PE-EXE-FileBuffer-ImageBuffer-NewFile-(解释版-非常详细)

最新推荐文章于 2024-01-17 18:37:13 发布
最新推荐文章于 2024-01-17 18:37:13 发布
阅读量281 收藏 2
点赞数
分类专栏: PE 文章标签: c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45714114/article/details/120140717
版权

头文件globle.h

// globle.h: interface for the globle class.
//
//

#if !defined(AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_)
#define AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_

#if _MSC_VER > 1000
#pragma once
#endif // _MSC_VER > 1000

#include <windows.h>
#include <stdio.h>

//#define FILEPATH_IN         "C:\\WINDOWS\\system32\\kernel32.dll"
#define FilePath_In         "C:\\cntflx\\notepad.exe"
//#define FilePath_In         "C:\\cntflx\\ipmsg.exe"
#define FilePath_Out        "C:\\cntflx\\notepadnewpes.exe"
//#define FilePath_Out        "C:\\cntflx\\ipmsgnewpes.exe"
#define MessageBoxAddr      0x77E5425F
#define ShellCodeLength     0x12

extern BYTE ShellCode[];

DWORD ReadPEFile(IN LPSTR lpszFile,OUT LPVOID* pFileBuffer);

DWORD CopyFileBufferToImageBuffer(IN LPVOID pFileBuffer,OUT LPVOID* pImageBuffer);

DWORD CopyImageBufferToNewBuffer(IN LPVOID pImageBuffer,OUT LPVOID* pNewBuffer);

BOOL MemeryTOFile(IN LPVOID pMemBuffer,IN size_t size,OUT LPSTR lpszFile);

//DWORD RvaToFileOffset(IN LPVOID pFileBuffer,IN DWORD dwRva);


void Fun();


#endif // !defined(AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_)

核心代码globle.cpp

globle.cpp 对应文件头globle.h的核心代码部分

// globle.cpp: implementation of the globle class.
//
//

#include "stdafx.h"
#include "globle.h"
#include <string.h>
#include <windows.h>
#include <stdlib.h>
/*#include <tchar.h>
#include <iostream>
#include <stdio.h>
*/

//
// Construction/Destruction
//

 // globle.cpp: implementation of the globle class.
//
//

//定义一个全局变量
BYTE ShellCode[] =
{
   
    0x6A,00,0x6A,00,0x6A,00,0x6A,00,
    0xE8,00,00,00,00,
    0xE9,00,00,00,00
};

//
// Construction/Destruction
//
//ExeFile->FileBuffer  返回值为计算所得文件大小

DWORD ReadPEFile(IN LPSTR lpszFile, OUT LPVOID* pFileBuffer)
{
   
	//下面有个IN和OUT,大致意思就是参数的类型传入进来之后不进行宏扩展;
	//啥也不干,即使理解成干,也是扩展成空白,这个是C++语法中允许的;
	//LPSTR  ---->  typedef CHAR *LPSTR, *PSTR; 意思就是char* 指针;在WINNT.H头文件里面
    FILE* pFile = NULL;
    //定义一个FILE结构体指针,在标准的Stdio.h文件头里面
    //可参考:https://blog.csdn.net/qq_15821725/article/details/78929344
    DWORD fileSize = 0;
    // typedef unsigned long       DWORD;  DWORD是无符号4个字节的整型
    LPVOID pTempFileBuffer = NULL;
    //LPVOID ---->  typedef void far *LPVOID;在WINDEF.H头文件里面;别名的void指针类型

    //打开文件
    pFile = fopen(lpszFile,"rb"); //lpszFile是当作参数传递进来
    if (!pFile)
    {
   
        printf("打开文件失败!\r\n");
        return 0;
    }
    /*
    关于在指针类型中进行判断的操作,下面代码出现的情况和此一样,这里解释下:
    1.因为指针判断都要跟NULL比较,相当于0,假值,其余都是真值
	2.if(!pFile)和if(pFile == NULL), ----> 为空,就执行语句;这里是两个等于号不是一个等于号
	3.if(pFile)就是if(pFile != NULL), 不为空,就执行语句;
    */

    //读取文件内容后,获取文件的大小
    fseek(pFile,0,SEEK_END);
    fileSize = ftell(pFile);
    fseek(pFile,0,
最低0.47元/天 解锁文章
0x998
关注
专栏目录
代码节空白区添加代码
qq_41232519的博客
08-30 794
文章目录一、 找个可以写二进制的区域二、寻找本机MessageBoxA(最终要跳到的地址)三、计算四、修改入口地址 一、 找个可以写二进制的区域 二、寻找本机MessageBoxA(最终要跳到的地址) 三、计算 1、要运行代码的地址 E8 = MessageBoxA - 内存中当前代码的偏移地址 - 5 77D5050B - 400F98 - 5 = 7794F56E 2、返回入口地址 E9 = 内存入口的偏移地址 - 内存中当前代码的偏移地址 - 5 4183D7 - 400F9D -5 = 174
PE练习代码@硬盘上的PE文件->FileBuffer->ImageBuffer->NewBuffer->存盘
lygl35的博客
06-23 354
实现功能: 硬盘上的PE文件-》FileBuffer(原封不动的复制到内存)-》ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) //主程序 硬盘上的PE文件-》FileBuffer(原封不动的复制到内存)-》ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) #include <stdio.h> #include
从文件到Filebuffer再到ImageBuffer再到Newbuffer再到文件(低内聚,高耦合)
weixin_42408832的博客
06-24 319
// ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> //函数声明 LPVOID ReadPEFile(LPSTR FilePath); void PrintNTHeaders(LPVOID pfilebuf); void ImageBufferToFil
向节表空白区添加代码。
LittleCracker的博客
05-17 1097
菜鸟一只,最近一直在学PE,刚学的往节表空白区添加代码,就想水个贴,然后算是总结一下,大牛就别看了,太菜……    用的软件是WinHex,OD,Petools,跟vs2013,感染的软件是本地的记事本notepad.exe    这是很简单的一个感染,在打开程序之前加上弹窗。先执行我们的弹窗,之后再执行软件自身的代码。     步骤如下:   1、获取MessageBox地址,构造ShellCo...
PE文件在任意空白区域添加代码
CleanMe的博客
12-24 744
环境: windowsXP 工具: 吾爱OD,winhex , vc6++ 当然,知道一些PE文件头的知识更好 在最后有介绍一点PE文件结构的知识,有助于理解此文章 目标:在一个程序中的任意空白区域添加代码 ( 转换为机器码 ) 如在文件头与节数据之间添加代码: 在此位置添加一个message弹框的机器码,使程序在执行前先弹出一个消息框。 先查看message消息框的汇编代码 在00401032处先把message函数方法需要四个参数压入栈中,然后call直接调用message函数 但是m.
在任意代码空白区添加代码(C语言
qq_53613951的博客
01-17 1022
在任意代码空白区添加代码
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
接下来,"filebuffer->imagebuffer->newbuffer"的过程可能是从磁盘读取PE文件到内存(filebuffer),然后解析文件内容,将PE头和节区数据加载到imagebuffer。在这个过程中,可能涉及到对不同节区(section)的解析,...
PE-Filebuffer-ImageBuffer-NewBuffer-已经修正-可正常执行
qq_45714114的博客
09-05 123
globle.h文件头 // globle.h: interface for the globle class. // ////////////////////////////////////////////////////////////////////// #if !defined(AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_) #define AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15
filebuffer->imagebuffer
tell_me_404的博客
08-09 880
问题描述 映像关系 #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pfile = NULL; // 文件指针 DWORD file_size = 0; LPVOI
任意代码添加
Iamangle122的博客
12-27 334
硬编码:E8 call E9 jmp 真正要跳转的地址=E8这条指令的下一行地址+X x=真正要跳转的地址-E8这条指令的下一行地址
代码节空白区添加代码(手动)(含C练习代码)【基础函数的实现的源代码在这里面】
lygl35的博客
06-24 1218
7559ED60 > 8BFF mov edi,edi ; HelloWor.
代码空白区添加代码(手动)
2514804004的博客
12-04 623
手动添加shellcode,更改程序的第一步
零基础逆向工程20_PE结构04_任意节空白区_新增节_扩大节添加代码
weixin_30437337的博客
09-25 238
向代码节添加代码实现 作者经过一周不断的失败,再思考以及无数次调试终于实现。 思路:八个步骤 1. 文件拷到文件缓冲区(FileBuffer) //图示见(零基础逆向工程18之PE加载过程) 2. 文件缓冲区扩展到内存映像缓冲区(ImageBuffer) 3. 判断代码空闲区是否有足够空间存储ShellCode代码 4. 将代码复制到空闲区 5. 修正E8 6. 修正E9 7. 修改OEP 8....
PE结构-空白区手动添加任意代码(附实例代码)
Alone的博客
07-12 1998
PE之添加任意代码到空白区预备知识1.查找本机MessageBoxA地址1.打开OD调试工具拖入要添加的exe程序。2.在命令中输入 : (输入后按下回车键)3.点击断点页面即可看到MessageBoxA 的地址开始添加代码1.查看要添加的文件空白区大小是否足够2.打开16进制编辑器,载入要修改的EXE。找到文件中的大小(对齐后的长度的位置+ 文件中偏移的位置) (1C000 + 1000 = 1d000)3.在1d000位置上面找任意一段空白区添加上代码 (最好是添加到 空白区开始的位置,便于以后再添加更
空白区域添加代码
qq_41232519的博客
09-28 523
文章目录一、流程二、演示三、完整代码 一、流程 1、File-> FileBuffer 2、FileBuffer->ImageBuffer 3、判断空闲区是否有足够的空间存储ShellCode代码 4、将ShellCode代码复制到空闲区 5、修正E8、E9 6、修正OEP(入口程序) 7、ImageBuffer->NewBuffer 8、NewBuffer->文件 二、演示 1、看上篇 2、看上篇 3、判断空闲区是否有足够的空间存储ShellCode代码 #define SHELL
print 后面的代码怎么对齐_干货分享丨如何在代码空白区添加ShellCode
weixin_39524574的博客
12-04 96
今天分享的技术文章是作者flag0原创的文章,他为我们带来的是在记事本中实现添加空白弹窗,通过手动和编程实现在代码空白区、数据空白区添加ShellCode的干货内容,文章未经许可禁止转载!注:i 春秋公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。本文需要的知识:PE实验环境:Windows XP记事本:PEToolUedit32Visual c++ 6.0手动添加shellcod...
不能发送空白信息
-ELZ-
09-21 910
不能发送空白信息 方法一:把所有 空白字符 转为 空字符串 。 const str = " " const str2 = " cez " const isEmpty = str.replace(/\s/g, "") const isEmpty2 = str2.replace(/\s/g, "") console.log(str.length) // 4 " " console.log(isEmpty.length) // 0 "" console.log(isEmp
逆向-在PE文件空白区域构造ShellCode代码
qq_48637067的博客
11-03 450
今天,把上周的逆向作业做了。其中的一道题“在PE文件空白区域构造ShellCode代码”花了比较长的时间才写出来。在这里,我整理一下思路。题目如下: 首先,我们要找到MessageBoxA的地址。我选择通过ollydbg来找,通过bp MessageBoxA来定位到哪一行。然后下断点,F9运行,查看具体地址如下: 可知地址为76D710AO,这是我们真正要跳转的地方。 使用PETool打开“飞鸽传书”,由 可算出在文件中入口点为00046000 。在Winhex中往上翻,发现有大量的空白位置可以写入
组件逻辑系列—Empty空白数据组件(第一
weixin_46317555的博客
04-25 352
空数据组件(Empty) 第一 4月25日 13:50 组件逻辑 #mermaid-svg-pbkBvLOuZUWqVJvQ .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-pbkBvLOuZUWqVJvQ .label text{fill:#333}#mermaid-svg-pbkBvLOuZUWqVJvQ
写个微信小程序选择会话记录中的文件,通过小程序上传excel,用到了node-xlsx库,通过云函数读取上传到云存储的文件,解析,请分别写出云函数代码和小程序代码
最新发布
09-21
<button bindtap="chooseFile">选择文件 <view wx:if="{{fileList.length > 0}}"> <text>{{fileList[0].name}} 上传文件 <!-- index.js --> Page({ data: { fileList: [], }, chooseFile: function() { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值