件学习工具,超好用
05-05
3. **软件优化**:通过调整PE文件的结构,如合并、减少不必要的导入,可以优化程序的性能和体积。 至于`userdb.txt`这个文件,可能是在学习过程中用于存储用户数据或实验结果的文本文件,如记录打开过的PE文件...
PE合并操作
qq_45714114的博客
09-16 187
核心代码块 // gbpeall.cpp: implementation of the gbpeall class. // ////////////////////////////////////////////////////////////////////// #include "stdafx.h" #include "gbpeall.h" ////////////////////////////////////////////////////////////////////// // Const
滴水PE作业合并
最新发布
qq_52442096的博客
01-31 159
滴水PE作业合并
PE合并的主要代码实现,详细注释(内存和文件对齐相同时的版本)
weixin_42408832的博客
06-24 220
//合并 //参数:传入拉伸后的imagebuffer LPVOID MergeSection(LPVOID imagebuffer) { PIMAGE_DOS_HEADER pDosHeader4 = NULL; PIMAGE_NT_HEADERS32 pNTHeader4 = NULL; PIMAGE_FILE_HEADER pFileHeader4 = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader4 = NULL; PIMAGE_SEC..
滴水逆向——PE合并
sunr.
04-10 917
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
PE结构里面新增、扩大合并
lygl35的博客
02-25 307
【2021.01.14】合并
oalken的博客
01-14 119
#define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; .
PE文件实战之手动合并
weixin_43742894的博客
04-01 441
一丶简介 根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解. 以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤: 1.修改文件头表个数 2.修改表中的属性 .sIzeofRawData 数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并以0填充. 二丶实战合并一个 1.修改文件头中
PE文件合并代码实现
qq_31125257的博客
12-11 351
当DOS stub的空间也不够80个字的时候,需要把原有的几个合并成一个表,这样就可以腾出两个表的空间,进而可以增加新的。 疑惑:原有文件的几个之间的联系会受合并带来的影响吗?当代码调用数据的时候,如何指定位置?合并后,唯一表的属性是原有的属性或运算出来的结果,会带来安全问题吗?为什么合并要先拉伸出来才能合并,因为拉伸后才是文件在内存中的状态?但拉伸这个动作本来就是按照fileBuffer中的pe头部属性virtualsize和sizeofrawdata,virtualaddre
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值