Pe增加区段

最新推荐文章于 2022-01-21 13:50:16 发布
最新推荐文章于 2022-01-21 13:50:16 发布
阅读量1.9k 收藏
点赞数
文章标签: header image dos file null import
话说PE增加区段......
//**********************************************

// Method: AddEmptySection

// Returns: BOOL

// Parameter: PCTSTR ptFile 要添加空节的文件路径

// Parameter: UINT uSize 空节的大小

//**********************************************

BOOL AddEmptySection(PCTSTR ptFile,UINT uSize)

{

HANDLE hFile = NULL;

HANDLE hMapping = NULL;

LPVOID bPointer = NULL;

PBYTE pData = NULL;

// 打开源文件

hFile = CreateFile(

ptFile,

GENERIC_READ|GENERIC_WRITE,

FILE_SHARE_READ|FILE_SHARE_WRITE,

NULL,

OPEN_EXISTING,

FILE_FLAG_SEQUENTIAL_SCAN,

NULL);

if (hFile == INVALID_HANDLE_VALUE)

return FALSE;



//内存映射,创建一个有名的共享内存

if (!(hMapping = CreateFileMapping(hFile, 0, PAGE_READWRITE | SEC_COMMIT, 0, dwSize, NULL)))

{

CloseHandle(hFile);

return FALSE;

}


//映射对象视图,进行读写操作

if (!(bPointer = MapViewOfFile(hMapping, FILE_MAP_ALL_ACCESS, 0, 0, dwSize)))

{

CloseHandle(hMapping);

CloseHandle(hFile);

return FALSE;

}


pData = (PBYTE)bPointer;


//检查 DOS特征

if (((PIMAGE_DOS_HEADER) pData)->e_magic != IMAGE_DOS_SIGNATURE)

{

return FALSE;

}


/ /检查文件是否被感染过

if( *(DWORD*)(((PIMAGE_DOS_HEADER) pData)->e_res2) == 19861001)

{ //已感染,跳过

UnmapViewOfFile(bPointer);

CloseHandle(hMapping);

CloseHandle(hFile);

return FALSE;

}

else

{

//设置感染标志

*(DWORD*)(((PIMAGE_DOS_HEADER) pData)->e_res2) = 19861001;

}


//检查 PE 特征

PIMAGE_NT_HEADERS pNTHdr = (PIMAGE_NT_HEADERS) (pData + ((PIMAGE_DOS_HEADER) bPointer)->e_lfanew);

if (pNTHdr->Signature != IMAGE_NT_SIGNATURE)

return FALSE;


// 检查节头(节描述)空间

if ((pNTHdr->FileHeader.NumberOfSections + 1) * sizeof(IMAGE_SECTION_HEADER) > pNTHdr->OptionalHeader.SizeOfHeaders)

return FALSE;


// Calculate code and file delta

DWORD uCodeDelta = ZALIGN(uSize, pNTHdr->OptionalHeader.SectionAlignment);

DWORD dwFileDelta = ZALIGN(uSize, pNTHdr->OptionalHeader.FileAlignment);


// 获得新节头 和前一个节头

PIMAGE_SECTION_HEADER pNewSec = (PIMAGE_SECTION_HEADER) (pNTHdr + 1) + pNTHdr->FileHeader.NumberOfSections;

PIMAGE_SECTION_HEADER pLastSec = pNewSec - 1;


//这里是填充新节头

memcpy(pNewSec->Name, ".Qing", 6);

pNewSec->VirtualAddress = pLastSec->VirtualAddress + ZALIGN(pLastSec->Misc.VirtualSize, pNTHdr->OptionalHeader.SectionAlignment);

pNewSec->PointerToRawData = pLastSec->PointerToRawData + pLastSec->SizeOfRawData;

pNewSec->Misc.VirtualSize = uSize;

pNewSec->SizeOfRawData = 0;//uCodeDelta;

pNewSec->Characteristics = IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE ;//节属性


// 修改下IMAGE_NT_HEADERS,增加新节

pNTHdr->FileHeader.NumberOfSections++;

pNTHdr->OptionalHeader.SizeOfCode += uCodeDelta;

pNTHdr->OptionalHeader.SizeOfImage += dwFileDelta;

// pNTHdr->OptionalHeader.AddressOfEntryPoint;//no change here

pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size = 0;

pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress = 0;


UnmapViewOfFile(bPointer); //解除映射

CloseHandle(hMapping);

CloseHandle(hFile);

return TRUE;

}
wbly0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EXE区段添加 EXE扩容工具
02-09
操作比较简单,设置好区段名和空间后,将单个或N个EXE拖放到窗口即可完成,结果会输出提示,这样就不用担心代码空间不够用了.
区段添加最新版.rar
03-07
游戏登陆器免杀软件防误报,GM的福音来了游戏登陆器免杀软件防误报 游戏登陆器免杀软件防误报游戏登陆器免杀软件防误报游戏登陆游戏登陆器免杀软件防误报器免杀软件防误报
Pe 简单增加区段
YoseZang的博客
01-21 788
Pe 简单增加区段 原由 这几天要写个Xor加密的壳子,原来已经写过2遍,但是源码丢掉了,只能很比较无奈的重新再写。但是要增加区段啊,用LordPE增加要修改一些相关的信息,不只是在区段的界面增加一个新的区段,就很麻烦。因此写一个增加区段的工具,很简单,供大家参考。 总共用了一天时间写完,速度还可以,因为毕竟有自己写的Pe库,就很方便。 代码 #include <stdio.h> #include <Windows.h> #include <winnt.h> #inclu
c语言pe添加区段,增加PE代码 (原创, ASM 实现)
weixin_31295867的博客
05-21 207
该楼层疑似违规已被系统折叠隐藏此楼查看此楼invokeGlobalAlloc,GPTR,[esi].OptionalHeader.SizeOfHeaders;开辟新的空间mov@lpMemory,eaxinvokeRtlMoveMemory,eax,_lpHead,[esi].OptionalHeader.SizeOfHeaders;复制旧头到新头movzxecx,[e...
PE文件增加区段
weixin_52971884的博客
01-08 864
该程序主要是对PE文件增加区段,如果对您有帮助请点一个赞,那方面写的不好的请直接评论批评,我一定会尽最大努力改正 #include <stdio.h> #include <stdlib.h> #include <windows.h> int main () { HANDLE hfile = CreateFileA( "C:\\Users\\486\\Desktop\\WP\\magic.exe", GENERIC_ALL, FILE_SHARE_R
PE增加区段.rar
09-18
标题“PE增加区段.rar”涉及的是Windows操作系统中可执行文件(Portable Executable, PE)结构的修改,尤其是关于如何在PE文件中增加新的区段(section)。在Windows环境中,可执行文件(如.exe和.dll)都采用PE格式...
PE文件加区段工具zeroadd
04-26
通过增加新的区段,我们可以向文件中插入自定义的代码或数据,这对于编写注入模块、实现免杀技术或者进行反编译分析都非常关键。 ZeroAdd作为一款免杀必备的加区段工具,它的主要功能就是为PE文件添加一个新的区段...
增加区段工具----------
12-22
增加区段工具的工作原理可能是通过解析可执行文件的格式(例如PE格式,这是Windows系统中的标准格式),然后在其结构中插入新的区段。这可能涉及修改文件头信息,更新区段表,并在内存映射时确保新的区段得到正确的...
PE工具 PeRebuilder资源优化 v0.42
最新发布
03-16
描述中提到的“增加EXE文件区段用”,是指在PE文件结构中,区段(Section)是重要的组成部分。每个PE文件由一个或多个区段组成,它们包含了程序的代码、数据、资源等。区段在内存中以页对齐的方式加载,通过调整区段...
PE_Study ver 0.95 (PE 查看工具)
08-11
■提供给PE增加区段功能。(本人没有PE64系统,因此PE64加区段未测试。) ■提供RVA转FOA功能。 未来版本可能增加功能: □直接修改PE功能。(ListControl需要加强了) □右键查看内存功能。 □暂时就想到这些。能...
专门用于加区段的工具
08-19
专门用于加区段的工具,懂得PE的同学就不用多说了.
PE区段添加器.exe
11-02
PE区段添加器.exe 免杀必备工具 2011最新版
关于PE文件新区段的创建
dasgk的专栏
08-25 1617
对于为已有的EXE文件加壳,一般我们会创建一个新的区段,在该区段中写入的是外壳代码。   新加一个区段,通常会有三个步骤   1.首先修改PE文件头部信息,NT头部的区段数目,修改OPTIONAL头部的镜像大小   2.向内存中申请一个IMAGE_SECTION_HEADER的内存模型,并修改其各个变量(区块的偏移位置和大小,文件相对虚拟地址和大小)   3.写入文件   现在说下IMA
WinHex分析PE格式(2)&& 如何手动添加区段并运行区段
weixin_33708432的博客
08-31 423
由于这次文章内容比较多 所以写成DOC文档 为了复习所学的知识,我在原本的软件里试者手动加入区段 ,并写给大家分享,还试试者用LordPE区段发现竟然失败了, 还是自己动手比较实在,完美运行。 利用OD的汇编功能可以在新的区段为所欲为 哈哈 修改前的PE信息 修改后的PE信息  摘自:http://bbs.pediy.com/showthread.php?t=89693...
PE区段添加编写中的一点心得~
绝迹·危言的专栏
11-10 1984
PE区段的加区段,修改PE头的映像大小= = 代码如下: BOOL LPESection::AddSection(char *pSectionName, DWORD &dwSectionSize,DWORD dwSectionStact) {     LPVOID lPointer=NULL;  PBYTE  pData=NULL;     DWORD  newSectionAddr
PE】加区段
Mr.Out的专栏
08-17 536
<br />方法一:<br /> <br />方法二:<br />      增加最后一个区段大小 在增加区域添加Code
PE文件的感染C++源代码
杨航的专栏
12-10 2896
PE文件的感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先
Win32平台下的PE文件格式深度解析
7. **区段表**(Section Table):PE文件被划分为多个区段,每个区段包含了代码或数据,如.text(代码)、.data(已初始化数据)、.bss(未初始化数据)、.rdata(只读数据)、.idata(导入数据)等。 8. **导出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值