c语言pe添加区段,增加PE代码 (原创, ASM 实现)

最新推荐文章于 2022-01-21 13:50:16 发布
最新推荐文章于 2022-01-21 13:50:16 发布
阅读量207 收藏
点赞数
文章标签: c语言pe添加区段

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼

invoke GlobalAlloc, GPTR , [esi].OptionalHeader.SizeOfHeaders ;开辟新的空间

mov @lpMemory, eax

invoke RtlMoveMemory, eax, _lpHead,[esi].OptionalHeader.SizeOfHeaders ;复制旧头到新头

movzx ecx, [esi].FileHeader.NumberOfSections

dec ecx

mov eax, sizeof IMAGE_SECTION_HEADER

mul ecx ;eax -> 最后一个节表头

mov edi, @lpMemory ;新DOS头

assume edi: ptr IMAGE_DOS_HEADER

add edi, [edi].e_lfanew ;新PE头

assume edi: ptr IMAGE_NT_HEADERS

mov ebx, edi

add ebx, IMAGE_NT_HEADERS ;新的第一个节表头

mov edx, ebx

add edx, eax ;edx 最后一个节表头

mov ebx, edx

add ebx, sizeof IMAGE_SECTION_HEADER ;ebx 最后一个节表尾

assume edx: ptr IMAGE_SECTION_HEADER

assume ebx: ptr IMAGE_SECTION_HEADER

pushad

xor eax, eax

mov edi, ebx

mov ecx, sizeof IMAGE_SECTION_HEADER

repz scasb

popad

.if ZERO? ;有空间插入新的节表

inc [edi].FileHeader.NumberOfSections

mov eax, [edx].PointerToRawData

add eax, [edx].SizeOfRawData ;最后一个节表单位RAW

mov [ebx].PointerToRawData, eax

mov ecx, offset APPEND_CODE_END - offset APPEND_CODE ;插入代码的大小

invoke _Align, ecx, [esi].OptionalHeader.FileAlignment ;代码关于文件对齐

mov [ebx].SizeOfRawData, eax

invoke _Align, ecx, [esi].OptionalHeader.SectionAlignment ;代码关于节对齐

add [edi].OptionalHeader.SizeOfCode, eax ;增加原来代码的大小

add [edi].OptionalHeader.SizeOfImage, eax

invoke _Align, [edx].Misc.VirtualSize, [esi].OptionalHeader.SectionAlignment

add eax, [edx].VirtualAddress ;计算新节表的虚拟地址

mov [ebx].VirtualAddress, eax

mov [ebx].Misc.VirtualSize, offset APPEND_CODE_END - offset APPEND_CODE

;设置 Characteristics (可读,可写等)

mov [ebx].Characteristics, IMAGE_SCN_CNT_CODE or IMAGE_SCN_MEM_EXECUTE \

or IMAGE_SCN_MEM_READ or IMAGE_SCN_MEM_WRITE

invoke lstrcpy, addr [ebx].Name1, offset szSectionName ;设置节表名

;*************************** 将代码写到文件的最后 **************************

invoke SetFilePointer, hFile, [ebx].PointerToRawData, NULL, FILE_BEGIN

invoke WriteFile, hFile, offset APPEND_CODE, [ebx].Misc.VirtualSize, \

addr @dwTemp, NULL

mov eax, [ebx].PointerToRawData

add eax, [ebx].SizeOfRawData

invoke SetFilePointer, hFile, eax, NULL, FILE_BEGIN

invoke SetEndOfFile, hFile

;***************************************************************************

;************************** 获取 RVA 和 RAW *********************************

push [ebx].VirtualAddress

pop @dwAddCodeBase

push [ebx].PointerToRawData

pop @dwAddCodeFile

;**************************************************************************

;************************ 修正旧的程序入口点 *******************************

push [esi].OptionalHeader.AddressOfEntryPoint

pop @dwOldEntry

mov eax, @dwAddCodeBase

add eax, offset _ToOldEntry - offset APPEND_CODE + 5

sub @dwOldEntry, eax

mov ecx, @dwAddCodeFile

add ecx, offset _dwOldEntry - offset APPEND_CODE

invoke SetFilePointer, hFile, ecx, NULL, FILE_BEGIN

invoke WriteFile, hFile, addr @dwOldEntry, 4, addr @dwTemp, 0

;***************************************************************************

;************************* 设置新的人口点 ***********************************

mov eax, @dwAddCodeBase

add eax, offset _NewEntry - offset APPEND_CODE

mov [edi].OptionalHeader.AddressOfEntryPoint, eax ;设置程序新的入口点

invoke SetFilePointer, hFile, 0,0, FILE_BEGIN

invoke WriteFile, hFile, @lpMemory, [esi].OptionalHeader.SizeOfHeaders, \

addr @dwTemp, 0

;****************************************************************************

;************************ 关闭工作 *****************************************

invoke GlobalFree, @lpMemory

;***************************************************************************

.endif

_Ret:

ret

_Infect endp

start:

invoke CreateFile, offset szSrcFileName, GENERIC_READ or GENERIC_WRITE,\

FILE_SHARE_READ or FILE_SHARE_WRITE, NULL, OPEN_EXISTING ,NULL , NULL

mov hFile, eax

invoke CreateFileMapping, hFile, NULL, PAGE_READWRITE , 0, 0, NULL

invoke MapViewOfFile, eax, FILE_MAP_WRITE or FILE_MAP_READ, 0, 0, 0

.if !eax

jmp _Exit

.endif

mov lpMemory, eax

mov esi, eax

assume esi: ptr IMAGE_DOS_HEADER

add esi, [esi].e_lfanew

invoke _Infect, lpMemory, esi

invoke CloseHandle, hFile

_Exit:

invoke ExitProcess, 0

end start

;GetKernel1.asm 文件

_GetKernelBase proc _dwKernelRet

LOCAL _dwRet

pushad

;**********************代码重定位***************

call @F

@@:

pop ebx

sub ebx, offset @B

;************************************************

mov edi, _dwKernelRet

and edi, 0ffff0000h

.while TRUE

.if word ptr [edi] == IMAGE_DOS_SIGNATURE

mov eax, edi

add eax, [eax + 003ch]

.if word ptr [eax] == IMAGE_NT_SIGNATURE

mov _dwRet, edi

.break

.endif

.endif

sub edi, 010000h

.break .if edi 

.endw

popad

mov eax, _dwRet

ret

_GetKernelBase endp

_GetAPIByName proc _dwKernelBase, _lpszAPI

LOCAL @dwRet, @dwAPILength

呵呵米
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件、可执行文件区段添加
08-01
可执行文件区段添加器,为你的PE文件添加一个区段,方便你在其中写入自己的代码
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7644
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include <stdio.h> #include <windows.h> IMAGE_DOS_HEADER DosHeader; PIMAGE_...
Pe增加区段
雪中炭的博客
10-23 1919
话说PE增加区段......//**********************************************// Method: AddEmptySection// Returns: BOOL// Parameter: PCTSTR ptFile 要添加空节的文件路径// Parameter: UINT uSize 空节的大小//****************
PE区段添加编写中的一点心得~
绝迹·危言的专栏
11-10 1981
PE区段的加区段,修改PE头的映像大小= = 代码如下: BOOL LPESection::AddSection(char *pSectionName, DWORD &dwSectionSize,DWORD dwSectionStact) {     LPVOID lPointer=NULL;  PBYTE  pData=NULL;     DWORD  newSectionAddr
C++下 VMP加壳宏
IT男也疯狂
12-09 6653
#define VMP_BEGINV \ _asm _emit 0xEB \ _asm _emit 0x10 \ _asm _emit 0x56 \ _asm _emit 0x4D \ _asm _emit 0x50 \ _asm _emit 0x72 \ _asm _emit 0x6F \ _asm _emit 0x74 \ _asm _emit 0x65 \ _asm _emit 0x63 \
PE增加区段.rar
09-18
描述中的“PE增加区段.rar”表明这是一个讨论或教程,可能包含了源代码和项目文件,用于解释如何扩展PE文件的区段。这通常涉及到编程,特别是使用汇编语言或者C/C++,可能通过修改PE文件的头信息和区段表来实现。 ...
PE头文件分析(源码 ASM实现
03-22
本文将深入探讨PE头文件的结构及其在ASM(汇编语言)中的实现,通过源码分析帮助你理解如何分析PE文件,尤其是exe格式的文件。 首先,我们需要了解PE文件的基本结构。一个PE文件主要由DOS头、PE头(NT头)和节区表...
pe 文件编程:编辑文件头.rar_asm win32_pe_头文件_编程文件
09-19
"PE 文件编程:编辑文件头.rar_asm win32_pe_头文件_编程文件"这个主题涉及到的是如何通过汇编语言(ASM)对PE文件的头部进行编程和修改。在本文中,我们将深入探讨PE文件结构、头部组件以及如何使用ASM进行编程。 ...
PE文件后添加代码
12-23
在汇编层面,我们可以直接操纵这些元数据来实现添加代码的目的。 描述中提到的“罗云彬的用汇编修改PE文件增加代码并修改入口”可能是一个示例项目,其中包含了一系列汇编源代码文件: 1. **Main.asm** - 这很可能...
JavaEE源代码 asm-2.2.2
07-08
JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2JavaEE源代码 asm-2.2.2...
EXE区段添加 EXE扩容工具
02-09
操作比较简单,设置好区段名和空间后,将单个或N个EXE拖放到窗口即可完成,结果会输出提示,这样就不用担心代码空间不够用了.
区段添加最新版.rar
03-07
游戏登陆器免杀软件防误报,GM的福音来了游戏登陆器免杀软件防误报 游戏登陆器免杀软件防误报游戏登陆器免杀软件防误报游戏登陆游戏登陆器免杀软件防误报器免杀软件防误报
专门用于加区段的工具
08-19
专门用于加区段的工具,懂得PE的同学就不用多说了.
PE文件位图资源修改源码
03-24
这是我搞了好几天才弄出来的,虽然比较简单,但还是能实现位图的替换的。当然不足之处也比较多,主要是我代码里申请缓冲区用的是new,如果要替换大的位图的话,请改为VirtualAlloc()这个函数,我就不改了
C++/MFC壳 加密压缩 VMP壳项目
qq_43572067的博客
11-17 3037
本次加壳项目已实现的功能 加密,压缩所有区段,(可保存图标,版本信息) 加密IAT VMP部分指令 支持随机基址 支持TLS处理 若干花指令,混淆代码 反调试 源码分享:https://github.com/Mr-Hock/MyShell 加壳流程: 加载反汇编引擎 处理代码(VMCODE) 处理IAT(CALLCODE) 添加区段(壳数据,代码) 加密压缩数据 写出文件 IAT加密 IA...
Pe 简单增加区段
YoseZang的博客
01-21 785
Pe 简单增加区段 原由 这几天要写个Xor加密的壳子,原来已经写过2遍,但是源码丢掉了,只能很比较无奈的重新再写。但是要增加区段啊,用LordPE增加要修改一些相关的信息,不只是在区段的界面增加一个新的区段,就很麻烦。因此写一个增加区段的工具,很简单,供大家参考。 总共用了一天时间写完,速度还可以,因为毕竟有自己写的Pe库,就很方便。 代码 #include <stdio.h> #include <Windows.h> #include <winnt.h> #inclu
c语言添加vmp保护代码,易语言使用vmp加壳保护程序
weixin_39835117的博客
05-21 3686
使用工具易语言5.8vmprotect3.0.9使用vmp保护代码的时候需要在保护的源码算法部分使用vmp的开始和结束代码标记出来,编译程序后再放入vmp的程序里,vmp会识别出这些标记出来的代码并进行加密处理,过程很简单要保护的代码放在下面两个代码中间,如果保护的代码中使用啦其它的子程序,那么那个子程序中也要这样写置入代码({235,16,86,77,80,114,111,11...
PE文件增加区段
weixin_52971884的博客
01-08 864
该程序主要是对PE文件增加区段,如果对您有帮助请点一个赞,那方面写的不好的请直接评论批评,我一定会尽最大努力改正 #include <stdio.h> #include <stdlib.h> #include <windows.h> int main () { HANDLE hfile = CreateFileA( "C:\\Users\\486\\Desktop\\WP\\magic.exe", GENERIC_ALL, FILE_SHARE_R
WinHex分析PE格式(2)&& 如何手动添加区段并运行区段
weixin_33708432的博客
08-31 421
由于这次文章内容比较多 所以写成DOC文档 为了复习所学的知识,我在原本的软件里试者手动加入区段 ,并写给大家分享,还试试者用LordPE区段发现竟然失败了, 还是自己动手比较实在,完美运行。 利用OD的汇编功能可以在新的区段为所欲为 哈哈 修改前的PE信息 修改后的PE信息  摘自:http://bbs.pediy.com/showthread.php?t=89693...
C语言代码实现windows反调试
最新发布
05-21
在 Windows 平台上,可以使用以下代码实现简单的反调试功能: ```c #include BOOL IsDebuggerPresent(VOID) { __asm { mov eax, dword ptr fs:[30h] movzx eax, byte ptr [eax+2h] } } int main() { if ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值