PE新增一个节

已于 2022-08-31 12:01:37 修改
阅读量203 收藏
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: c语言 算法
于 2022-08-31 10:54:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/126619470
版权

过程

#include<stdio.h>
#include<windows.h>


DWORD Align(DWORD ad, DWORD alignment){
	if(ad % alignment == 0){
		return ad;
	}else{
		return ((ad / alignment) + 1) * alignment;
	}
}
DWORD UpHeader(PVOID* pFileBuffer, PVOID* pNewFileBuffer){
	return 0;
}
DWORD toLordPE(PSTR file_path, PVOID* pFileBuffer){
	FILE *pFile;
	DWORD FileSize;

	pFile = fopen(file_path, "rb");
	if(!pFile){
		printf("文件打开失败!\n");
		return 0;
	}

	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	*pFileBuffer = malloc(FileSize);
	if(!pFileBuffer){
		printf("内存分配失败!\n");
		return 0;
	}
	
	DWORD n = fread(*pFileBuffer, FileSize, 1, pFile);
	if(!n){
		printf("从文件读到内存失败!\n");
		return 0;
	}
	fclose(pFile);

	return FileSize;
}

DWORD AddSection(PSTR file_path, PVOID* pFileBuffer, DWORD FileSize, PVOID* pNewFileBuffer){

	int isUpHeader = 0;
	//DWORD FileSize = toLordPE(file_path, pFileBuffer);
	DWORD FileTotal = FileSize + 0x1000;
	printf("%x\n",*pFileBuffer);
	
	*pNewFileBuffer = malloc(FileTotal);
	printf("%x\n",pNewFileBuffer);
	printf("%x\n",*pNewFileBuffer);
	
	if(!pNewFileBuffer){
		printf("新增节内存分配失败!\n");
		return 0;
	}
	memset(*pNewFileBuffer, 0, FileTotal);	
	memcpy(*pNewFileBuffer, *pFileBuffer, FileSize);

	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	//printf("1\n");
	printf("%x\n",*((PWORD)*pNewFileBuffer));
	if (*((PWORD)*pNewFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("没有MZ标志!\n");
		//free(*pNewFileBuffer);
		return 0;
	}
	pDosHeader = (PIMAGE_DOS_HEADER)*pNewFileBuffer;
 
	if (*((PDWORD)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		//printf("%x\n",pDosHeader->e_lfanew);
		//printf("%x\n",*((PDWORD)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew)));
		printf("没有PE标志!\n");
		//free(*pNewFileBuffer);
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	


	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	for (DWORD i = 0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp++)
	{
		// for结束后,pSectionHeaderTemp指向最后一个节表的后面
		//printf("%x\n",i);
	}
	

	// pLastSectionHeaderTemp 指向最后一个节表
	PIMAGE_SECTION_HEADER pLastSectionHeaderTemp = pSectionHeaderTemp-1;
	
	/*
	PBYTE Temp = (PBYTE)pSectionHeaderTemp;
	printf("%x\n",*(Temp+0));
	printf("%x\n",*(Temp+1));
	printf("%x\n",*(Temp+2));
	printf("%x\n",*(Temp+3));
	*/
	
	// 节表后有没有多余空间
	// 多余空间是不是0
	if((DWORD)pSectionHeaderTemp + IMAGE_SIZEOF_SECTION_HEADER * 2 <= (pOptionHeader->SizeOfHeaders + (DWORD)(*pNewFileBuffer))){
		PBYTE pSTemp = (PBYTE)pSectionHeaderTemp;
		for(i = 0; i < (IMAGE_SIZEOF_SECTION_HEADER * 2); i++, pSTemp++){
			if(*pSTemp){
				// printf("%x\n",*(pSTemp+0));
				printf("节表后面有数据,不能插入节表,尝试头抬升!\n");
				// UpHeader(&pFileBuffer, &pNewFileBuffer);
				isUpHeader = 1;
				break;
			}
		}
		printf("节表后有足够空间,且数据为0\n");
	}else{
		printf("节表后没有多余空间,尝试头抬升!\n");
		isUpHeader = 1;
		// UpHeader();
	}

	if(isUpHeader){
		if((DWORD)pNTHeader - (DWORD)*pNewFileBuffer - sizeof(IMAGE_DOS_HEADER) >= IMAGE_SIZEOF_SECTION_HEADER * 2){

			printf("抬升头\n");
			memcpy((PVOID)((DWORD)*pNewFileBuffer + sizeof(IMAGE_DOS_HEADER)), pNTHeader, (DWORD)pSectionHeaderTemp - (DWORD)pNTHeader);
			pDosHeader->e_lfanew = sizeof(IMAGE_DOS_HEADER);

			pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew);
			pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
			pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
			pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);	


			pSectionHeaderTemp = pSectionHeader;
			for (DWORD i = 0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp++)
			{
				// for结束后,pSectionHeaderTemp指向最后一个节表的后面
				//printf("%x\n",i);
			}
			// pLastSectionHeaderTemp 指向最后一个节表
			pLastSectionHeaderTemp = pSectionHeaderTemp-1;

			if (*((PDWORD)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
			{
				printf("(抬升后)没有PE标志!\n");
				return 0;
			}
			printf("抬升成功\n");
			memset(pSectionHeaderTemp, 0, IMAGE_SIZEOF_SECTION_HEADER * 2);
		}else{
			printf("(DOS Sub)没有足够的空间插入节表,不可以头抬升!\n");
			return 0;
		}
	}

	printf("插入节表\n");
	memcpy(pSectionHeaderTemp, ".tttt", 8);
	pSectionHeaderTemp->Misc.VirtualSize = 0x1000;
	// pSectionHeaderTemp->VirtualAddress = pOptionHeader->SizeOfImage;
	DWORD z = pLastSectionHeaderTemp->Misc.VirtualSize > pLastSectionHeaderTemp->SizeOfRawData ? pLastSectionHeaderTemp->Misc.VirtualSize : pLastSectionHeaderTemp->SizeOfRawData;
	pSectionHeaderTemp->VirtualAddress = pLastSectionHeaderTemp->VirtualAddress + Align(z, pOptionHeader->SectionAlignment);
	pSectionHeaderTemp->SizeOfRawData = Align(0x1000, pOptionHeader->FileAlignment);
	pSectionHeaderTemp->PointerToRawData = pLastSectionHeaderTemp->PointerToRawData + pLastSectionHeaderTemp->SizeOfRawData;
	pSectionHeaderTemp->Characteristics = 0x60000020;

	// 修改节表数量
	pPEHeader->NumberOfSections++;
	// 修改SizeOfImage
	pOptionHeader->SizeOfImage += Align(0x1000, pOptionHeader->SectionAlignment);
	

	return FileTotal;
}


BOOL Memory2File(PVOID pNewFileBuffer, DWORD size, PSTR write_path){
	FILE *fp;
	fp = fopen(write_path, "wb");
	if(!fp){
		printf("(MemoryToFile)写入失败!\n");
		return 0;
	}
	printf("mtf :%x\n", pNewFileBuffer);
	fwrite(pNewFileBuffer, size, 1, fp);
	fclose(fp);
	return 1;
}

int main(){
	PSTR file_path = "C:\\Users\\lolol\\Desktop\\geek2.exe";
	PSTR write_path = "D:\\4.exe";
	PVOID pFileBuffer = NULL;
	PVOID pNewFileBuffer = NULL;

	DWORD FileSize = toLordPE(file_path, &pFileBuffer);
	printf("文件在磁盘上的大小:%x\n", FileSize);
	printf("%x\n",pFileBuffer);

	DWORD FileTotal = AddSection(file_path, &pFileBuffer, FileSize, &pNewFileBuffer);
	printf("%x\n",FileTotal);

	if(FileTotal){
		BOOL IsSuccess = Memory2File(pNewFileBuffer, FileTotal, write_path);
		if(IsSuccess){
			printf("增加成功!\n");
		}
	}else{
		printf("增加失败!\n");
	}

	// 释放空间
	if(pFileBuffer){
		free(pFileBuffer);
	}
	if(pNewFileBuffer){
		free(pNewFileBuffer);
	}
	return 0;
}
-Sw0rd-
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件添加.zip
08-19
使用C语言PE文件末尾添加新并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE结构-----新增
mysqld521的博客
05-28 123
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字))》=80字。可以直接在最后的表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字进行00的填充。
逆向-PE文件添加新区块
写代码的小阿帆的博客
05-27 652
该部分是加壳技术的基础,创建新区段后,将壳代码装入该区段,并在程序运行时先行执行,如果新区段的创建注入完成了,可以说加壳也成功了一半。 思路分析 经过前面的学习我们会发现,所谓PE文件也只是由一些基础的数据结构构成的,只是他们的变量名太长,整体结构稍许复杂让我们觉得比较恼火,其本质并不难。所以对PE文件的修改,我们只需要遵循其本质规律与特征即可。 在添加区块之前,我们要修改PE文件中的一些相关“配置”,区块的有关信息分别存储在PE文件头的FILE_HEADER的区块数量、区块表中的区块数据,OPTINONA
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1335
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下新增表的步骤1.判断是否有足够的空间增加一个.2.新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增表的属性.Virt.
8.PE文件之新增
kernelhack
10-28 4081
目录 新增PE文件中哪些值会有影响? 新增步骤: 手动新增 代码新增 如果需要在PE文件中构建一端SHELLCODE(默认区剩余空间不足情况下),可以通过新增来解决此问题.通常大部分加壳软件都会新增来移动或者备份各种目录项数据. 新增PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果新增需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增后在内存中的大小
PE增加一个
qq_45694932的博客
07-10 362
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
PE结构新增一个
qq_45992231的博客
09-02 83
吾爱破解论坛里面ly610abc的做法 https://www.52pojie.cn/thread-1410348-1-1.html 关于第一步中判断是否有足够的空间来添加表是指 PE头后紧跟着的就是表,而表经文件/内存对齐后就是了,所以因为对齐的缘故,表和第一个之间有一定的空隙,若这些空隙能够插入一个新的表就能够按照上面的步骤来做。若不能就要好多的偏移,非常麻烦 ...
PE知识复习之PE新增
weixin_30302609的博客
10-02 415
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
PE文件区添加并弹出简单的对话框
05-26
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西) PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
ST推出一个新8兆位串行闪存M25PE80
11-26
意法半导体(ST)推出一个新8兆位串行闪存M25PE80,新产品不仅能够提高网络管理能力,同时还为基于Intel 945 Express芯片组的系统设计人员提供一个支持便携式电脑、台式机和服务器的先进性能和增强型功能的BIOS解决...
PE下一键恢复
01-29
电脑PE下一键恢复工具.
[PE结构] 手工给32位PE文件增加一个
輚至消亡
07-24 1294
0x01 去除重定位表 为了更好的理解PE文件结构,首先得了解增加一个区需要修改什么,本片博客先去除.reloc区再增加一个新的.new区。 FileHeader.NumberOfSections 区数量 OptionalHeaders.SizeOfHeaders PE头的大小(因为增加了一个新的IMAGE_SECION_HEADER) OptionalHeaders.SizeO...
PE文件的修改----增加
weixin_51738129的博客
02-01 928
PE文件的修改
PE新增
hambaga的博客
05-13 700
测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个表后面并不是0,而是有一些奇怪的数据,以32位notepad为例,最后一个表后面的数据是这样的: 对于其他程序,如ipmsg,还有一个我自己写的32位GUI程序,新增后都可以正常运行。 对于这个问题,解决方案可以改为扩大最后一个,或者让NT头上移,就是覆盖掉原来dos stub那部分数据,然后改一下e_lfanew,由于不是本次作业的重点,我就不写了。 下面是函数代码,只包含添加的函数,其他函数就不贴了,上一篇博客有
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 377
手工解析PE(新增)
PE中,新增,添加代码
weixin_34381666的博客
03-14 725
PE中,新增,添加代码 一、先判断表后是否有空闲位置,添加表信息,必须多出两个表位置,最后以零结尾。 二、新增后,需要修改以下信息   1、添加一个,可以复制一份,最好是拥有可执行属性的,如.text。   2、在表区,新增的后面,填充一个,用零填充。   3、修改标准PE头中的数量。   4、修改SizeOfImage的大小。   5、在原有数据的后面,新...
通过添加新的来感染PE文件
dasgk的专栏
08-26 1932
所谓感染PE文件,其实就是修改PE文件,在不改变其原有功能的基础上,添加我们自己的代码,在这里我们将PE文件看作是一般的文件,只是在修改时,要根据PE文件结构 来进行update,否则的话就会破坏原有程序。这里我们不再对PE文件结构进行解释说明,请读者自行百度哈      现在我们说下添加区段的一般步骤      一.修改PE文件头部信息,需要修改的有IMAGE_FILE_HEADER的Nu
PE文件操作-末尾添加
yeshahayes的博客
08-08 3188
有时候为了某些原因,需要在PE末尾添加,比如加壳,补丁等等,需要对PE文件进行扩展。 在末尾添加是最简单的方式,只需要做如下修改: 修改FILE_HEADER中的数目字段 修改OPTIONAL_HEADER中映像大小字段 在描述符数组中添加新描述符 在文件末尾添加新数据 首先找到文件最后一个并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个的结束:
计算机病毒如何得知一个文件是不是PE文件?
最新发布
05-29
PE文件的头部信息包含在文件开头的DOS头和PE头中,其中DOS头包含了一个MZ标志,PE头包含了一个PE标志。计算机病毒可以通过读取文件头部信息,查看MZ和PE标志来判断一个文件是不是PE文件。如果是PE文件,病毒可以继续...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值