手动增加pe节并修改oep

最新推荐文章于 2021-11-28 16:32:09 发布
最新推荐文章于 2021-11-28 16:32:09 发布
阅读量893 收藏 1
点赞数 1
一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加节和修改oep,写出来供和我一样菜的一起进步。

一、       增加pe节需要的操作

1.    确定内存中的节的对齐粒度和文件中的节的对齐粒度,分别是pe+0038h 和3ch
 
也就是说 内存和文件的对齐粒度都是1000h.
2.    在文件末尾增加数据。
因为文件对齐的粒度是1000h,那么我们在文件末尾增加2000h个数据。
 
3.    在节表末尾增加新的节信息
 
在最后一个节信息后面增加一个.peng的节
2E 70 65 6E 67 00 00 00  --------.peng的ASCII码。
00 18 00 00 --------- VirtualSize实际大小(随便写的)。
00 B0 00 00 --------- VirtualAddress dd  节区的RVA地址(因为.data节的RVA地址是7000,大小是3E24,加起来是AE24,为了对齐,所以是B000,表示成为00B00000。
00 20 00 00----- SizeOfRawData在文件中对齐后的尺寸(末尾加了2000h个字节,都算上了)
00 A0 00 00 ---- PointerToRawData在文件中的偏移物理文件地址,刚才加的地址是A000,所以直接写成00 A0 00 00。这里为什么不是上边的00 B0 00 00 呢?开始我也想当然的这么写了,但是程序总是不对。后来想明白了,因为我们增加的2000h个字节,是从A000开始加的,并不是B000,如果非要写成B000,那么还要再末尾加1000h个字节才行呢,否则就凑不齐SizeOfRawData 中写的这个节有2000个数据了。
之后
00000000 PointerToRelocations
00000000 PointerToLinenumbers
0000 NumberOfRelocations dw 
0000 NumberOfLinenumbers dw
20 00 00 60 Characteristics 节的属性 可读取,可执行 ,代码。
4.在pe+6出修改节数目。
 
原来是03 00,改成04 00。
5.在pe+50处 修改内存映像大小。
 
原来是00 B0 00 00 改成00 D0 00 00,原来的映像为什么是B000大小呢?注意下面图中,.data是原来最后一个节,RVA地址是7000,大小是3E24,总和是AE24,按照对齐原则,总大小是B000.
 
所以,新的内存映像大小应该是,B000+1800=C800 对齐后是D000.
6.测试
用lordpe 加载看到,.peng 区段正确显示,运行程序也正常。
 
二、       修改OEP

1、OEP在pe+28处,查看并修改。
 
原OEP在1203处,记下该地址,并修改成B000(注意不是A000,oep是RVA, 开始我搞错了,程序崩溃),
 
2.打开OD
 

会停留在新的oep处,修改成jmp 00401203,然后保存.
3.测试
正常运行!
OK!
孙5空
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vc编写自己的壳之一:对pe文件OEP修改
rageliu的专栏
03-16 3023
最近学习pe格式和写壳,最终目标是写出自己的壳,并有一定的anti能力.调试了下修改pe文件的oep,然后在新的入口点什么都没做,只是jmp回到原始入口点,程序继续执行.测试通过. 准备明天在自己入口点的地方添加一个MessageBox代码.很多是网上朋友的代码,借用下不好意思,如有版权等问题请联系偶,偶会尽快处理,谢谢.void CPeSecDlg::Go(){ HANDLE hFi
PE文件区添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加新并改变PE文件OEP,使得在程序执行前插入一段shellcode
扩大
qq_41232519的博客
10-04 278
文章目录一、流程二、 演示三、完整代码 一、流程 1、File-> FileBuffer 2、FileBuffer->ImageBuffer 3、修改SizeOfImage的大小(要扩大多少:Ex) 4、将修改后的数据复制到pNewImageBuffer 5、将ShellCode代码复制到最后一个的后面 6、修正E8、E9 7、修正OEP(入口程序) 8、判断VirtualSize和SizeOfRawData谁大 9、 N = (SizeOfRawData或者VirtualSize 内存对齐后
逆向之手工加壳——004
qq_31507523的博客
11-02 465
逆向之手工加壳 试验工具: LordPE、010Editor、OD 试验程序是vs2017编译的控制台程序,开始加壳。 一、添加区段   使用LordPE打开程序, 添加区段,新区段就是我们的壳   找到NewSec区段,右键编辑,添加0x200字大小,随后点击保存。保存后可以运行下,发现运行不起来。   使用010Editor打开,找到最后,按Ctrl+Shift+i 添加0x200个字大小。保存之后,点击程序发现可以正常运行了。 二、修改入口点(OEP)   同样用LordPE打开,
PE实战教程之空白添加代码
weixin_43742894的博客
04-01 670
想要添加的代码:弹出一个messagebox。 如果想要调用messagebox,可以看到下面的代码,就是push 参数,call函数地址。 1.寻找OEP所对应的文件偏移位置. 首先随便找一个文件,查看扩展头中OEP RVA 以及 ImageBase, 并且换算出属于哪个.并且转换为文件偏移. OEP的RVA为00012180,imagebase为00400000。 那么内存中OEP开始位置就是 RVA +Imagebase == 00012180+ 00400000== 0x00412180。  查
ImportREC重建输入表
weixin_30580341的博客
07-10 246
1.目标文件已完全被Dump,另存为一个文件 2.目标文件必须正在运行中 3.事先找到目标程序真正的入口(OEP)或IAT的偏移与大小 以加壳RebPE.exe为例,首先OD加载: 调试到00413001,设置硬件断点hr esp F9断下来,单步调到OEP处: 这时启用LoadPE工具,找到对应的进程,右键先执行"correct ImageSize”,再执行"d...
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
【exe加壳:修改可执行文件的PE头,增加修改程序入口地址为该
Laughing
11-28 3357
一:PE增加 使用工具为:LordPE、010Editor、CFF、OD List item 先用 010Editor 查看表部分是否足够长度加入新的表目录 从图中看出,表后面还有空余地方,可存放新增目录项 用 LordPE 查看PE头部信息,增加,在 setions 中修改新增表的属性 原始PE头信息:可得原始表中有9项 修改表项数为10 然后点击Setions按钮,在里面修改新增的相关属性(这里的相关原理有兴趣可自行了解) 进去后可看见最后一表项名字和其他相关数据
PE文件的修改以及增加
关注互联网安全的小虾米一枚
08-05 2324
修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个,计算新的RVA,然后修改入口代码,使其指向新增加。当然,如果.text空隙足够大的话,不用添加新也可以。 BOOL ChangeOEP(CString strFilePath) { FILE* rwFile; // 被感染
修改OEPPE非代码段也可以运行?
陈刚编程心得与知识集
03-10 768
刚才测试了一下lordpe找了一个非代码区,该区域没有执行属性,然后我把peoep的地址改向这个非代码区的某位置,直接执行虽然出问题,但是用od看到是从非代码区运行了。没有执行权限,为什么还能运行呢?
添加,插入PE文件
10-31
把任何二进制文件,以新添加一个区的方式,插入到可执行文件中!
PE文件简单加密(加壳)--源码 <img src="/images/sunny.gif" ali
02-23
这个小软件通过在可执行文件(.exe)的尾部添加一个新(Section),并且修改PE的入口地址,使可执行文件在运行时,跳出一个输入密码的对话框,从而实现了简单的加密。源程序采用Delphi 6.0编写, 兼有少量的asm代码,用於可执行文件的加密。如需传播,请保留作品的完整性!
OEP.rar_OEP_Pe-file_infector
09-24
基于visual c++的 可以获取pe文件的oep,即每个exe或dll文件加载的起始地址。
OEP.rar_DLL感染_OEP_PE 感染_PE装载_oep注入
09-24
OEP感染注入呢,最主要我们要了解OEP的...当windows把一个pe文件装载完成之后,就会直接执行OEP入口,即:AddressOfEntryPoint。我们学过PE知识得知,AddressOfEntryPoint是在IMAGE_OPTIONAL_HEADER32 结构的定义里面。
读取PE文件OEP
08-21
使用三种方法读出PE文件的oep值:文件流、文件读写函数、内存映射。带源码,程序在delphi 7+WinXP sp2 下编译通过
OEP.rar_OEP_visual c
09-23
读取PE文件OEP值,带源码,VC++编写
多图表实现员工满意度调查数据分析python
最新发布
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
ollydbg手动脱壳
06-09
手动脱壳是指通过OllyDbg来脱去软件的保护壳,使得我们可以直接对软件进行修改和分析。以下是手动脱壳的一般步骤: 1. 打开OllyDbg并加载需要脱壳的程序。 2. 运行程序,并在OllyDbg中暂停程序的执行。 3. 找到程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值