PE_扩大节

最新推荐文章于 2024-06-12 10:00:23 发布
最新推荐文章于 2024-06-12 10:00:23 发布
阅读量137 收藏
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/127037833
版权

1、拉伸到内存(只是逻辑上,实际代码操作并不需要这一步)

2、分配一块新的空间:SizeOfImage + sizeof ( 新增的大小)

3、扩大节,修改最后一个节的 SizeOfRawData 和 VirtualSize

4、修改SizeOfImage大小(内存对齐)

扩大节

#include<stdio.h>
#include<windows.h>

DWORD toLordPE(PSTR file_path, PVOID* pFileBuffer){
	FILE *pFile;
	DWORD FileSize = 0;
	PVOID pFileBufferTemp = NULL;

	pFile = fopen(file_path, "rb");
	if(!pFile){
		printf("不能打开文件!\n");
		return 0;
	}
	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	pFileBufferTemp = malloc(FileSize);
	if(!pFileBufferTemp){
		printf("不能分配内存空间!\n");
		return 0;
	}

	fread(pFileBufferTemp, FileSize, 1, pFile);
	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;
	fclose(pFile);

	return FileSize;
}

DWORD Align(DWORD ad, DWORD alignment){
	if(ad % alignment == 0){
		return ad;
	}else{
		return ((ad / alignment) +1) * alignment;
	}
}
DWORD EnlargeSection(PVOID* pFileBuffer, PVOID* pNewFileBuffer, DWORD FileSize, DWORD exSize){

	DWORD FileTotal = 0;
	PVOID pNewFileBufferTemp = NULL;

	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
 
	if (!(*pFileBuffer))
	{
		printf("(TestEnlargeSection)Can't open file!\n");
		return 0;
	}

	
	//判断是否是有效的MZ标志	
	if (*((PWORD)(*pFileBuffer)) != IMAGE_DOS_SIGNATURE)
	{
		printf("(TestEnlargeSection)No MZ flag, not exe file!\n");
		return 0;
	}
	pDosHeader = (PIMAGE_DOS_HEADER)(*pFileBuffer);
 
	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)(*pFileBuffer) + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("(EnlargeSection)Not a valid PE flag!\n");
		return 0;
	}
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pFileBuffer) + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);


	

	FileTotal = FileSize + Align(exSize, pOptionHeader->FileAlignment);
	*pNewFileBuffer = malloc(FileTotal);
	if(!pNewFileBuffer){
		printf("(enlargeSection)内存分配失败\n");
		return 0;
	}
	memset(*pNewFileBuffer, 0, FileTotal);
	memcpy(*pNewFileBuffer, *pFileBuffer, FileSize);

		

	pDosHeader = (PIMAGE_DOS_HEADER)(*pNewFileBuffer);

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pNewFileBuffer) + pDosHeader->e_lfanew);
	
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);

	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	//遍历到最后一个节表
	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	for (DWORD i = 1; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp++)
	{
		// i=0,for结束后,pSectionHeaderTemp指向之后一个节表的后面,不是最后一个节表
		// i=1,pSectionHeaderTemp指向的是最后一个
	}


	

	DWORD max = pSectionHeaderTemp->Misc.VirtualSize > pSectionHeaderTemp->SizeOfRawData ? pSectionHeaderTemp->Misc.VirtualSize : pSectionHeaderTemp->SizeOfRawData;

	pSectionHeaderTemp->Misc.VirtualSize = Align(max + exSize, pOptionHeader->FileAlignment);
	pSectionHeaderTemp->SizeOfRawData = Align(max + exSize, pOptionHeader->FileAlignment);
	pOptionHeader->SizeOfImage = Align(pSectionHeaderTemp->VirtualAddress + pSectionHeaderTemp->Misc.VirtualSize, pOptionHeader->SectionAlignment);


	return FileTotal;
}

BOOL Memory2File(PVOID pNewFileBuffer, DWORD size, PSTR write_path){
	FILE *fp;
	fp = fopen(write_path, "wb");
	if(!fp){
		printf("(MemoryToFile)写入失败!\n");
		return 0;
	}
	printf("mtf :%x\n", pNewFileBuffer);
	fwrite(pNewFileBuffer, size, 1, fp);
	fclose(fp);
	return 1;
}

int main(){
	PSTR file_path = "C:\\Users\\lolol\\Desktop\\3.exe";
	PSTR write_path = "C:\\Users\\lolol\\Desktop\\5.exe";
	PVOID pFileBuffer = NULL;
	PVOID pNewFileBuffer = NULL;

	DWORD FileSize = toLordPE(file_path, &pFileBuffer);
	printf("文件大小:%x\n", FileSize);

	DWORD FileTotal = EnlargeSection(&pFileBuffer, &pNewFileBuffer, FileSize, 0x1500);
	printf("%x\n",FileTotal);

	if(FileTotal){
		BOOL IsSuccess = Memory2File(pNewFileBuffer, FileTotal, write_path);
		if(IsSuccess){
			printf("扩大成功!\n");
		}
	}else{
		printf("扩大失败!\n");
	}

	return 0;
}
-Sw0rd-
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE扩大
m0_63206880的博客
03-29 539
注意:扩大最好在最后扩展 不然要修改好多东西 一:扩大 1、拉伸到内存 2、分配一块新的空间:SizeOfImage+Ex 3、将最后一个的SizeOfRawData 和 VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex 4、修改sizeofimage大小 Sizeofimage= sizeofimage+Ex 下面是实现代码: ...
PE知识复习之PE扩大
weixin_30619101的博客
10-01 256
              PE知识复习之PE扩大 一丶为什么扩大   上面我们讲了,空白区添加我们的代码.但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大.   扩大其实很简单.修改数据对齐后的大小即可. 并且在PE文件中添加0数据进行填充即可. 首先看一下我们的表 typedef struct _IMAGE_SECTION_HEADER { B...
PE文件扩大
istream1的博客
12-04 446
PE文件扩大
PE扩展方式感染
weixin_33989058的博客
11-14 135
原理是:修改最后一个并给最后一个增加长度,然后在增加的区域中间写入代码,本方法的好处是相对前面一种方法可以写入更多的代码,并且拥有更好的兼容性。。 code: CodeprogramPE_Infection;{CodeBy箫竹}{$APPTYPECONSOLE}usesSysUtils,windows,classes;constDEBUG=TRUE;...
9.PE文件之扩大
kernelhack
10-28 3686
目录 扩大PE文件中哪些值会有影响? 扩大步骤: 手动扩大 代码扩大 通常扩大最后一个比较方便,假设扩大第一个则后续所有对应的数据都需要更改. 扩大PE文件中哪些值会有影响? 最后一个IMAGE_SECTION_HEADER结构成员中SizeOfRawData和VirtualSize. IMAGE_OPTIONAL_HEADER → SizeOfImage(扩大后在内存中的大小需要修正). 扩大步骤: 将最后一个文件中的大小修改为当前文件大小加新增大小(文
pe.rar_PE__pe_pe文件实例
09-14
PE文件分析例子
Win10PE_x64_远程+维护技术员专用版A++
05-14
Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+...
PE.rar_PE_
09-21
PE文件查看器,查看PE文件的一些基本特征
PE_Info.rar_PE加壳_pe_pe_info_pe文件_加壳
09-23
PE文件加壳信息的检测,可以检测出是哪个编译器编译和加壳。
pe.rar_PE 感染_pe_感染
09-24
Windows PE 文件感染测试程序可以利用在写病毒感染时使用。。
PE结构-扩大区(附实例代码)
Alone的博客
10-24 393
1、拉伸到内存 2、分配一块新的空间:SizeOfImage + Ex 3、将最后一个的SizeOfRawData和VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex 4、修改SizeOfImage大小 SizeOfImage = SizeOfImage + Ex 5.添加表属性 ...
PE文件扩大的代码实现
qq_31125257的博客
12-11 733
一、扩大(一般只适合扩大最后一个) //1、拉伸到内存 //2、重新分配一块新的内存:SizeOfImage + Ex //3、将最后一个的SizeOfRawData和VirtualSize改成N, // N=SizeOfRawData=VirtualSize=(SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex //4、修改sizeofimage大小,sizeofimage = sizeofimage + Ex 二、代码实现 PVOID EnlargeLast
PE新增|扩大|合并
个人笔记
05-21 520
PE操作新增实现步骤扩大实现步骤合并实现步骤 新增 PE结构使用: SizeOfImage NumberOfSections VirtualSize VirtualAddress SizeOfRawData PointerToRawData 实现步骤 -判读那是否有足够空间,可以添加一个表 SizeOfHeaders-(DOS+DOS STUB+NT头+已存在表) >=2个表大小 满足才可添加,否则提升PE头 -完善新增表内容 -在新添表后面填充一个(表)大小的00 -修改PE
手动修改PE文件:修改
当我在写代码的时候我在写什么
11-06 3972
目前想到的关于修改表就是新增表移位,其它的改的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增 现在很多解析PE格式的软件都有添加的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos头->DosStub->NT头->表->Padding->内容。 在表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
PE实战教程之扩大
weixin_43742894的博客
04-01 596
本篇文章复习扩大,顾名思义就是将表的大小扩大,那就要搞清楚俩个问题: 1.为什么扩大? 2.如何扩大PE实战教程之扩大为什么扩大如何扩大扩大哪一个扩大的步骤实战环: 为什么扩大 上篇文章进行了空白区添加我们的代码,但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大。 如何扩大? 我们先看表的结构 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个
滴水三期:day34.1-扩大、合并
Edimade的博客
05-02 557
一、添加代码的方式>二、合并思路>三、作业(1.扩大最后一个,保证程序正常运行(手动)>2.编码实现合并>3.定义函数,能够返回对齐后的大小)
学习PE写的一个添加区的工具
zhangmiaoping23的专栏
08-02 2075
前段时间学习PE写了一个添加区的小工具,拿计算器测试了一下,可以添加90多个区. 先介绍一下手动添加区的方法 方法一:(适用于最后一个区头部与第一个区数据之间有0x28字的空间) 代码: 1.添加区数据(文件对齐值) 2.修改数量 3.添加IMAGE_SECTION_HEADER 4.修改SizeOfImage 方法二:重新编辑PE头(适用于最后一个区头部
牛客网刷题 | BC118 N个数之和
m0_64000959的博客
06-09 480
目前主要分为三个专栏,后续还会添加: 专栏如下: C语言刷题解析 C语言系列文章 我的成长经历感谢阅读!初来乍到,如有错误请指出,感谢!输入数字N,然后输入N个数,计算这N个数的和。第一行输入一个整数N(0≤N≤50),第二行输入用空格分隔的N个整数。输出为一行,为第二行输入的“N个整数之和”的计算结果。使用数组的方式 先将用户输入的几个数字分别存起来定义一个变量将它数字的和加起来然后输出 代码 2 : 输入n个数相加,应该想到循
力扣LCP 08.剧情触发时间
最新发布
Pisasama的博客
06-12 388
【代码】力扣LCP 08.剧情触发时间。
全志的PE_PUL0和PE_DAT寄存器有啥区别
06-13
全志的PE_PUL0和PE_DAT寄存器与PE文件中的PE_PUL0和PE_DAT数据目录项没有直接关系,它们是全志芯片中的寄存器。它们的区别如下: 1. PE_PUL0寄存器:它是全志芯片中的一个GPIO口寄存器,用于控制芯片的电源管理功能,包括控制电源的开关、复位等。通过对该寄存器的配置,可以实现对芯片各个模块的电源控制,从而实现功耗管理和电源管理。 2. PE_DAT寄存器:它是全志芯片中的一个数据寄存器,用于存储一些临时数据。该寄存器可以通过软件读写,用于在芯片内部传递一些数据,如传递一些控制信息、状态信息等。 因此,PE_PUL0和PE_DAT寄存器在功能和作用上有所不同。其中,PE_PUL0寄存器主要用于芯片的电源管理,而PE_DAT寄存器主要用于在芯片内部传递临时数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值