滴水逆向PE扩大最后一个节

最新推荐文章于 2022-12-14 16:08:30 发布
最新推荐文章于 2022-12-14 16:08:30 发布
阅读量228 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45694932/article/details/107242593
版权 
#define _CRT_SECURE_NO_WARNINGS
#include<stdio.h>
#include<Windows.h>
#include<malloc.h>
char file_path[] = "C:\\CTF\\notepad.exe";
char save_path[] = "C:\\CTF\\extend_note.exe";

DWORD Fileread(char** Filebuffer) {
	FILE* fp = NULL;
	char* filebuffer = NULL;
	int file_size = 0;
	fp = fopen(file_path, "rb");
	fseek(fp, 0, SEEK_END);
	file_size = ftell(fp);
	fseek(fp, 0, SEEK_SET);
	filebuffer = (char*)malloc(file_size + 0x1000);
	fread(filebuffer, file_size, 1, fp);
	fclose(fp);
	*Filebuffer = filebuffer;
	return file_size+0x1000;
	}
DWORD kuodajie(int x,char *filebuffer) {
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	pDosHeader = (PIMAGE_DOS_HEADER)filebuffer;
	if (*((PDWORD)((DWORD)filebuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE文件\n");
		return 0;
	}
	
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)filebuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4); 
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	PIMAGE_SECTION_HEADER endsectionheader = pSectionHeader + pPEHeader->NumberOfSections-1;
	endsectionheader->Misc.VirtualSize += 0x1000;
	endsectionheader->SizeOfRawData += 0x1000;
	pOptionHeader->SizeOfImage += 0x1000;
	FILE* fp = NULL;
	fp = fopen(save_path, "wb");
	fwrite(filebuffer, 1, x, fp);
	fclose(fp);

	return 0;
}
DWORD extend() {
	char* filebuffer = NULL;
	int x = Fileread(&filebuffer);
	kuodajie(x, filebuffer);
	return 0;
}
int main() {
	extend();
	return 0;
}
qq_45694932
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE扩大最后一个
hambaga的博客
05-13 332
增加 SizeOfImage, VirtualSize, SizeOfRawData, 注意文件对齐和内存对齐即可。 // 扩大最后一个 // 返回新文件的大小,失败返回0 DWORD ExpandLastSection(IN LPVOID pFileBuffer, OUT LPVOID *pNewFileBuffer, DWORD oldSize, DWORD expandSize) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS p
滴水逆向——PE扩大一个
sunr.
04-09 549
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
滴水逆向PE作业——扩大一个
weixin_44584614的博客
03-19 755
扩大一个: 流程如下: 注意:修改完ImageBuffer后需要将其再压缩(拉伸的逆过程)后再存盘。 代码: // ExtendLastSection.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "windows.h" #include "malloc....
滴水逆向三期实践6:扩大
Rivival_S 的博客
09-29 616
扩大: 1、拉伸到内存(只是逻辑上,实际代码操作并不需要这一步),需要注入的代码为 ShellCode 2、分配一块新的空间:SizeOfImage + sizeof ( ShellCode) 3、扩大,修改最后一个的 SizeOfRawData 和 VirtualSize OrgSecSize= max ( SizeOfRawData 或 VirtualSize内存对齐后的值 ) ∵有些初始化数据未全部写入文件,VirtualSize可能比SizeOfRawData...
PE增加一个
qq_45694932的博客
07-10 365
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
滴水_PE结构_pdf.zip
08-04
滴水逆向PE结构高清 PE文件是Windows操作系统下使用的可执行文件格式。它是微软在UNIX平台的COFF(通用对象文件格式)基础上制作而成。最初设计用来提高程序在不同操作系统上的移植性,但实际上这种文件格式仅用在...
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
编程达人-滴水逆向全套课件.zip
06-10
滴水逆向课程的数据,PDF及程序
滴水网络第一期初级逆向培训视频
07-23
教程名称:滴水网络第一期初级逆向培训视频  资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
<原创>在PE最后一节中插入补丁程序(附代码)
weixin_34043301的博客
03-16 128
完整文件 http://files.cnblogs.com/Files/Gotogoo/在PE最后一节中插入补丁程序.zip 在PE文件最后一节中插入补丁程序,是最简单也是最有效的一种,因为PE最后一节的数据在文件的末尾,将代码加到最后一节时,不需要修改太多的内容。 最近在学习python,没时间详细写这个了,有问题看代码,或者在评论区提问,或者看书《Windows PE权威指南》,讲的很详...
PE文件操作-末尾添加
yeshahayes的博客
08-08 3197
有时候为了某些原因,需要在PE末尾添加,比如加壳,补丁等等,需要对PE文件进行扩展。 在末尾添加是最简单的方式,只需要做如下修改: 修改FILE_HEADER中的数目字段 修改OPTIONAL_HEADER中映像大小字段 在描述符数组中添加新描述符 在文件末尾添加新数据 首先找到文件最后一个并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个的结束:
滴水逆向三期实践7:合并
Rivival_S 的博客
09-29 617
会不会有极端情况,DOS stub的空间也不足,NT头和表不能抬升,表和第一节之间也没有空隙插入新,这种情况如何加入自己的代码呢? 就需要到合并,将全部的(一般文件都有两个以上的)合并成一个,那就可以有空隙增加自己的表了。这里不搞那么复杂了,只做合并,将全部合并成一个文件仍然可用即可。 合并: 1、拉伸到内存 (这里是真的拉伸到一块内存空间) 2、将第一个的内存大小、文件大小改成一样 VirtualSize =...
9.PE文件扩大
kernelhack
10-28 3686
目录 扩大PE文件中哪些值会有影响? 扩大步骤: 手动扩大 代码扩大 通常扩大最后一个比较方便,假设扩大一个则后续所有对应的数据都需要更改. 扩大PE文件中哪些值会有影响? 最后一个IMAGE_SECTION_HEADER结构成员中SizeOfRawData和VirtualSize. IMAGE_OPTIONAL_HEADER → SizeOfImage(扩大后在内存中的大小需要修正). 扩大步骤: 将最后一个文件中的大小修改为当前文件大小加新增大小(文
PE文件格式(一)
周星星的博客
10-18 8009
PE文件是Windows操作系统下使用的可执行文件文件格式。PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的的总大小所有含已初始化数据的的总大小所有含未初始化数据的的大小程序执行入口RVA。
PE文件详解
wuwuliuliu0524的博客
12-14 1333
(1)MZ头:长度 40H,即4行乘16位,最前面的5A4D显示是MZ,是EXE标识,最后4个字000000F0是el_fanew 字段,指向PE文件头地址,即PE文件头指向000000F0处。(2)PE文件头:PE标识往后20字PE文件头前2个字014C是设备型号,之后2个字0003是是表数目,表示有3个表。3、表:每个表40字表数目在PE文件头中查看,总共是表数目×40字。(2)DOS存根:从MZ头到PE头之间的部分,显示提示字符。(3)PE可选文件头:PE文件头。
滴水逆向——PE合并
sunr.
04-10 894
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
PE知识复习之PE扩大
weixin_30619101的博客
10-01 256
              PE知识复习之PE扩大 一丶为什么扩大   上面我们讲了,空白区添加我们的代码.但是有的时候.我们的空白区不够了怎么办.所以需要进行扩大.   扩大其实很简单.修改数据对齐后的大小即可. 并且在PE文件中添加0数据进行填充即可. 首先看一下我们的表 typedef struct _IMAGE_SECTION_HEADER { B...
滴水逆向ncknafxcw.pdb
最新发布
11-18
滴水逆向一个指的是液体水珠从接触面开始逆向移动的现象。由于水分子间的相互作用力,水珠通常会在水中向着重力方向下落。然而,在特定的情况下,我们可以通过一些特殊的手段使水珠逆向移动。 滴水逆向的实现主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值