【PE】手动给PE文件添加一段代码MessageBoxA

最新推荐文章于 2023-03-05 15:44:00 发布
最新推荐文章于 2023-03-05 15:44:00 发布
阅读量844 收藏 1
点赞数
原文链接:http://www.cnblogs.com/biaoge140/p/9108624.html
版权

源程序是这个样子:

思路:

1、通过LordPE工具拿到所需数据

2OllyDebug通过BP MessageBoxA拿到MessageBoxA地址

3UE十六进制编辑器定位代码节基址

4、在代码节找到一处空白区

5、写入代码对应的十六进制数据

6CallMessageBoxACallE8

7Jmp到原OEP,Jmp:E9

8、修改原OEP为写入数据地址

 

准备工作:

测试程序

LordPE工具

OllyDebug

UE十六进制编辑器

 

通过LordPE工具拿到所需数据:

AddressOfEntryPointer(OEP) :0005CDD1

ImageBase :      00400000

.text(VOffset) :      00001000

.text(Vsize) :      0007A4F2

通过OllyDebug的指令拿到MessageBoxA地址:

MessageBoxA :      767674C0

 

实战开始

定位代码节尾部:VOffset + VSize = 00001000 + 0007A4F2 = 7B4F2

我在这行的下一行找到空白区:0007b500

 

MessageBoxA参数压栈,假设参数都为0,那么有(push 0)*4

对应十六进制:6A 00 6A 00 6A 00 6A 00OKey,填进去。

 

压栈后可以Call MessageBoxA了。

Call的实际地址需要转换,转换公式:

Call的地址 - (Call所在内存地址+5) = MessageBoxA地址 - (47B508+5) = 767674C0 - (47B508+5) = 762EBFB3

所以Call MessageBoxA对应十六进制:E8 B3 BF 2E 76

 

假设程序执行到这了,写入的代码执行完毕后就要JmpOEP干它应该干的活了。

Jmp到原地址,同样按照上面的地址转换对应十六进制:E9 BF 18 FE FF

 

修改原OEP为写入代码的地址,也就是刚才找的空白区:0007b500

通过PE结构的方式定位到原OEP根据地,OEPIMAGE_OPTIONAL_HEADERAddressOfEntryPointer,具体偏移相对可选头0x10位置

 

改为刚才的写入代码的地址

 

Ok,测试一下改过后的程序效果

它会先执行写入的代码,弹出一个弹框

然后再做它应该做的

 

只是记录一下操作流程,这个是最简单的,文件对齐和内存对齐一样,不用RVA什么的转化地址,将代码写入代码节,不用改节属性。

转载于:https://www.cnblogs.com/biaoge140/p/9108624.html

weixin_33939843
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OD的简单使用以及一个小程序的破解
tell_me_404的博客
07-26 2089
OD的简单使用一、下载二、窗口三、调试打开方式调试中我们经常要用到的快捷键有这些:附:破解(绕过)一个CRACKME.EXE1、分析程序2、使用OD打开3、寻找 MessageBoxA()函数在何处被调用找到了 MessageBoxA()函数在何处被调用,如下图所示分析反汇编程序接下来是重点操作(思路)成功!!!!!另一种方法:直接修改程序汇编代码 从这这篇博客开始开一个新坑:reverse 的入门 OD(OllyDbg)和IDA Pro这两款工具分别是调试逆向的两款重要工具。虽然两者都兼容动态和静态的调试
PE文件节区添加并弹出简单的对话框
12-03
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
pe文件添加messagebox
lansefly1990的专栏
03-31 706
最近在看滴水的逆向视频,看到如何向pe文件添加messagebox,主要添加过程如下: 说明: 给小bug刷钻.exe程序添加一个messagebox的弹窗 1、添加思路 为了实现给目标程序添加弹框,由于程序在运行时都是二进制形式,所以先要获取添加的shellcode的编码,然后在程序的可执行区域加入恶意代码,此处的可执行区域主要是指代码区的空白区。(只有代码区才有可有可执行权限,空白区主要是指VirtualAddress补齐后的区域,如下图标注区域) 添加完后,需要执行call函数调佣恶意
PE添加代码
个人笔记
05-21 248
PE中写入Shellcode需要用到的数据必须掌握的知识实现步骤 需要用到的数据 AddressOfEntryPoint ImageBase SizeofRawData VirtualSize 必须掌握的知识 实现的功能:执行完添加代码后,跳回原来的入口。 硬编码知识: call : E8 X=[(真正跳转的地址-(E8下一行的指令地址))] //X得出来的地址必须是内存加载时的地址 jmp : E9 [同上公式] 变式:X = 真正跳转的地址-(E8当前地址+5) 注:下一行地址 = 当前地址+
0.masm32-搭建环境和MessageBoxA弹框
hgy413的专栏
06-05 945
复习MASM32,温故而知新
PE实战教程之空白节添加代码
weixin_43742894的博客
04-01 709
想要添加代码:弹出一个messagebox。 如果想要调用messagebox,可以看到下面的代码,就是push 参数,call函数地址。 1.寻找OEP所对应的文件偏移位置. 首先随便找一个文件,查看扩展头中OEP RVA 以及 ImageBase, 并且换算出属于哪个节.并且转换为文件偏移. OEP的RVA为00012180,imagebase为00400000。 那么内存中OEP开始位置就是 RVA +Imagebase == 00012180+ 00400000== 0x00412180。  查
C++判断pe文件实例
09-04
这段代码首先通过`CFileDialog`打开一个对话框让用户选择文件。然后,使用`CreateFile`函数打开所选文件,并获取文件句柄。接着,它读取文件的前`sizeof(IMAGE_DOS_HEADER)`字节到`dosHeader`结构中,检查`e_magic`...
InfectPE-将自定义代码插入PE文件[此项目不再维护]-C/C++开发
05-26
使用此工具,您可以将x代码/ shellcode注入PE文件。 InjectPE仅适用于32位可执行文件。 为什么需要InjectPE? 您可以测试您的安全产品。 用于网络钓鱼活动。 了解如何PE注入使用此工具,您可以将x代码/ shellcode...
修改exe PE格式中的IAT API钩子 通过修改IAT表实现 截获API调用,替换之.zip
01-19
在提供的文件列表中,`1修改PE格式中的IAT API钩子 通过修改IAT表实现 截获MessageBoxW MessageBoxA等API 可自由修改自定义API实现函数.txt`很可能包含了具体实现的步骤和代码示例。`Module32First ...
PE文件增添启动时对话框
03-17
http://blog.csdn.net/wudaijun/article/details/8684822 增强对地址空间,文件映射,PE文件格式的理解和应用。 用VS2008开发。
给软件添加弹窗教程 软件添加弹窗
02-07
给软件添加弹窗教程给软件添加弹窗教程给软件添加弹窗教程给软件添加弹窗教程给软件添加弹窗教程给软件添加弹窗教程
一般断点
weixin_30460489的博客
09-04 322
拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndirect(A...
pe文件结构在空白区添加代码
goat_2003的博客
06-10 448
想要再空白区添加代码,首先我们需要清晰一下我们需要做的步骤。 1.查找本机MessageBoxA地址 2.打开OD调试工具拖入要添加的exe程序。 3.在命令中输入 : (输入后按下回车键) 4.找任意一段空白区添加代码 (最好是添加到 空白区开始预留一行的位置,便于以后再添加更多代码节约空间) 5.计算E8跳转的地址 6.修改OEP (程序入口的点) 预备知识 汇编指令 硬编码 call E8 00 00 00 00 jmp E9 00 00 00 00 push 6A .
滴水三期:day31.1-代码节空白区添加代码
Edimade的博客
05-02 1134
一、代码节空白区添加代码(1.MessageBox函数说明>2.call与jmp指令的硬编码>3.添加代码效果说明>4.添加思路)>二、作业(1.在代码空白区添加代码(手动))
节空白区添加自己的代码【滴水逆向44笔记】
WdIg-2023的博客
03-05 421
我们了解PE结构就知道,节与节之间有一些空白区,那么我们能否在这些空白区添加自己的代码呢?答案是肯定的,我们来看看这一节课的内容:
破解常用断点和方法
bilibili的博客
06-16 5712
断点和方法
对于VB的程序用bp MessageBoxA是无法断下来的,bp rtcMsgBox
az44yao的专栏
11-15 847
对于VB的程序用bp MessageBoxA是无法断下来的,bp rtcMsgBox
MessageBoxA的用法
热门推荐
远上寒杉的专栏
01-13 2万+
一、函数原型:int __fastcall MessageBox(const char * Text, const char * Caption, int Flags = 0x0);Flags表示对话框的按钮组合,取值有:/* * MessageBox() Flags */#define MB_OK                       0x00000000L#define MB_OKC
MessageBoxA
最新发布
08-17
MessageBoxA是Windows API中的一个函数,用于在应用程序中显示一个消息框(message box)。它的原型如下: ```cpp int MessageBoxA( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType ); ``` 参数解释如下: - `hWnd`:窗口的句柄,指定了消息框的父窗口。可以是一个窗口的句柄,也可以是NULL。 - `lpText`:消息框中显示的文本内容,以字符串形式传入。 - `lpCaption`:消息框的标题,以字符串形式传入。 - `uType`:消息框的类型,用于指定显示的按钮和图标等。可以是一组预定义的常量,例如MB_OK、MB_YESNO等。 函数返回一个整数值,表示用户在消息框上点击的按钮。 需要注意的是,MessageBoxA是使用ANSI字符集版本的函数。Unicode环境中,更常用的是MessageBoxW函数,它使用了Unicode字符集。如果你使用的是Qt,Qt也提供了类似功能的弹窗对话框,例如QMessageBox类。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值