PE学习笔记二:节的操作

最新推荐文章于 2022-05-02 14:52:15 发布
最新推荐文章于 2022-05-02 14:52:15 发布
阅读量199 收藏
点赞数
分类专栏: 理论基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28526211/article/details/88862169
版权

节表:

节表确定了节数据的属性,数量,大小等等;

BYTE name,节的自定义名字,常见.text等等,但这并不是固定的,多数加壳程序可以修改节的名字;

uniom{DWORD VirtualSize} Misc 在内存中实际的大小

DWORD VirtualAddress 在内存中的偏移,他加上扩展PE头中的ImageBase就是在内存中真正的地址;(换句话说,他是在内存中的)

DWORD SizeOfRawData 节在文件中的大小

DWORD PointerToRawData 节区在文件中的偏移 (换句话说,他是在文件中的)

DWORD Charactetistics 节的属性  //属性这种东西,就是将字节中的数据转化为二进制,然后对着属性表查看每一个标志位

注意:没有初始化的变量,在文件中是没有位置的;
但是他在内存中是有位置的;
所以在内存中的实际大小会大于在文件中的大小;展开数据时,以MAX的值为准;


----------------------------------------------------------
所谓的RVA还有FOA

RVA:在内存中的相对地址;
内存中的地址减去扩展PE头中IMAGE_BASE起始地址,得到这个差值;

要从未展开到内存中的文件中找到一个全局变量的地址,就是这节课的学习重点;使用差值和拉伸量,计算出在第几个节中;

回到文件系统这个节和偏移量找到全局变量修改即可;

---------------------------------------------------------

在PE空白区添加代码;

直接写代码是不存在的,因为目标文件编译之后都是一堆的0和1;

再上一步,就是硬编码;

所以我们的目标其实是将硬编码注入到目标的PE文件中;(注入的文件要是直接CALL)
也就是E8开头的CALL;

然后通过jmp指令跳回去,也就是E9指令;

首先,通过VS写出代码,到反汇编,复制出硬编码指令;

如果CALL是间接CALL(FF),则使用直接CALL的形式,CALL间接的地址;

间接地址与硬编码的转化形式:

地址-直接CALL本身所在的地址-5;

那么我们要运行的这个代码地址在哪?打开OD,进入user32模块,寻找我们要调用的那个函数,ctrl+N到函数列表,找到他的地址;现在还在第一阶段,所以这个做法仅对本机生效;

E8地址并不是直接用winhex拖入文件得到的地址,而是要在内存中的地址,也就是IMAGE_BASE+偏移;

复制出CALL的硬编码;

然后通过JMP跳回,复制出JMP的硬编码;这也就是我们需要添加的代码;

地址-跳转所在的地址-5;

入口:扩展PE头中有一个程序的入口,用IMAGE_BASE+这个入口的偏移,就是程序的入口;我们用JMP跳回入口;


改好之后就可以执行了吗?

不行,因为没人调用他;

所以我们要把程序入口点改成这里,运行完了再跳回去;

这个步骤简单,只要把入口地址改成我们硬编码的头地址即可;

在投机取巧的CALL地址时,我可以使用找到目标地址,直接书写CALL指令,然后复制出硬编码的形式进行操作;


-----------------------------------------------
扩大节:

使用的工具是UE

最好不要扩大前面的节,否则要修改的地方太多了;所以我们原则上只扩大最后一个节;

1,分配一块新的空间大小S,直接右键插入即可;

2,N="(SizeOfRawData或者VirtualSize内存对齐后的值+S)"
改的时候按照16进制加,别瞎加
这里,谁大选谁作为计算单位;
将最后一个节的SizeOfRawData和VirtualSize修改为N

SizeOfRawData:最后一个节在文件中对齐的大小
VirtualSize:最后一个节在内存中对齐的大小

3,修改SizeOfImage的大小

我们扩大节肯定是为了加执行代码,所以如果节属性中没有可执行的属性,我们还要在属性里修改一下


--------------------------------------------------
新增节:

扩大节有一点小弊端,一是自己的数据和文件原本的数据混在一起;
二是如果原本节的属性是只读,我们还要回去修改,麻烦;

1,首先观察exe节表中,是否有足够的空间,40个字节,能够让我们书写进一个节的属性;

2,在节表中新增成员(第一个节一般是代码节,可执行,所以复制一下美滋滋,不用改属性了)

3,修改PE头中节的数量;

4,修改SizeOfImage的大小;

5,在原有数据的最后,新增一个节的数据,这个数据必须是内存数据的整数倍;

6,修正新增节表的属性


---------------------------------------------------
合并节:

新增节必须要求目标文件节表拥有40个字节的空间能够让我们书写;

有程序没有这40个字节;

方法一:
如果目标程序没有被处理过,那么dos头的部分有一块dos块,这部分的数据是没用的.我们只需要在MZ头的尾部,PE指针位置修改PE开始的位置,然后将其覆盖掉即可.
也就是整个代码向上提;


方法二:
方法一种,如果目标被处理过,dos块和节表都没地方了,就需要用到合并节的方法.

1,按照内存对齐展开;

2,将第一个节的内存大小,文件大小改成一样;

3,将第一个节的属性改为包含所有节的属性;

4,修改节的数量为1;

qq_28526211
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE实战教程之扩大
weixin_43742894的博客
04-01 620
本篇文章复习扩大,顾名思义就是将表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大? 2.如何扩大PE实战教程之扩大为什么扩大如何扩大?扩大哪一个?扩大的步骤实战环: 为什么扩大 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大。 如何扩大? 我们先看表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
给软件添加代码
热门推荐
Hello_MyDream的博客
06-11 2万+
一. 代码空白区域添加代码 1. 根据SizeOfRawData - VirtualAddress的值来判断剩余空间是否足以添加代码 2. 根据SizeOfRawData + PointerToRawData来到空余部分 3. 将汇编指令转为硬编码:此处添加的代码是MessageBox,可以通过OD(走下角命令 bp MessageBoxA)来查看MessageBox的地址。 6a 00 6a 00 6a 00 6a 00 e8 00 00 00 00 e9 00 00 00 00 push 6
逆向 杂知识点
qq_45992231的博客
08-26 5817
对于一个可执行文件的来说 1.DOS头 对于DOS头关注两个偏移量00h,和3ch 前者的内容是一个WORD型数据标记了DOS头,为4D 5A h 后者的内容是一个DWORD型数据是PE头的地址,即可通过DOS头的003ch中的内容知道PE头的地址 2.PE头 在PE头中讨论偏移量时都是相对于PE头的首地址的偏移量 偏移量00h的单元内容是一个DWORD型数据,在有效的PE文件里为00 00 45 50h 在小段储存的模式下即为PE00 偏移量04h到18h的单元内容为结构体IMAGE_FILE_HEADE
PE文件实战之手动合并
weixin_43742894的博客
04-01 403
一丶简介 根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解. 以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤: 1.修改文件头表个数 2.修改表中的属性 .sIzeofRawData 数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并的以0填充. 二丶实战合并一个 1.修改文件头中
OPENCV学习笔记一:图像基本操作
01-20
标题学习opencv第一天: 一、图像基本操作: 1.图像读取:cv.imread(“文件位置:D:/python/picture.png” ) 函数功能:从文件路径中读取图片文件并显示出来,可读取的文件类型有JPG、JPEG、PNG、Webp等 函数原型:...
ansible学习笔记二:playbook
01-07
ansible学习笔记二:playbook环境:测试ansible-playbook1. 测试一例:2. 在yml内增加tags及handlers3. 在yml内增加变量:3.1 方法1,外部通过-e去指定:3.2 方法2,内部指定:3.3 方法3,用setup模块里的变量:3.4 ...
PHP学习笔记(二):变量详解
10-24
主要介绍了PHP学习笔记(二):变量详解,本文讲解了PHP变量简介、变量数据类型、常用函数、变量声明方法等内容,需要的朋友可以参考下
PHP学习笔记之php文件操作
01-20
一、fstat函数:显示文件的所有信息 ... if($fp=fopen($file_path,a+)){ $file_info=fstat($fp); echo ;... print_r($file_info);... echo 文件上次访问时间.date(Y-m-d H:i:s,$... 二、文件读取: //第一种: $con
VxWorks操作系统学习笔记
02-25
VxWorks操作系统中,任务可以直接地或者以共享方式访问大多数系统资源,为了维护各自的线程,每个任务必须保持有足够的上下文环境。(1)任务状态:就绪(READY):该状态时任务仅等待CPU的状态,不等待其他任何资源。...
PE结构-合并(附实例代码)
Alone的博客
10-24 445
合并: 1、拉伸到内存 2、将第一个的内存大小、文件大小改成一样 Max = SizeOfRawData>VirtualSize?SizeOfRawData:VirtualSize SizeOfRawData = VirtualSize = 最后一个的VirtualAddress + Max - SizeOfHeaders内存对齐后的大小 3、将第一个的属性改为包含所有的属性 (重点) 4、修改的数量为1 ...
滴水三期:day34.1-扩大、合并
Edimade的博客
05-02 574
一、添加代码的方式>二、合并思路>三、作业(1.扩大最后一个,保证程序正常运行(手动)>2.编码实现合并>3.定义函数,能够返回对齐后的大小)
RVA和RAW(文件偏移)的转换
跃然实验室
06-11 3278
表和——RVA和文件偏移的转换 RVA和文件偏移的转换的转换算法 (1)循环扫描表并得到每个在内存中的起始RVA(根据VirtualAddress字段),并根据的大小(SizeOfRawData字段)算出的结束RVA,最后比较判断目标RVA是否落在某个之内。 (2)如果目标RVA处于某个之内,那么用目标RVA减去的起始RVA,这样就得到了目标RVA相对于起始...
PE结构-扩大区(附实例代码)
Alone的博客
10-24 401
1、拉伸到内存 2、分配一块新的空间:SizeOfImage + Ex 3、将最后一个的SizeOfRawData和VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex 4、修改SizeOfImage大小 SizeOfImage = SizeOfImage + Ex 5.添加表属性 ...
PE文件打补丁
njhhack的专栏
08-25 1322
              --------给PE文件打补丁--------                        ------njhhack 我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁.做法是在空隙中插入我们的补丁代码. 下面我通过实例来教大家给win97的notepad.exe(记事本)程序来打个补丁,使得notepad.exe运行时先运行我的pach.
滴水逆向三期实践2:PE表解析
Rivival_S 的博客
09-22 1266
书接上回 表,就是在NT_HEADER之后紧接着的那块区域,有多个相同结构的表,整个区域就是个结构体数组,具体有多少个这样相同的表结构在COFF头(FILE_HEADER)的 NumberOfSections字段。 所以要遍历表,只需 for 循环 NumberOfSections 次即可 表各字段说明如下,后续有更详细的解析: 1、Name 8个字 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义. 注意:该名称并不遵守必须以...
2.获得Class对象表示实体的名称
c1776167012的博客
11-22 556
基于第一个实验,当我们获得一个类型的Class对象的时候,首先我们需要学习获取该类型的名称, 在Class类中有两个重要的方法: getName();它用于获取类的全称(包路径+类名) getSimpleName(); 它仅用于获取类名 注意:对于数组类型的名称的获取,二者有区别,我们需要了解。项目地址: https://gitee.com/yan-jiadou/study/tree/master/Java%E5%8A%A8%E6%89%8B%E5%81%9A%E4%B8%80%E5%81%9A/src/m
滴水三期:day33.1-新增、扩大-添加代码
Edimade的博客
05-02 1143
一、新增思路>二、手动新增添加代码>三、代码实现(1.编程实现:新增一个,并添加代码>2.编程实现:扩大最后一个,并添加代码)
C++学习笔记:STL顺序容器操作详解
"这篇学习笔记主要探讨了C++中的STL顺序容器,包括vector, list和deque,并介绍了如何向这些容器中添加元素。此外,笔记还提到了C++的学习资源和课程大纲,以及C++的发展历程和行业地位。" 在C++的Standard ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值