PE文件注入

最新推荐文章于 2024-02-01 11:43:47 发布
最新推荐文章于 2024-02-01 11:43:47 发布
阅读量725 收藏 2
点赞数 1
分类专栏: C 网络安全 文章标签: window
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40710190/article/details/107337170
版权

PE文件注入

首先开始窝们不得不提一下PE

PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。“portable executable”(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。当然,移植到不同的CPU上PE执行体必然得有一些改变。所有 win32执行体 (除了VxD和16位的Dll)都使用PE文件格式,包括NT的内核模式驱动程序(kernel mode drivers)。因而研究PE文件格式给了我们洞悉Windows结构的良机。

这些东西都是由编译器编译的时候做好了的。

而窝们现在做的就是把已经编译好的exe文件加入窝们想要加入的代码。那么窝们就不得不对PE进行解析。

直接上一段代码来进行说明,加入的代码是Win32程序的MessageBoxA()

代码

function.h

首先是函数声明

#include<Windows.h>
#include <iostream>
#include<string.h>
#include<stdlib.h>
#include<stdio.h>
#include<windows.h>
#define MESSAGEBOX 0x76F91060
//读取文件
LPVOID ReadPEFile(LPSTR lpszFile, PDWORD pFileSize);
/*申请内存,返回内存地址*/
LPVOID ImageBuffer(LPVOID pFileBuffer);
/*内存代码注入
返回值说明注入的是哪个节区*/
size_t addCode(LPVOID pImageBuffer);
/*还原成文件格式*/
VOID ImageToFile(LPVOID pFileBuffer,LPVOID pImageBuffer, size_t i);
/*内存存盘*/
VOID FileToExe(LPVOID pFileBuffer, DWORD pFileSize);

接下来是函数实现

使用到目录路径的,窝都用Path代替了,比如要使用ReadPEFile(Path, pFileSize)。

MESSAGEBOX的宏是用静态分析工具找到的函数地址。直接定义为宏方便使用。

function.cpp

#include"function.h"
LPVOID ReadPEFile(LPSTR lpszFile, PDWORD pFileSize)	//LPVOID是一个指向任何类型的指	
{
   
	FILE* pFile = NULL;
	DWORD fileSize = 0;
	LPVOID pFileBuffer = NULL;

	//打开文件	
	pFile = fopen(lpszFile, "rb");
	if (!pFile)
	{
   
		printf(" 无法打开 EXE 文件! ");
		return NULL;
	}
	//读取文件大小		
	fseek(pFile, 0, SEEK_END);
	fileSize = ftell(pFile);
	*pFileSize = fileSize;
	fseek(pFile, 0, SEEK_SET);
	//分配缓冲区	
	pFileBuffer = malloc(fileSize);

	if (!pFileBuffer)
	{
   
		printf(" 分配空间失败! ");
		fclose(pFile);
		return NULL;
	}
	/*将文件数据读取到缓冲区
	ize_t是标准C库中定义的,在64位系统中为long long unsigned int,
	非64位系统中为long unsigned int。*/
	size_t n = fread(pFileBuffer, fileSize, 1, pFile);
	if (!n)
	{
   
		printf(" 读取数据失败! ");
		free(pFileBuffer);
		fclose(pFile);
		return NULL;
	}
	//关闭文件	
	fclose(pFile);
	return pFileBuffer;
}

LPVOID ImageBuffer(LPVOID pFileBuffer) {
   
	LPVOID pImageBuffer = NULL;
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader =
最低0.47元/天 解锁文章
小莫神和他的的
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE_导入表注入
qq_42363151的博客
09-25 157
PE
网络靶场实战-PE注入
最新发布
蛇矛实验室
04-15 629
PE 文件中,重定位表位于 ". reloc" 节。FileHeader 结构 (IMAGE_FILE_HEADER)中给出了节表的数量,通过循环将 PE 文件中的所有节表数据拷贝 (memcpy)到分配的内存中,每个节表数据从 IMAGE_SECTION_HEADER.PointerToRawData 开始复制,复制的大小为 IMAGE_SECTION_HEADER.SizeOfRawData,复制到分配内存基地址偏移为 IMAGE_SECTION_HEADER.VirtualAddress 处。
PE文件硬编码代码注入
yuge1123的博客
12-03 668
以下适合有PE基础的人看,最起码要知道PE的基本结构和rva以及foa之间如何相互转换,不然会看的迷迷糊糊首先我们需要准备一个程序,待会将代码注入这个程序中 随便编写一个简单的程序,将随机基址给关闭 程序编译完成之后就是一堆二进制的数据,如果我们想将代码注入到这个程序中,我们也只能以二进制的形式进行注入,不能像编码高级语言一样,比如我们想将 这段代码注入进去,要求是在程序运行时首先运行这段代码,然后再跳转到之前的代码逻辑 我们想将这段代码注入进去的话就只能将这段代码翻译成二进制的形式,然后再到这个exe的
PE文件结构详解
神棍之路
07-20 9529
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1409
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
PE文件注入 PE文件详解
02-28
这篇文章是关于PE文件注入技术的; 文章不但详细讲解了PE文件的结构; 而且讲述了如何在PE文件中进行注入代码的技术;
PEfile_infection:Windows 32位的PE文件注入
02-16
恶意软件PE文件感染 它仅适用于32位应用程序。 Windows SDK版本10.0 工具集VS2019(v142) ISO C ++ 17
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一...
改写PE文件导入表加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
编辑/查看DLL文件PE导出表工具ExpX-v0.5
05-21
ExpX是一个编辑/查看PE文件导出表的工具。 利用它可以方便的对PE文件的导出表进行增、删、改的操作,现在它还可以用于给没有导出表的文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等...
PE文件解析
qq_38933606的博客
08-10 558
PE文件磁盘分布和解析
PE文件结构 安全分析与恶意软件研究 逆向工程 优化与性能调整 兼容性与移植性分析
chenhao0568的专栏
02-01 1595
对于软件开发、安全分析、逆向工程等领域的专业人士来说尤其重要。PE文件格式是Windows操作系统中用于可执行文件、动态链接库(DLLs)、以及其他文件类型(如FON字体文件等)的标准格式。:开发者可以更好地理解自己的应用程序如何被操作系统加载和执行,以及如何与操作系统的其他部分交互。这对于性能优化、故障排查和高级功能实现(如动态加载模块)来说至关重要。:安全研究人员和恶意软件分析师需要了解PE文件结构,以便他们可以识别和分析潜在的恶意代码。
PE文件格式(一)
周星星的博客
10-18 8009
PE文件Windows操作系统下使用的可执行文件文件格式。PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE代码注入
windows小菜鸡的博客
08-15 1397
PE文件入口地址EntryPoint指向了PE文件开始执行的位置,关于PE文件的具体格式,大家可以自行百度。 本代码主要实现了在32位可执行程序中注入了一个弹窗 。其主要原理是修改EntryPoint地址处的内容,指向自己代码的地方,然后执行完毕后,再跳转到原入口的地址。 其中值得注意的几点: (1)需要关闭PE的地址随机化功能,可以通过修改OptionHeader头中的DllCharacteristics = 0x8100,来绕过地址随机化。 (2)计算E8和E9的时候,CALL 偏移:跳转地址 = 当前
PE格式文件的代码注入
谢启东的专栏
05-05 8016
 PE格式文件的代码注入   本文演示了在不需要重新编译源代码的情况下,怎样向Windows PE(Portable Executable)格式的文件(包括EXE、DLL、OCX)中注入自己的代码。 程序如图:         前言       或许,你想了解一个病毒程序是怎样把自身注入到一个正常的PE文件中的,又或者是,你为了保护某种数据而加密自己的P
修改PE文件注入dll
九层台
10-09 4405
修改思路 PE文件中导入dll信息以结构体列表形式存储在IDT中。只要将myhack.dll添加到列表尾部即可。 IDT结构 IDT的描述在IMAGE_OPTION_HEADER里面的IMPORT Table,通过size可以确定是否有足够的空间让我们添加 IDT是由IMAGE_IMPORT_DESCRIPTION(简称IID)结构体组成的数组,数组末尾以NULL结构体结束。每个IID结构体为0...
Dll注入--修改PE文件
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
PE文件代码注入和软件破解实验
04-24
对于PE文件代码注入和软件破解实验,我认为这些行为是违法的。PE文件代码注入通常是指将恶意代码注入到可执行文件中,用于攻击用户的电脑或窃取信息。而软件破解则是非法修改软件以绕过认证授权的安全措施,从而非法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值