PE_合并节

最新推荐文章于 2023-01-31 00:48:26 发布
最新推荐文章于 2023-01-31 00:48:26 发布
阅读量273 收藏
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/127038016
版权

参考:Revival_S

1、拉伸到内存 (这里是真的拉伸到一块内存空间)

2、将第一个节的内存大小、文件大小改成一样

VirtualSize = SizeOfRawData = 整个文件拉伸后的大小 - 第一节VirtualAddress

即相当于在拉伸后的文件中 从第一个节表开始到 最后 都作为第一个节的内存长度与文件长度

3、将第一个节的属性改为包含所有节的属性 (所有节的Characteristics 全部按位或在一起)

4、修改节的数量为1

5、其他节表的空间全部置0

6、最后将这个拉伸的空间直接拷贝到文件

#include<stdio.h>
#include<windows.h>


DWORD ToLoaderPE(LPSTR file_path, PVOID* pFileBuffer){
	FILE *pFile = NULL;
	DWORD FileSize = 0;
	PVOID pFileBufferTemp = NULL;

	pFile = fopen(file_path, "rb");
	
	if(!pFile){
		printf("Can not open file\n");
		return 0;
	}

	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	printf("FileBuffer Size: %x\n",FileSize);
	fseek(pFile, 0, SEEK_SET);

	pFileBufferTemp = malloc(FileSize);
	if(!pFileBufferTemp){
		printf("malloc fail!\n");
		fclose(pFile);
	}

	DWORD n = fread(pFileBufferTemp, FileSize, 1, pFile);

	if(!n){
		printf("read file failed!\n");
		free(pFileBufferTemp);
		fclose(pFile);
		return 0;
	}
	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;
	fclose(pFile);
	return FileSize;
}

DWORD Align(DWORD ad, DWORD alignment){
	if(ad % alignment == 0){
		return ad;
	}else{
		return ((ad / alignment) + 1) * alignment;
	}
}

int write2file(PVOID ImageBuffer,DWORD Size, PSTR FilePath)
{
	if(!ImageBuffer){
		printf("没有东西可以写入\n");
	}
	FILE* fp1 = fopen(FilePath,"wb");
	if(!fp1)
	{
		printf("不能打开要写入的文件\n");
	}else{
		fwrite(ImageBuffer,Size,1,fp1);
	}
	fclose(fp1);
	return 1;

}

DWORD CopyFileBufferToImageBuffer(PVOID pFileBuffer, PVOID* pImageBuffer){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	
	if(!pFileBuffer){
		printf("file loader failed!\n");
		return 0;
	}

	if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE){
		printf("(CopyFileBufferToImageBuffer)Don not hava MZ!\n");
		return 0;
	}
	
	// 找出各个结构的起始地址
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

	if(*((LPDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE){
		printf("没有PE符号");
		return 0;
	}	
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	// 头部,节表等内容拉伸放入内存
	PVOID pImageTemp = malloc(pOptionHeader -> SizeOfImage);
	if(!pImageTemp){
		printf("申请内存映像失败!");
		free(pImageTemp);
		return 0;
	}

	memset(pImageTemp, 0, pOptionHeader->SizeOfImage);
	memcpy(pImageTemp, pFileBuffer, pOptionHeader->SizeOfHeaders);

	int n;
	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;

	printf("节表数量:%d\n", pPEHeader->NumberOfSections);

	for(n=0; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++){
		memcpy((PVOID)((DWORD)pImageTemp + pSectionHeaderTemp->VirtualAddress), (PVOID)((DWORD)pFileBuffer + pSectionHeaderTemp ->PointerToRawData), pSectionHeaderTemp->SizeOfRawData);
		printf("第%d节表:内存偏移%x,磁盘偏移%x\n", n, pSectionHeaderTemp->VirtualAddress, pSectionHeaderTemp->PointerToRawData);
	}

	*pImageBuffer = pImageTemp;
	pImageTemp = NULL;
	return pOptionHeader->SizeOfImage;

}
DWORD CopyImageBufferToNewBuffer(PVOID pImageBuffer, PVOID* pNewFileBuffer){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	
	if(!pImageBuffer){
		printf("内存加载失败!\n");
		return 0;
	}

	if(*((PWORD)pImageBuffer) != IMAGE_DOS_SIGNATURE){
		printf("(CopyImageBufferToNewBuffer)Don not hava MZ!\n");
		return 0;
	}
	
	// 找出头部各个结构的起始地址
	pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;

	if(*((PDWORD)((DWORD)pImageBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE){
		printf("没有PE符号");
		return 0;
	}	
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pImageBuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);


	// 计算要申请空间
	int new_file_size = pOptionHeader->SizeOfHeaders;
	for(int i=0; i < pPEHeader->NumberOfSections; i++){
		new_file_size += pSectionHeader[i].SizeOfRawData;
		printf("每个节:%x\n",pSectionHeader[i].SizeOfRawData);
	}
	printf("头加节:%x\n",new_file_size);
	// 申请文件存盘空间
	LPVOID pNewFileBufferTemp = malloc(new_file_size);
	if(!pNewFileBufferTemp){
		printf("存盘空间申请失败!");
		return 0;
	}
	// 头部放进去
	memset(pNewFileBufferTemp, 0, new_file_size);
	memcpy(pNewFileBufferTemp, pDosHeader, pOptionHeader->SizeOfHeaders);
	// 各个节表放进去
	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	for(i=0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp++){
		memcpy((PVOID)((DWORD)pNewFileBufferTemp + pSectionHeaderTemp->PointerToRawData), (PVOID)((DWORD)pImageBuffer + pSectionHeaderTemp->VirtualAddress), pSectionHeaderTemp->SizeOfRawData);
	}

	*pNewFileBuffer = pNewFileBufferTemp;
	pNewFileBufferTemp = NULL;
	
	return new_file_size;

}

DWORD HBSection(PVOID* pImageBuffer){
	PVOID ppImageBuffer = NULL;

	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	
	pDosHeader = (PIMAGE_DOS_HEADER)(*pImageBuffer);
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	pSectionHeader->SizeOfRawData = Align(pOptionHeader->SizeOfImage - pSectionHeader->VirtualAddress, pOptionHeader->FileAlignment);
	printf("duiqi:%x\n",pSectionHeader->SizeOfRawData);
	pSectionHeader->Misc.VirtualSize = pSectionHeader->SizeOfRawData;

	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	DWORD Characteristics = pSectionHeader->Characteristics;
	pSectionHeaderTemp++;
	for(DWORD n=1; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++){
		Characteristics = pSectionHeaderTemp->Characteristics | Characteristics;
		memset(pSectionHeaderTemp, 0, IMAGE_SIZEOF_SECTION_HEADER);
	}
	// 修改第一个节表属性
	pSectionHeader->Characteristics = Characteristics;
	printf("Name:%s\n",pSectionHeader->Name);
	pPEHeader->NumberOfSections = 1;

	return 0;
}



int main(){
	PSTR file_path = "C:\\Users\\lolol\\Desktop\\3.exe";
	PSTR write_path = "C:\\Users\\lolol\\Desktop\\6.exe";
	PVOID pFileBuffer = NULL;
	PVOID pImageBuffer = NULL;
	PVOID ppImageBuffer = NULL;

	DWORD FileSize = ToLoaderPE(file_path, &pFileBuffer);
	printf("文件磁盘上大小:%x\n", FileSize);

	DWORD sizeOfImage = CopyFileBufferToImageBuffer(pFileBuffer, &pImageBuffer);
	printf("文件在内存中的大小:%x\n", sizeOfImage);

	HBSection(&pImageBuffer);

	DWORD sizeOfFile = CopyImageBufferToNewBuffer(pImageBuffer, &ppImageBuffer);

	
	BOOL isSuccess = write2file(ppImageBuffer, sizeOfFile, write_path);
	if(isSuccess){
		printf("yes\n");
	}else{
		printf("no\n");
	}
	
	return 0;
}
-Sw0rd-
关注
专栏目录
PE.rar_PE_
09-21
PE文件查看器,查看PE文件的一些基本特征
滴水逆向——PE合并
sunr.
04-10 890
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
10.PE文件之合并
kernelhack
10-29 3727
目录 合并PE文件中哪些值会有影响? 合并步骤: 手动合并 代码合并 合并与新增、扩大有一点区别.合并如果文件与内存对齐不同需拉伸到内存后进行合并. 合并PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果更改需要修正此值). .第一个得包含其余所有的属性. 修正第一个内存中的大小以及文件中的大小. 如果文件对齐与内存对齐相等则不需要拉伸即可完成.如果文件对齐与内存对齐不相同必须拉伸
滴水三期:day34.1-扩大合并
Edimade的博客
05-02 533
一、添加代码的方式>二、合并思路>三、作业(1.扩大最后一个,保证程序正常运行(手动)>2.编码实现合并>3.定义函数,能够返回对齐后的大小)
WindowsPE(二)空白区添加代码&新增,扩大,合并
sky123博客
11-20 883
PE 中插入一段调用 MessageBox 的代码。利 OD 定位出 MessageBoxA 函数的地址为 0x77D507EA 。 构造 shellcode : 其中 shellcode 中的地址需要根据 shellcode 在 PE 中插入的位置来确定。表中的 SizeOfRawData 为 该PE 文件中关于文件对齐后的大小,Misc.VirtualSize 为该加载到内存后的真实大小。因此可以添加内容的空白区域大小为 SizeOfRawData - Misc.VirtualSize
PE文件实战之手动合并
weixin_43742894的博客
04-01 394
一丶简介 根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解. 以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤: 1.修改文件头表个数 2.修改表中的属性 .sIzeofRawData 数据对齐后的大小. 3.修改扩展头中PE镜像大小 SizeofImage 4.被合并以0填充. 二丶实战合并一个 1.修改文件头中
pe.rar_PE__pe_pe文件实例
09-14
PE文件分析例子
Win10PE_x64_远程+维护技术员专用版A++
05-14
Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+维护技术员专用版A++Win10PE_x64_远程+...
pe.rar_PE 感染_pe_感染
09-24
Windows PE 文件感染测试程序可以利用在写病毒感染时使用。。
PE_Info.rar
04-17
小甲鱼pe结构查看器
PE结构-合并(附实例代码)
Alone的博客
10-24 431
合并: 1、拉伸到内存 2、将第一个的内存大小、文件大小改成一样 Max = SizeOfRawData>VirtualSize?SizeOfRawData:VirtualSize SizeOfRawData = VirtualSize = 最后一个的VirtualAddress + Max - SizeOfHeaders内存对齐后的大小 3、将第一个的属性改为包含所有的属性 (重点) 4、修改的数量为1 ...
空白区域添加代码
qq_41232519的博客
09-28 410
文章目录一、流程二、演示三、完整代码 一、流程 1、File-> FileBuffer 2、FileBuffer->ImageBuffer 3、判断空闲区是否有足够的空间存储ShellCode代码 4、将ShellCode代码复制到空闲区 5、修正E8、E9 6、修正OEP(入口程序) 7、ImageBuffer->NewBuffer 8、NewBuffer->文件 二、演示 1、看上篇 2、看上篇 3、判断空闲区是否有足够的空间存储ShellCode代码 #define SHELL
PE合并的主要代码实现,详细注释(内存和文件对齐相同时的版本)
weixin_42408832的博客
06-24 186
//合并 //参数:传入拉伸后的imagebuffer LPVOID MergeSection(LPVOID imagebuffer) { PIMAGE_DOS_HEADER pDosHeader4 = NULL; PIMAGE_NT_HEADERS32 pNTHeader4 = NULL; PIMAGE_FILE_HEADER pFileHeader4 = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader4 = NULL; PIMAGE_SEC..
滴水PE作业合并
qq_52442096的博客
01-31 121
滴水PE作业合并
PE结构学习(4)_的操作
xf555er的博客
08-07 1036
对文件的表进行扩大,为了方便操作,只需对最后一个进行扩大OK了此处演示扩大1000(16进制)个字的操作扩大扩出来的空白区还需要考虑的权限问题,若扩大出来的没有执行代码的权限,那么还要修改整个的权限属性,的权限属性由表结构体的最后一个成员Characteristics决定因为新增的可以自己设置权限,所以相比扩大而言还是方便挺多的新增有一个前提条件,最后一个后面至少要有40个字的空白区若前提条件不满足, 那只能合并,即将多个合并成一个,多余的空间就可以用于新增。...
滴水逆向三期实践7:合并
Rivival_S 的博客
09-29 611
会不会有极端情况,DOS stub的空间也不足,NT头和表不能抬升,表和第一之间也没有空隙插入新,这种情况如何加入自己的代码呢? 就需要到合并,将全部的(一般文件都有两个以上的合并成一个,那就可以有空隙增加自己的表了。这里不搞那么复杂了,只做合并,将全部合并成一个后文件仍然可用即可。 合并: 1、拉伸到内存 (这里是真的拉伸到一块内存空间) 2、将第一个的内存大小、文件大小改成一样 VirtualSize =...
PE知识复习之PE合并
weixin_30794851的博客
10-02 369
                      PE知识复习之PE合并 一丶简介    根据上一讲.我们为PE新增了一个. 并且属性了各个成员中的相互配合. 例如文件头记录个数.我们新增就要修改这个个数. 那么现在我们要合并一个.以上一讲我们例子讲解.   以前我们讲过PE扩大一个怎么做. 合并跟扩大类似. 只不过一个是扩大. 一个是合并了. 合并的步骤.   1.修改文...
PE新增|扩大|合并
个人笔记
05-21 512
PE操作新增实现步骤扩大实现步骤合并实现步骤 新增 PE结构使用: SizeOfImage NumberOfSections VirtualSize VirtualAddress SizeOfRawData PointerToRawData 实现步骤 -判读那是否有足够空间,可以添加一个表 SizeOfHeaders-(DOS+DOS STUB+NT头+已存在表) >=2个表大小 满足才可添加,否则提升PE头 -完善新增表内容 -在新添表后面填充一个(表)大小的00 -修改PE
扩大-合并
qq_51600802的博客
10-19 173
注意:扩大最好在最后扩展 不然要修改好多东西一:扩大1、拉伸到内存2、分配一块新的空间:SizeOfImage+Ex3、将最后一个的SizeOfRawData 和 VirtualSize改成NN = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex4、修改sizeofimage大小。
全志的PE_PUL0和PE_DAT寄存器有啥区别
最新发布
06-13
全志的PE_PUL0和PE_DAT寄存器与PE文件中的PE_PUL0和PE_DAT数据目录项没有直接关系,它们是全志芯片中的寄存器。它们的区别如下: 1. PE_PUL0寄存器:它是全志芯片中的一个GPIO口寄存器,用于控制芯片的电源管理功能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值