尝试用studyPE和x32dbg修改.exe文件

最新推荐文章于 2023-04-07 18:03:13 发布
最新推荐文章于 2023-04-07 18:03:13 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 笔记 编程语言 vb 文章标签: c++ visualstudio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40793198/article/details/118724938
版权
编程语言 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
笔记
9 篇文章 0 订阅
订阅专栏
vb
7 篇文章 0 订阅
订阅专栏

标题尝试用studyPE和x32dbg修改.exe文件

首先,准备一个exe文件,这里我使用自己用c++编写的exe文件,在程序中调用了LoadLibraryA函数动态加载dll文件,并使用GetProcAddress函数查询dll文件中的函数。采用这样的动态加载是为了简化试验过程,通常情况下,由于程序启动时会有地址重定位,因此,修改非动态加载的地址会比较繁琐。下面是源程序,编译后生成的程序就是我们的试验目标exe程序:
在这里插入图片描述
下面,启动x32dbg.exe,并点文件->打开,打开上面生成的exe文件;如图:
在这里插入图片描述
然后,点击窗口上的“符号”,并点选程序的主线程:
在这里插入图片描述
双击主线程会切换到cpu视图:
在这里插入图片描述
注意到上图下面的红色框,$1000是虚拟偏移地址,#400文件偏移地址,有了这两个地址后就有可能有针对的修改。但在x32dbg中难于修改,因为程序在壳中运行,地址都经过了重定位。我们需要另外的软件studyPE来进行静态修改。
再次,注意到上方的函数调用,如图:
在这里插入图片描述
第一条call上的一条指令push theconsoletest2.EF210C,这是传入函数参数,类似theconsoletest2.EF210C这样的文件名+点号+地址的是静态的参数,应是预先设定好值的;第二条call上有两条push指令,
且其中一条静态的,另一条push eax是动态的,eax应存有上一条函数的返回值,这两条push都是给函数传入参数。
然后查看push指令后的参数,这是一个地址,分析参数的偏移地址:分别为210C和211C,这是虚拟偏移地址。
在这里插入图片描述
打开studyPE程序,载入exe文件,如图:
在这里插入图片描述
下面,我们用studyPE来进行静态修改:
点击红色框的按钮来查找相应地址处的值:可以替换成其他的,也可以添加另外的。
在这里插入图片描述
我只是初初学会,这里只是试验,不是大佬,离高手还有一段距离,谢谢读文。

qq_40793198
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
StudyPE+ x64.exe
07-14
StudyPE+ x64.exe
fx-Manager-activation-bypass:x32dbg数据库文件绕过多个CASIO应用程序上的激活试用版
04-09
x32dbg数据库文件可绕过以下应用程序的激活/试用: fx-Manager PLUS订阅 fx-CG Manager PLUS订阅 在哪里可以找到文件? 根据要绕过的应用程序,每个单独的文件夹中都有一个自述文件。 为什么不提供.exe文件呢? ...
论用C语言写一个PE文件解释器(2)
Air_cat的博客
05-08 304
论用C语言写一个PE文件解释器(2) 前情提要: 在上一篇,我们讲了有关PE文件文件结构的一些基本概念。这东西其实就是一类结构体。 1、该怎么进行文件解释 这里我们不系统性地做知识的讲解,默认大家至少已经了解了基本的PE文件结构。那么一个PE文件解释器其实就是能够提取文件结构里的各个元素,并按照其应有的意义和格式显示出来。比如我们常用的StudyPE就是PE文件解释器的一种。而文件解释的流程可以...
通过修改PE文件的方式导入DLL(包含详细操作流程)
fanxiaoyao1的博客
06-20 1248
我们需要修改IDT表,增加一条我们字节DLL文件的IID以达到导入的目的。在NT头下IMAGE_DATA_DIRECTORY_ARRAY结构体,找到导入表,导入表第一个参数的值便为IDT的RVA RVA是程序的相对虚拟地址,我们要想在文件中精确定位IDT,必须要把RVA转位RAW,在上图中也叫FOA(文件偏移,文件中某个位置距离文件头的偏移),具体的计算公式:84CCh属于.rdata节区,VirtualAddress 和PointerToRawData可从节区头中获取。 VirtualAddress 是指
DLL注入与DLL劫持注入
qq_43082315的博客
10-08 2852
DLL注入和DLL劫持注入都可以让游戏运行我们编写的DLL
修改导入表载入DLL
白日梦
08-17 6667
关于修改EXE文件的导入表,实际上是一个很古老的话题了(如果您是此中高手,请不要在这篇文章浪费时间了,如果您发现了其中的问题,还请多多指教).一些PE相关的软件,也都实现了这样的功能,例如Stud_PE.    Stud_PE通过添加一个新节并将导入表连同添加的内容一并复制到新节的方法来实现对DLL的导入.    使用这样的方法只要是PE格式的EXE文件,都可以实现导入DLL的功能,但此方法,实现
x32dbg使用技巧随记
幸福之家的博客
04-07 3438
对于出入C/C++逆向领域的小伙伴,熟练使用x32dbg,x64dbg是很有必要的;本文章简单介绍了工具的使用情况,供大家一起学习;
PE实战教程之扩大节
weixin_43742894的博客
04-01 585
本篇文章复习扩大节,顾名思义就是将节表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大节? 2.如何扩大节? PE实战教程之扩大节为什么扩大节如何扩大节?扩大哪一个节?扩大节的步骤实战环节: 为什么扩大节 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大节。 如何扩大节? 我们先看节表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
Tworld bugku writeup
HLi1219的博客
12-26 439
ExeinfoP查壳,发现有upx壳,利用upx脱壳机脱壳 打开不能正常运行,查看了大佬的writeupTworld-Bugku-Reverse - Moominn - 博客园 (cnblogs.com) 使用 StudyPE+ 固定 PE 基址,后可以正常运行
尝试studyPE和x32dbg修改.exe文件01
qq_40793198的博客
07-15 932
标题尝试studyPE和x32dbg修改.exe文件01 首先,准备一个exe文件,这里我使用自己用c++编写的exe文件,在程序中调用了LoadLibraryA函数动态加载dll文件,并使用GetProcAddress函数查询dll文件中的函数。采用这样的动态加载是为了简化试验过程,通常情况下,由于程序启动时会有地址重定位,因此,修改非动态加载的地址会比较繁琐。下面是源程序,编译后生成的程序就是我们的试验目标exe程序: 下面,启动x32dbg.exe,并点文件->打开,打开上面生成的exe文件
StudyPE x86
11-30
学习PE格式的方法是自己先准备一个十六进制工具, 用这个工具打开一个EXE文件对照着学。强烈推荐你用Stud_PE 这款工具辅助学习PE格式。PE格式学习的重点是在输入表(Import Table)这块。Stud_PE工具界面:
StudyPE+ x86
05-01
StudyPE+ x86 32bit ,最新版ko
StudyPE+ x64 64bit
05-01
StudyPE+ x64 64bit,最新版ko
x64dbg x32dbg中文帮助文档
10-29
x64dbg x32dbg 帮助文档 x64dbg x32dbg 中文帮助文档
x64dbg / x32dbg
11-27
我用来调试一个应用程序运行时缺少哪些库
Win Dbg文件和使用教程.zip
09-11
windows蓝屏原因定位工具和使用教程,内含详细使用教程。
x32dbg x64dbgl_V2019_05
09-22
windows程序开发调试工具 x32dbg x64dbg zip资源包,下载后解压直接使用,可直接使用免安装或者安装都行
x32dbg修改特征码
最新发布
12-25
x32dbg是一款功能强大的逆向工程调试器,可以用来进行软件的逆向分析和修改。要修改特征码,首先需要打开目标程序并在x32dbg中进行加载。然后通过x32dbg的“搜索”功能找到目标程序中的特征码。可以使用“搜索内存”或“搜索模块”来定位特征码的位置。找到特征码后,可以使用x32dbg提供的“编辑”功能来修改特征码的数值。修改完成后可以通过“保存”功能保存对程序的修改。最后可以通过x32dbg提供的“运行”功能来验证修改后的特征码是否起作用。 需要注意的是,在修改特征码时要谨慎操作,因为错误的修改可能会导致程序崩溃或出现不可预测的行为。建议在进行特征码修改时,先备份目标程序,以防出现意外情况。另外,在对特征码进行修改时,最好是有一定的逆向工程和汇编语言基础,这样才能更加准确地理解和修改特征码。 总的来说,x32dbg是一个强大的逆向工程调试器,可以用来修改特征码。通过仔细的搜索和编辑功能,可以对目标程序中的特征码进行修改。但需要注意谨慎操作,并且最好有一定的逆向工程基础才能进行准确的修改

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_40793198

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值