PE学习笔记二:节的操作

最新推荐文章于 2022-09-25 15:07:08 发布
最新推荐文章于 2022-09-25 15:07:08 发布
阅读量246 收藏
点赞数
分类专栏: 理论基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28526211/article/details/88862169
版权

节表:

节表确定了节数据的属性,数量,大小等等;

BYTE name,节的自定义名字,常见.text等等,但这并不是固定的,多数加壳程序可以修改节的名字;

uniom{DWORD VirtualSize} Misc 在内存中实际的大小

DWORD VirtualAddress 在内存中的偏移,他加上扩展PE头中的ImageBase就是在内存中真正的地址;(换句话说,他是在内存中的)

DWORD SizeOfRawData 节在文件中的大小

DWORD PointerToRawData 节区在文件中的偏移 (换句话说,他是在文件中的)

DWORD Charactetistics 节的属性  //属性这种东西,就是将字节中的数据转化为二进制,然后对着属性表查看每一个标志位

注意:没有初始化的变量,在文件中是没有位置的;
但是他在内存中是有位置的;
所以在内存中的实际大小会大于在文件中的大小;展开数据时,以MAX的值为准;


----------------------------------------------------------
所谓的RVA还有FOA

RVA:在内存中的相对地址;
内存中的地址减去扩展PE头中IMAGE_BASE起始地址,得到这个差值;

要从未展开到内存中的文件中找到一个全局变量的地址,就是这节课的学习重点;使用差值和拉伸量,计算出在第几个节中;

回到文件系统这个节和偏移量找到全局变量修改即可;

---------------------------------------------------------

在PE空白区添加代码;

直接写代码是不存在的,因为目标文件编译之后都是一堆的0和1;

再上一步,就是硬编码;

所以我们的目标其实是将硬编码注入到目标的PE文件中;(注入的文件要是直接CALL)
也就是E8开头的CALL;

然后通过jmp指令跳回去,也就是E9指令;

首先,通过VS写出代码,到反汇编,复制出硬编码指令;

如果CALL是间接CALL(FF),则使用直接CALL的形式,CALL间接的地址;

间接地址与硬编码的转化形式:

地址-直接CALL本身所在的地址-5;

那么我们要运行的这个代码地址在哪?打开OD,进入user32模块,寻找我们要调用的那个函数,ctrl+N到函数列表,找到他的地址;现在还在第一阶段,所以这个做法仅对本机生效;

E8地址并不是直接用winhex拖入文件得到的地址,而是要在内存中的地址,也就是IMAGE_BASE+偏移;

复制出CALL的硬编码;

然后通过JMP跳回,复制出JMP的硬编码;这也就是我们需要添加的代码;

地址-跳转所在的地址-5;

入口:扩展PE头中有一个程序的入口,用IMAGE_BASE+这个入口的偏移,就是程序的入口;我们用JMP跳回入口;


改好之后就可以执行了吗?

不行,因为没人调用他;

所以我们要把程序入口点改成这里,运行完了再跳回去;

这个步骤简单,只要把入口地址改成我们硬编码的头地址即可;

在投机取巧的CALL地址时,我可以使用找到目标地址,直接书写CALL指令,然后复制出硬编码的形式进行操作;


-----------------------------------------------
扩大节:

使用的工具是UE

最好不要扩大前面的节,否则要修改的地方太多了;所以我们原则上只扩大最后一个节;

1,分配一块新的空间大小S,直接右键插入即可;

2,N="(SizeOfRawData或者VirtualSize内存对齐后的值+S)"
改的时候按照16进制加,别瞎加
这里,谁大选谁作为计算单位;
将最后一个节的SizeOfRawData和VirtualSize修改为N

SizeOfRawData:最后一个节在文件中对齐的大小
VirtualSize:最后一个节在内存中对齐的大小

3,修改SizeOfImage的大小

我们扩大节肯定是为了加执行代码,所以如果节属性中没有可执行的属性,我们还要在属性里修改一下


--------------------------------------------------
新增节:

扩大节有一点小弊端,一是自己的数据和文件原本的数据混在一起;
二是如果原本节的属性是只读,我们还要回去修改,麻烦;

1,首先观察exe节表中,是否有足够的空间,40个字节,能够让我们书写进一个节的属性;

2,在节表中新增成员(第一个节一般是代码节,可执行,所以复制一下美滋滋,不用改属性了)

3,修改PE头中节的数量;

4,修改SizeOfImage的大小;

5,在原有数据的最后,新增一个节的数据,这个数据必须是内存数据的整数倍;

6,修正新增节表的属性


---------------------------------------------------
合并节:

新增节必须要求目标文件节表拥有40个字节的空间能够让我们书写;

有程序没有这40个字节;

方法一:
如果目标程序没有被处理过,那么dos头的部分有一块dos块,这部分的数据是没用的.我们只需要在MZ头的尾部,PE指针位置修改PE开始的位置,然后将其覆盖掉即可.
也就是整个代码向上提;


方法二:
方法一种,如果目标被处理过,dos块和节表都没地方了,就需要用到合并节的方法.

1,按照内存对齐展开;

2,将第一个节的内存大小,文件大小改成一样;

3,将第一个节的属性改为包含所有节的属性;

4,修改节的数量为1;

Orange‘s:一个操作系统的实现学习笔记2
超大青花鱼的博客
02-21 1978
第三章第一代码运行实录前言代码+注释运行效果一些问题1. 段描述符的结构2. 段选择子的结构3. 地址转换4. GDTR的结构5. 打开A20地址线6. CR0寄存器的结构7. "$" 前言 去年就开始学习Orange’s:一个操作系统的实现,今年记录并总结一下学习中遇到的一些问题,由于我汇编基础几乎为0,对计算机也不是很了解,所以写的这些注释和总结难免会有错误和纰漏,敬请原谅。此篇笔记抄的书上的代码已经实际运行过了,有可能后期添加注释的时候出现bug,如果运行不起来,可以删除所有注释再运行。此篇笔记去年
PE实战教程之扩大
weixin_43742894的博客
04-01 750
本篇文章复习扩大,顾名思义就是将表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大? 2.如何扩大PE实战教程之扩大为什么扩大如何扩大?扩大哪一个?扩大的步骤实战环: 为什么扩大 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大。 如何扩大? 我们先看表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
滴水三期:day29.1-
Edimade的博客
05-02 1164
一、表(1.表引入>2.定位表位置与计算个数>3.表结构)>表每个字段的含义>三、作业(1.手动解析表>2.编写程序打印表中的信息)
PE_合并
qq_42363151的博客
09-25 319
PE
逆向 杂知识点
qq_45992231的博客
08-26 5879
对于一个可执行文件的来说 1.DOS头 对于DOS头关注两个偏移量00h,和3ch 前者的内容是一个WORD型数据标记了DOS头,为4D 5A h 后者的内容是一个DWORD型数据是PE头的地址,即可通过DOS头的003ch中的内容知道PE头的地址 2.PE头 在PE头中讨论偏移量时都是相对于PE头的首地址的偏移量 偏移量00h的单元内容是一个DWORD型数据,在有效的PE文件里为00 00 45 50h 在小段储存的模式下即为PE00 偏移量04h到18h的单元内容为结构体IMAGE_FILE_HEADE
PE文件实战之手动合并
weixin_43742894的博客
04-01 474
一丶简介 根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解. 以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤: 1.修改文件头表个数 2.修改表中的属性 .sIzeofRawData 数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并的以0填充. 丶实战合并一个 1.修改文件头中
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
pc样本学习笔记PE类恶意程序与启发査杀.docx
最新发布
05-10
PE文件格式由多个部分组成,包括DOS头、PE签名、文件头、可选头、表以及区数据等。这些结构不仅定义了程序如何加载到内存中运行,也为恶意软件提供了隐藏和执行的场所。例如: - **DOS头**:包含了一个小型的...
PE结构学习(4)_操作
xf555er的博客
08-07 1255
对文件的表进行扩大,为了方便操作,只需对最后一个进行扩大OK了此处演示扩大1000(16进制)个字操作扩大扩出来的空白区还需要考虑的权限问题,若扩大出来的没有执行代码的权限,那么还要修改整个的权限属性,的权限属性由表结构体的最后一个成员Characteristics决定因为新增的可以自己设置权限,所以相比扩大而言还是方便挺多的新增有一个前提条件,最后一个后面至少要有40个字的空白区若前提条件不满足, 那只能合并,即将多个合并成一个,多余的空间就可以用于新增。...
pc样本学习笔记PE类恶意程序的快速分析技巧(EXE篇.docx
05-05
本篇文章将根据提供的文件信息《pc样本学习笔记PE类恶意程序的快速分析技巧(EXE篇)》的内容概要,深入探讨PE类恶意程序(特别是EXE格式)的分析方法和技术要点。 ### PE类恶意程序简介 PE(Portable Executable...
PE结构-合并(附实例代码)
Alone的博客
10-24 535
合并: 1、拉伸到内存 2、将第一个的内存大小、文件大小改成一样 Max = SizeOfRawData>VirtualSize?SizeOfRawData:VirtualSize SizeOfRawData = VirtualSize = 最后一个VirtualAddress + Max - SizeOfHeaders内存对齐后的大小 3、将第一个的属性改为包含所有的属性 (重点) 4、修改的数量为1 ...
给软件添加代码
热门推荐
Hello_MyDream的博客
06-11 2万+
一. 代码空白区域添加代码 1. 根据SizeOfRawData - VirtualAddress的值来判断剩余空间是否足以添加代码 2. 根据SizeOfRawData + PointerToRawData来到空余部分 3. 将汇编指令转为硬编码:此处添加的代码是MessageBox,可以通过OD(走下角命令 bp MessageBoxA)来查看MessageBox的地址。 6a 00 6a 00 6a 00 6a 00 e8 00 00 00 00 e9 00 00 00 00 push 6
RVA和RAW(文件偏移)的转换
跃然实验室
06-11 3379
表和——RVA和文件偏移的转换 RVA和文件偏移的转换的转换算法 (1)循环扫描表并得到每个在内存中的起始RVA(根据VirtualAddress字段),并根据的大小(SizeOfRawData字段)算出的结束RVA,最后比较判断目标RVA是否落在某个之内。 (2)如果目标RVA处于某个之内,那么用目标RVA减去的起始RVA,这样就得到了目标RVA相对于起始...
PE结构-
小喇叭儿滴滴的吹
02-12 517
首先,的话有两部分,一部分是表,另外一部分就是区了,表是用于描述区信息的,而区呢,简单点说就是数据块。 在上一篇博客中有提及过如何定位表,重点就是需要根据选项头的大小来定位,这里的话就直接上一点代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos头 if (pDosHeader ==...
pc样本学习笔记PE类恶意程序的快速分析技巧(DLL篇.docx
05-05
PE类文件,即Portable Executable格式文件,是Windows操作系统中常见的一种可执行文件类型。对于DLL(动态链接库)文件而言,其作为PE文件的一种,在系统中扮演着至关重要的角色。本文档旨在介绍针对此类恶意DLL文件...
PE结构-扩大区(附实例代码)
Alone的博客
10-24 435
1、拉伸到内存 2、分配一块新的空间:SizeOfImage + Ex 3、将最后一个SizeOfRawDataVirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex 4、修改SizeOfImage大小 SizeOfImage = SizeOfImage + Ex 5.添加表属性 ...
PE文件打补丁
njhhack的专栏
08-25 1348
              --------给PE文件打补丁--------                        ------njhhack 我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁.做法是在空隙中插入我们的补丁代码. 下面我通过实例来教大家给win97的notepad.exe(记事本)程序来打个补丁,使得notepad.exe运行时先运行我的pach.
2.获得Class对象表示实体的名称
c1776167012的博客
11-22 581
基于第一个实验,当我们获得一个类型的Class对象的时候,首先我们需要学习获取该类型的名称, 在Class类中有两个重要的方法: getName();它用于获取类的全称(包路径+类名) getSimpleName(); 它仅用于获取类名 注意:对于数组类型的名称的获取,者有区别,我们需要了解。项目地址: https://gitee.com/yan-jiadou/study/tree/master/Java%E5%8A%A8%E6%89%8B%E5%81%9A%E4%B8%80%E5%81%9A/src/m
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值