给PE文件增加可执行代码

最新推荐文章于 2022-03-02 16:42:25 发布
最新推荐文章于 2022-03-02 16:42:25 发布
阅读量546 收藏 1
点赞数
分类专栏: 应用软件 文章标签: PE c++ 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37860866/article/details/61422212
版权
本文探讨了如何为PE文件添加可执行代码,以实现软件壳的功能。通过学习PE文件格式,作者指出可以在已有区段的空隙或新增区段中插入代码。如果空隙不足以容纳代码,则创建新的Section。文章通过图表详细阐述了这一过程。
摘要由CSDN通过智能技术生成

  最近想写一个软件壳,需要给PE文件增加一个区段(Section),来执行一些初始化的工作。只要先学习一下PE文件的格式和结构,有个大概了解后,我想就能很容易写出相关代码。网上有很多PE格式的介绍,这里就不多介绍,直入主题。

  增加的执行代码有两个地方可以放,一个是现有PE文件区段在数据对齐时有一些空隙,这样的空隙一般只能存放比较小块的代码,优点是对原有的PE文件数据改动比较小,大小也不会改变;另一个就是增加一个新的区段,这样可以放任意你想放置的代码,发挥的空间也大一些。本文的方法是先判断是否有足够的空隙来存放代码,如果没有,就增加一个Section来存放。

下面这张图,详细说明这个过程

最低0.47元/天 解锁文章
qq_37860866
关注
专栏目录
PE文件间隙中加入自己的代码-全程步骤
NewUserBusyCat的专栏
04-21 1815
PE文件的间隙:PE文件在磁盘上存放时其各个节是按页的倍数对齐的(磁盘一页为200h,内存一页为1000h),当一个节不是页的整倍数时其尾部用0填充,这就是PE的间隙。本示例是在.text节加入了可执行代码,在.idata节加入了外部引用函数,在.reloc节加入了重定位地址。本示例MyPE.exe是用VS2008自动生成的SingleWindow样式的程序。为方便理解,附上部分源码:LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wPara
PE文件上添加执行代码
liumengcheng的专栏
01-29 2742
原理 1,将添加的代码写到目标PE文件中,可以把这个代码插入代码所处的的section的空隙中,也可以通过添加一个新的section附在原文件的尾部 2,PE文件原来的入口地址必须被保存在添加的代码中,这样,这段代码执行完以后可以转移到原始文件执行 3,PE文件中的入口地址需要被修改,指向新添加代码中的入口地址 4,PE文件中的一些值需要根据情况做相应的修改,以符合修改后的PE文件
PE文件中添加可执行代码
weixin_43575859的博客
03-19 1352
原理: 将代码添加到目标PE文件中有两种方法,一种是将代码插入到原文件代码的节的空隙中,还有一种办法是在节的末尾新增一个节,当然这两种方法都有局限性,第一个必须得保证节与节之间有足够的空隙插入我们的代码,第二个必须得保证节表末尾有足够的空隙让我们再插入一个节表。 我们既然要插入代码,那肯定就是为了执行。所以我们得让文件执行我们的代码再去执行原来的代码,因此我们需要将原来的执行入口保存在我们的...
PE文件中嵌入代码
优秀的田的博客
05-23 1212
1)开发工具:VMware虚拟机(装有windows xp操作系统),VS2005。2)安装和配置过程:现在VMware中装好windows xp,在xp的环境下安装VS 2005, windowsXP和VS 2005均按照默认配置安装(请尽量使用windowsxp环境,若是使用WIN7下的notepad.exe可能会出现错误)。3)工程文件的目录结构和文件:工程文件分为文件和源文件,目录结构如...
PE文件写入自己想要执行代码
weixin_43754657的博客
03-02 337
PE文件写入自代码一个PE文件中写入MessageBox()方法 查看MessageBox()的硬编码 构造需要写入的代码 6A 00 6A 00 6A 00 6A 00 E8 E4 E9 95 65 E9 57 36 00 00 在PE文件 F90 处写入我们想要执行的硬编码(写在PE的空白数据) 公式:要跳转的地址 - E8指令当前的地址 - 5 ...
PE执行文件时间戳转换工具
12-13
标题中的“PE执行文件时间戳转换工具”是一种专门用于修改PE文件时间戳的实用程序。这个工具可能允许用户根据需要调整文件的时间戳信息,例如将时间戳设置为特定的日期,以便在测试环境中模拟不同的时间环境,或者...
PE文件中嵌入可执行代码的两种方法
PE文件结构复杂,包含多个部分如DOS stub、PEPE文件PE可选以及多个节(Section)用于存储不同类型的文件数据,如可执行代码、初始化数据和资源。 文章首先介绍了PE文件的基本结构,包括DOS header(DOS...
关于PE执行文件修改.rar_PE修改_pe_pe文件修改
09-23
PE(Portable Executable)可执行文件格式是Windows操作系统中用于存放程序代码、资源和元数据的标准格式。在Windows系统中,无论是.exe还是.dll文件,都遵循PE格式。本主题将深入探讨PE文件的结构以及如何对其进行...
PE文件后添加代码
12-23
罗云彬的用汇编修改PE文件增加代码修改入口
PE——向空白节添加代码
z1041259928的博客
03-13 616
初学这个部分,记下一个简单列子,后面再补充其他成分 向一个程序添加一个对话框,让这个程序执行的时候,先执行我们加入的对话框 思路:在代码节的空白区域添加我们要加入的代码,因为代码节的属性就是可读可写可执行,添加到其他节需要自己修改属性, E8 和E9 两个硬编码分别是call和jump 都是跟4个字节的指令,设这4字节为X,这个X=程序真正要跳转的地址减去指令下一条指令的地址 6A是push指...
PE执行文件格式
程序狗的成长之路
12-16 997
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。 ---------
手动修改PE文件:添加自定义代码
当我在写代码的时候我在写什么
11-06 4983
PE文件里有很多位置可以添加自己的代码(其实就是感染PE),凡是用不到的地方都能加。想到的位置有(在文件中不是在内存中):Dos和Nt之间、每个节末尾的Padding(间隙)、新增节分配在文件末尾的空间;其它覆盖数据的方法不安全容易引起错误还是算了。添加后还要在程序中设置跳转以执行自己的代码,有用跳转和改入口点的方法。总之方法很多,下面举个例子: 1. 准备 在这里我要加
PE文件在任意空白区域添加代码
CleanMe的博客
12-24 737
环境: windowsXP 工具: 吾爱版OD,winhex , vc6++ 当然,知道一些PE文件的知识更好 在最后有介绍一点PE文件结构的知识,有助于理解此文章 目标:在一个程序中的任意空白区域添加代码 ( 转换为机器码 ) 如在文件与节数据之间添加代码: 在此位置添加一个message弹框的机器码,使程序执行前先弹出一个消息框。 先查看message消息框的汇编代码 在00401032处先把message函数方法需要四个参数压入栈中,然后call直接调用message函数 但是m.
pe中加入一个section
loverfuping的专栏
09-15 701
<br />在给pe文件中加入一个section,要是运行windows提示为非法的win32程序,你得看看你有没有正确地给SizeOfImage赋值
【exe加壳:修改执行文件PE增加一节,修改程序入口地址为该节】
Laughing
11-28 3765
一:PE增加节 使用工具为:LordPE、010Editor、CFF、OD List item 先用 010Editor 查看节表部分是否足够长度加入新的节表目录 从图中看出,节表后面还有空余地方,可存放新增目录项 用 LordPE 查看PE部信息,增加一节,在 setions 中修改新增节表的属性 原始PE信息:可得原始节表中有9项 修改节表项数为10节 然后点击Setions按钮,在里面修改新增节的相关属性(这里的相关原理有兴趣可自行了解) 进去后可看见最后一节表项名字和其他相关数据
基于VC++实现PE修改编程
weixin_30610755的博客
05-11 244
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。 DOS-stub(DOS...
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 3062
 不赖猴的笔记,转载请注明出处。一、        Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOSPE和Section。2. 然后根据PE里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定
手动修改PE及反调式
qq_33526144的博客
12-13 1280
操作过程 1.运行程序,首先看到PE的开始地址(00 01倒过来为01 00),PE大小(E0) 2.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值