PE增加一个节

最新推荐文章于 2023-02-01 16:47:01 发布
最新推荐文章于 2023-02-01 16:47:01 发布
阅读量362 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45694932/article/details/107242614
版权 
#define _CRT_SECURE_NO_WARNINGS
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<Windows.h>
#include<malloc.h>


DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer);
char file_path[] = "C:\\CTF\\notepad.exe";
char save_path[] = "C:\\CTF\\cp_addsec_note.exe";
// exe->filebuffer
DWORD Read2file(LPSTR file_path, PVOID* pFilebuffer)
{
	FILE* pFile = NULL;
	DWORD filesize = 0;
	PVOID pFileBufferTemp = NULL;
	// 打开文件需要判断
	pFile = fopen(file_path, "rb");
	if (!pFile) {
		printf("Can't open file\n");
		return 0;
	}
	//计算文件大小
	fseek(pFile, 0, SEEK_END);
	filesize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);
	pFileBufferTemp = malloc(filesize);
	if (!pFileBufferTemp) {
		printf("Allocate dynamic memory failed!\n");
		fclose(pFile);
		return 0;
	}
	//将文件中的数据读取到动态内存中
	DWORD n = fread(pFileBufferTemp, filesize, 1, pFile);
	if (!n)
	{
		printf("read file failed\n");
		free(pFileBufferTemp);
		fclose(pFile);
		return 0;
	}
	*pFilebuffer = pFileBufferTemp;
	pFileBufferTemp = 0;
	fclose(pFile);
	return filesize;
}
DWORD CopyImageBufferToNewBuffer(PVOID pFileBuffer, PVOID* pNewBuffer, DWORD file_size)
{
	PVOID pNewTempBuffer = NULL;
	DWORD New_file_size = 0;
	DWORD Remained_size = 0;
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_SECTION_HEADER pLastSection = NULL;
	// ====================判断是否为有效exe文件======================================
	// 判断filebuffer是否有效
	if (!pFileBuffer) {
		printf("读取filebuffer失败\n");
		return 0;
	}
	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE) {
		printf("不含MZ标志,不是合法的exe文件!\n");
		return 0;
	}
	pDosHeader = PIMAGE_DOS_HEADER(pFileBuffer);
	if ((*(PWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志!\n");
		return 0;
	}
	// ====================开辟新的内存空间,并拷贝到新的内存中======================
	New_file_size = file_size + 0x1000;
	pNewTempBuffer = malloc(New_file_size);
	if (!pNewTempBuffer) {
		printf("PNTB开辟空间失败");
		return 0;
	}
	memset(pNewTempBuffer, 0, New_file_size);
	memcpy(pNewTempBuffer, pFileBuffer, file_size);
	// ============================判断剩余的空间是否足够============================
	// 初始化PE头部结构体
	pDosHeader = (PIMAGE_DOS_HEADER)(pNewTempBuffer);
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pNewTempBuffer + pDosHeader->e_lfanew);//****
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pPEHeader->SizeOfOptionalHeader);
	//最后一个节表的地址
	pLastSection = &pSectionHeader[pPEHeader->NumberOfSections - 1];//********
	Remained_size = (DWORD)(pOptionalHeader->SizeOfHeaders - pDosHeader->e_lfanew - 4 - IMAGE_SIZEOF_FILE_HEADER - pPEHeader->SizeOfOptionalHeader - IMAGE_SIZEOF_SECTION_HEADER * pPEHeader->NumberOfSections);
	if (Remained_size < 2 * IMAGE_SIZEOF_SECTION_HEADER) {
		printf("exe文件头剩余空间不足\n");
		free(pNewTempBuffer);
		return 0;
	}
	// ============================修改信息============================
	// 其他头部需要修改的内容
	PWORD pNumberofSection = &pPEHeader->NumberOfSections;
	PDWORD pSizeofImage = &pOptionalHeader->SizeOfImage;
	//初始化节表信息
	PVOID pSecName = &pSectionHeader[pPEHeader->NumberOfSections].Name;
	PDWORD pSecMisc = &pSectionHeader[pPEHeader->NumberOfSections].Misc.VirtualSize;
	PDWORD pSecVirtualAddress = &pSectionHeader[pPEHeader->NumberOfSections].VirtualAddress;
	PDWORD pSecSizeofRawdate = &pSectionHeader[pPEHeader->NumberOfSections].SizeOfRawData;
	PDWORD pSecPointertoRawData = &pSectionHeader[pPEHeader->NumberOfSections].PointerToRawData;

	*pNumberofSection = pPEHeader->NumberOfSections + 1;
	printf("*pNumberofSection:%#x\n", pPEHeader->NumberOfSections);//***********
	*pSizeofImage = pOptionalHeader->SizeOfImage + 0x1000;
	printf("pSizeofImage:%#x\n", pOptionalHeader->SizeOfImage);
	memcpy(pSecName, ".newsec", 8);
	*pSecMisc = 0x1000;
	DWORD add_size = pLastSection->Misc.VirtualSize > pLastSection->SizeOfRawData ?
		pLastSection->Misc.VirtualSize : pLastSection->SizeOfRawData;
	*pSecVirtualAddress = pLastSection->VirtualAddress + add_size;
	if (*pSecVirtualAddress % pOptionalHeader->SectionAlignment)
	{
		*pSecVirtualAddress = *pSecVirtualAddress / pOptionalHeader->SectionAlignment * pOptionalHeader->SectionAlignment + pOptionalHeader->SectionAlignment;

	}
	*pSecSizeofRawdate = 0x1000;
	*pSecPointertoRawData = pLastSection->PointerToRawData + pLastSection->SizeOfRawData;
	if (*pSecPointertoRawData % pOptionalHeader->FileAlignment)
	{
		*pSecPointertoRawData = *pSecPointertoRawData / pOptionalHeader->FileAlignment * pOptionalHeader->FileAlignment + pOptionalHeader->FileAlignment;

	}
	memset(&pSectionHeader[pPEHeader->NumberOfSections], 0, IMAGE_SIZEOF_SECTION_HEADER);
	*pNewBuffer = pNewTempBuffer;//*****
	pNewTempBuffer = NULL;
	return New_file_size;
}
void storenewbuffer(PVOID pNewbuffer, DWORD new_file_size, char* save_path)
{
	FILE* fp2;
	fp2 = fopen(save_path, "wb");
	if (!fp2) {
		printf("写入文件失败!\n");
		fclose(fp2);
		return;
	}
	fwrite(pNewbuffer, new_file_size, 1, fp2);

	fclose(fp2);
}
void add_new_section()
{
	PVOID pFileBuffer = NULL;
	PVOID pNewBuffer = NULL;
	DWORD file_size = 0;
	DWORD new_file_size = 0;
	file_size = Read2file(file_path, &pFileBuffer);
	new_file_size = CopyImageBufferToNewBuffer(pFileBuffer, &pNewBuffer, file_size);
	storenewbuffer(pNewBuffer, new_file_size, save_path);
}

int main(int argc, char* argv[])
{

	add_new_section();
	getchar();
	return 0;
}
cop_g
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加新并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE结构-----新增
mysqld521的博客
05-28 125
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*节表的大小(40字))》=80字。可以直接在最后的节表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个节表的大小(第一个节表存放新增节表,第二个存放40个00)1.将最后一个节表的后40个字进行00的填充。
PE新增一个
qq_42363151的博客
08-31 203
新增
PE文件的修改----增加
weixin_51738129的博客
02-01 943
PE文件的修改
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1345
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下节表新增节表的步骤1.判断是否有足够的空间增加一个.2.节表新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增节表的属性.Virt.
PE知识复习之PE新增
weixin_30302609的博客
10-02 415
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
添加,插入PE文件
10-31
把任何二进制文件,以新添加一个区的方式,插入到可执行文件中!
PE资源修复
07-18
修复后,引擎会无条件地为 PE 文件增加一个资源,会导致文 件体积变大,该功能适合进行简单修复脱壳后 PE 资源部分。 <1> 输出函数 FixResFromFile C 形式函数原型: BOOL __stdcall FixResFromFile(const ...
PE文件的感染C++源代码
01-17
这个是最省事的办法,在原PE文件中新增一个,计算新的RVA,然后修改入口代码,使其指向新增加的。当然,如果.text空隙足够大的话,不用添加新也可以。 修改快捷方式文件。如果PE文件存在快捷方式,...
封叶碧沙 Wxindows XP SP2系列 情人特别版
02-18
增加了2个个性主题(如截图)和1个夜光鼠标指针(在控制面板/鼠标中设置) 使用了我自己封装的驱动包(驱动来源与木鸟驱动包和我自己的添加/修改) 修正了0210版中出现[个人信息设置]的问题。 系统集成如下软件...
PE文件区添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PE添加_手动
赤坂龙之介的博客
05-15 398
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>   今天在学习PE的过程中通过通过手动对PE文件进行的添加,过程中遇到了一些问题,写下来以便今后及时复习 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>   [1] 确定的对齐尺
WindowsPE(二)空白区添加代码&新增,扩大,合并
sky123博客
11-20 883
PE 中插入一段调用 MessageBox 的代码。利 OD 定位出 MessageBoxA 函数的地址为 0x77D507EA 。 构造 shellcode : 其中 shellcode 中的地址需要根据 shellcode 在 PE 中插入的位置来确定。节表中的 SizeOfRawData 为 该PE 文件中关于文件对齐后的大小,Misc.VirtualSize 为该加载到内存后的真实大小。因此可以添加内容的空白区域大小为 SizeOfRawData - Misc.VirtualSize
滴水逆向——PE新增一个
sunr.
04-09 1089
1.问题描述: 2.注意事项: (1)首先判断头部的空白区够不够加节表, 所有的节表后面必须跟40个字0。所以添加节表时得确保有两个节表大小(即80字)的连续剩余。 分三种情况:a.头部的最后一个节表后直接可以放下两个区 b.节表后放不下,但是dos头后pe前可放下 c.前两种情况都不行,需扩大最后...
PE增加,并插入自己代码
windows小菜鸡的博客
08-15 1276
PE文件的基础知识大家可以自行百度。 1、在PE中末尾添加一个PE末尾中添加一个,需要注意: (1)RVA和FOA的转换 (2)需要修改SizeofImage的大小 (3)需要修改PE头中的数量 (4)如果现有的节表后面添加的空间不足,可以移动NT头和节表 (5)新增节表的属性根据自己的需要修改 (6)新增的RVA 需要注意计算,需要计算上一个RVA对齐后的尺寸 计算公式如下: //计算内存中对齐的大小 DWORD VirtulaSize = NULL; if (secti
学习PE写的一个添加区的工具
zhangmiaoping23的专栏
08-02 2066
前段时间学习PE写了一个添加区的小工具,拿计算器测试了一下,可以添加90多个区. 先介绍一下手动添加区的方法 方法一:(适用于最后一个区头部与第一个区数据之间有0x28字的空间) 代码: 1.添加区数据(文件对齐值) 2.修改数量 3.添加IMAGE_SECTION_HEADER 4.修改SizeOfImage 方法二:重新编辑PE头(适用于最后一个区头部
[PE结构] 手工给32位PE文件增加一个
輚至消亡
07-24 1298
0x01 去除重定位表 为了更好的理解PE文件结构,首先得了解增加一个区需要修改什么,本片博客先去除.reloc区再增加一个新的.new区。 FileHeader.NumberOfSections 区数量 OptionalHeaders.SizeOfHeaders PE头的大小(因为增加一个新的IMAGE_SECION_HEADER) OptionalHeaders.SizeO...
PE结构新增一个
qq_45992231的博客
09-02 83
吾爱破解论坛里面ly610abc的做法 https://www.52pojie.cn/thread-1410348-1-1.html 关于第一步中判断是否有足够的空间来添加节表是指 PE头后紧跟着的就是节表,而节表经文件/内存对齐后就是了,所以因为对齐的缘故,节表和第一个之间有一定的空隙,若这些空隙能够插入一个新的节表就能够按照上面的步骤来做。若不能就要好多的偏移,非常麻烦 ...
计算机病毒如何得知一个文件是不是PE文件?
最新发布
05-29
PE文件的头部信息包含在文件开头的DOS头和PE头中,其中DOS头包含了一个MZ标志,PE头包含了一个PE标志。计算机病毒可以通过读取文件头部信息,查看MZ和PE标志来判断一个文件是不是PE文件。如果是PE文件,病毒可以继续...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值