c语言编辑一个新文件,用C语言给PE文件添加一个新 section

最新推荐文章于 2022-11-19 14:14:04 发布
最新推荐文章于 2022-11-19 14:14:04 发布
阅读量266 收藏
点赞数
文章标签: c语言编辑一个新文件

#include #ifndef _IMAGEHLP_H

#include "imagehlp.h"

#pragma comment ( lib, "imagehlp.lib" )

#endif

#pragma warning(disable : 4996)

// 根据传入的dwAlign粒度调整内存中或文件中对齐后的大小

DWORD Align(DWORD dwNum, DWORD dwAlign){

if (dwNum % dwAlign == 0){

return dwNum;

}else{

return (dwNum / dwAlign + 1) * dwAlign;

}

}

int main(int argc, char* argv[]){

char szFilePath[MAX_PATH];// PE 路径

OPENFILENAME ofn;

HANDLE hFile;// 文件句柄

HANDLE hMapping;// 映射文件句柄

LPVOID ImageBase;// 映射基址

PIMAGE_DOS_HEADER pDH = NULL;// 指向 IMAGE_DOS 结构的指针

PIMAGE_NT_HEADERS pNtH = NULL;// 指向 IMAGE_NT 结构的指针

PIMAGE_FILE_HEADER pFH = NULL;// 指向 IMAGE_FILE 结构的指针

PIMAGE_OPTIONAL_HEADER pOH = NULL;// 指向 IMAGE_OPTIONALE 结构的指针

PIMAGE_SECTION_HEADER pSH1 = NULL;// 指向 IMAGE_SECTION_TABLE 结构的指针first

PIMAGE_SECTION_HEADER pSH2 = NULL;// 指向 IMAGE_SECTION_TABLE 结构的指针two

PIMAGE_SECTION_HEADER pSH3 = NULL;// 指向 IMAGE_SECTION_TABLE 结构的指针three

memset(szFilePath, 0, MAX_PATH);

memset(&ofn, 0, sizeof(ofn));

ofn.lStructSize = sizeof(ofn);

ofn.hwndOwner = NULL;

ofn.hInstance = GetModuleHandle(NULL);

ofn.nMaxFile = MAX_PATH;

ofn.lpstrInitialDir = ".";

ofn.lpstrFile = szFilePath;

ofn.lpstrTitle = "选择 PE 文件打开";

ofn.Flags = OFN_PATHMUSTEXIST | OFN_FILEMUSTEXIST | OFN_HIDEREADONLY;

ofn.lpstrFilter = "*.exe\0*.exe\0";

if (!GetOpenFileName(&ofn)){

MessageBox(NULL, "打开文件错误", NULL, MB_OK);

return 0;

}

// 选择要分析的文件后,经过3步打开并映射 PE 到虚拟内存中_CreateFile_CreateFileMapping_MapViewOfFile

// 1.创建文件内核对象,其句柄保存于 hFile,将文件在物理存储器的位置通告给操作系统

hFile = CreateFile(szFilePath, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);

if (!hFile){

MessageBox(NULL, "打开文件错误", NULL, MB_OK);

return 0;

}

// 2.创建文件映射内核对象(分配虚拟内存),句柄保存于 hFileMapping

hMapping = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, 0, NULL);

if (!hMapping){

CloseHandle(hFile);

return FALSE;

}

// 3.将文件数据映射到进程的地址空间,返回的映射基址保存在 ImageBase 中

ImageBase = MapViewOfFile(hMapping, FILE_MAP_WRITE, 0, 0, 0);

if (!ImageBase){

CloseHandle(hMapping);

CloseHandle(hFile);

return FALSE;

}

pDH = (PIMAGE_DOS_HEADER)ImageBase;// IMAGE_DOS Header 结构指针

pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH->e_lfanew);// IMAGE_NT Header 结构指针

pFH = &pNtH->FileHeader;// IMAGE_File Header 结构指针

pOH = &pNtH->OptionalHeader;// IMAGE_Optional Header结构指针

pSH1 = IMAGE_FIRST_SECTION(pNtH);// IMAGE_FIRST_SECTION 宏

pSH2 = (PIMAGE_SECTION_HEADER)((DWORD)pNtH + sizeof(IMAGE_NT_HEADERS));

pSH3 = (PIMAGE_SECTION_HEADER)((DWORD)pDH + pOH->SizeOfHeaders);

if (pDH->e_magic != IMAGE_DOS_SIGNATURE || pNtH->Signature != IMAGE_NT_SIGNATURE){

printf("Not a valid PE file...");

return -1;

}

// 创建PSection指针指向原程序中的第一个Section,并创建一个新的Section结构体 secToAdd

PIMAGE_SECTION_HEADER pSection = NULL;

IMAGE_SECTION_HEADER secToAdd = { 0 };// 节区名 Name

// 属性 Characteristics

// 实际被使用的区块大小 Misc.VirtualSize

// 节区在磁盘文件中的大小 SizeOfRawData

// 节区在内存中的RVA VirtualAddress

// 节区在磁盘中的偏移 PointerToRawData

pSection = (PIMAGE_SECTION_HEADER)((BYTE*)pOH + pFH->SizeOfOptionalHeader);// 定位到节区表

DWORD dwSectionNum = pFH->NumberOfSections;

DWORD dwSectionAlign = pOH->SectionAlignment;

DWORD dwFileAlign = pOH->FileAlignment;

DWORD dwOEP = pOH->AddressOfEntryPoint;// 程序执行入口地址VA

dwOEP = (DWORD)(pOH->ImageBase + dwOEP);// 映射起始地址+执行入口地址

pSection = pSection + dwSectionNum - 1;// 将PSection指向原程序节区表中最后一个Section表,这是关键一步,因为新节区所有属性和原来最后一个节区是相同的

strcpy((char *)secToAdd.Name, ".newSec");// 设置新添加的section的名字

secToAdd.Characteristics = pSection->Characteristics;// 设置新添加的section的属性值,与最后一个section取值相同

DWORD vsize = 0x2A01;// 新section大小设置

secToAdd.Misc.VirtualSize = vsize;

secToAdd.SizeOfRawData = Align(secToAdd.Misc.VirtualSize, dwFileAlign);// 根据之前定义的Align函数调用,得到经过处理后的section尺寸大小,经调整后实际大小为0x234,对齐后大小为0x400

secToAdd.VirtualAddress = pSection->VirtualAddress +

Align(pSection->Misc.VirtualSize, dwSectionAlign);// 调用Align函数,得到经过内存对齐处理后的尺寸,新Section的RVA等于原程序最后一个Section的RVA加上该节在内存中的映射尺寸

secToAdd.PointerToRawData = pSection->PointerToRawData + pSection->SizeOfRawData;// 新Section的FA地址等于最后一个Section的FA加上该节的文件对齐尺寸

pSection++;// pSection指向原程序中最后一个节表的下一个,写入新的节表结构

secToAdd.Characteristics = 0xE00000E0;// pSection->Characteristics = 0xE00000E0;

memcpy(pSection, &secToAdd, sizeof(IMAGE_SECTION_HEADER));// 将最后一个节区拷贝到新建的节区

// 打印新节区信息

printf("\n节表添加成功,新节表的信息为:\n");

printf("\nName = %s", secToAdd.Name);

printf("\nVirtualSize = %08lX", secToAdd.Misc.VirtualSize);

printf("\nVirtualAddress = %08lX", secToAdd.VirtualAddress);

printf("\nSizeOfRawData = %08lX", secToAdd.SizeOfRawData);

printf("\nPointerToRawData = %08lX", secToAdd.PointerToRawData);

printf("\n");

// 添加完信息之后要进行三个修改:①修改节区数量NumberOfSections

//②映像大小

//③扩充原PE文件的大小,将Section真正写入到尾部

pNtH->FileHeader.NumberOfSections += 0x1;// 更改PE文件中节表的数量

pOH->SizeOfImage = pOH->SizeOfImage + Align(secToAdd.Misc.VirtualSize, dwSectionAlign);// 修改程序的映像大小,比如VirtualSize=200,SectionAlign=200,那么最后就是400

BYTE bNum = '\x0';// 修改文件大小

DWORD dwWritten = 0;

::SetFilePointer(hFile, 0, 0, FILE_END);

::WriteFile(hFile, &bNum, secToAdd.SizeOfRawData, &dwWritten, NULL);

::UnmapViewOfFile(ImageBase);

::CloseHandle(hMapping);

::CloseHandle(hFile);

return 0;

}

weixin_39715348
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE添加,删除SECTION
push0714的专栏
12-14 858
PE添加,删除SECTION这两天空闲,自己写了个添加,删除SECTION的程序,发现里面的技巧很多,需要注意的地方也很多,现把心得写上,希望能给正在学习PE文件的朋友提供方便。关于PE的格式,PE的基本知识,请参看其他相关文章。添加SECTION添加SECTION的前提是在最后一个SECTION与第一个区块之间有足够的空间)添加
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 2991
 不赖猴的笔记,转载请注明出处。一、        Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section
基于VC++实现PE的修改编程
weixin_30610755的博客
05-11 223
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。 DOS-stub(DOS...
PE文件添加一个Section
weixin_30426065的博客
04-21 358
背景 之前说过直接向类HelloWorld.exe的可执行文件添加一个MessageBox弹窗, 但有时候, 需要添加的内容太多了, 因为数据与代码一起插入, 以至于可执行文件本身没有足够的空闲空间存放这些内容时, 就需要添加一个Section. 确认节区头后面还有空间 用工具查看一下最后一个节区头后面是否还有多余的空间, 一般情况都会有的. 但若没有的话, 就要移动节区头后...
修改PE文件,在空白处添加代码(添加messagebox)#笔记
Sanshul的博客
11-19 649
修改PE文件,在空白处添加代码
C语言怎么获得进程的PE文件信息
09-02
1. **DOS头(IMAGE_DOS_HEADER)**:这是PE文件的起点,通常包含一个MZ标识,表示这是一个可执行的DOS程序。在C语言中,你可以定义一个`IMAGE_DOS_HEADER`结构体来存储这个头的信息,如`myDosHeader`。 2. **e_...
PE文件解析器的原理(C语言代码)
01-16
在本话题中,我们将探讨如何使用C语言来编写一个PE文件解析器,仅依赖于几个Win32 API函数,并且着重构建解析器的基本框架。 首先,了解PE文件结构至关重要。PE文件的头部由DOS头和NT头组成。DOS头是一个小型的DOS...
PE文件添加节.zip
08-19
PE文件添加节是一个涉及到Windows可执行文件结构和编程技术的主题。PE(Portable Executable)文件格式是Microsoft Windows操作系统中用于存放可执行程序、动态链接库(DLL)等类型的文件的标准格式。在这里,我们...
PE文件解析器
12-01
- **读取DOS头**: 首先,解析器需要识别DOS头的魔数("MZ"),确认这是一个PE文件。 - **找到NT头**: 在DOS头的末尾,有PE头的偏移量,解析器跳转到这个位置开始解析NT头。 - **解析COFF头和NT头**: 从中获取文件...
修改PE文件中位图和图标 C语言源代码 适合想了解PE文件中资源组织方式的读者
11-22
PE(Portable Executable)文件是Windows...对于学习者来说,这是一个很好的实践项目,可以提高对PE文件结构和Windows编程的理解。同时,这样的工具也可以用于其他自动化或定制化的需求,比如软件本地化或资源替换。
c语言section作用,PE文件格式系列(一)——探究PE文件常见Section作用
weixin_39731845的博客
05-16 599
最近由于各种原因想要研究一下PE文件,要彻底研究PE和COFF文件格式当然是非研究微软自己的技术白皮书——《Microsoft Portable Executable and Common Object File Format Specification》不可了。于是花了一点时间看看,有些心得,和大家分享一下。首先本文不是讨论PE文件格式本身的,这属于技术规范的范畴,大家要是感兴趣可以参看上文中提...
c语言pe添加区段,C语言: 在PE文件中插入一个可执行的
weixin_28881749的博客
05-21 438
/** Version: Build 06* Written by bombless.* TimeStamp: 2012-1-1 16:40:57 UTC+8* File: C:\Users\bombless\Desktop\mod-pe-build6.c* Compiler: gcc (GCC) 3.4.2 (mingw-special)* gcc compile command line: g...
GCC指定某个c文件里的函数或者变量到某个section
qq_14892521的博客
07-29 2004
.o(.func_text_section)//使用attribute属性指向该段的函数。2定义func段,将文件file_a.c、file_b.c、file_c.c中的函数放到这个段。3定义data段,将文件file_a.c、file_b.c、file_c.c中的数据放到这个段。注意需要初始化阶段对代码和数据进行重定向,从DDR的存储地址拷贝到实际的运行地址去。1定义某个section的属性。...
c语言 section用法,C语言.so如何把它推倒?这两种玩法足够一辈子!
weixin_39769228的博客
05-23 546
原标题:C语言.so如何把它推倒?这两种玩法足够一辈子!提前祝大家春快乐!上一节说了静态库,这一节说下动态库,然后再说下两者的区别,让你一次搞定这个玩意。我们先看代码,这里只是用了add,没有输出结果,但不影响我们演示,看代码: 我们把add.c编译成so库,gcc -fPIC -shared add.c -o libadd.so ,这里关键点就是PIC这个参数,以及shared ,PIC代表的...
C语言中__attribute((section(name)))简单示例
weixin_38006908的博客
10-11 7536
linux下使用readelf -S prog, 可以看到一张elf格式的表。表中以.开头的是一个一个的段。 __attribute((section(name)))的作用就是将被该属性修饰的符号都放到名为name的段中。 示例代码main.c中的_func1与_func2被__section宏修饰,最终都会被放到自定义的名为.app_init_sec段中。 #include <std...
c语言section作用,[原创]代码二次开发 C语言实现给自己的PE文件添加一个section(区段)...
weixin_39846364的博客
05-16 829
#include#include#include//引入外部库,也可以在project----setting---link中设置#ifndef_IMAGEHLP_H#include"imagehlp.h"#pragmacomment(lib,"imagehlp.lib")#endif//根据传入的dwAlign粒度调整内存中或文件中对齐后的大小DWORDAlign(DWOR...
c语言 变量 section,__attribute__ 指定函数、变量到某个特定的section
weixin_42294133的博客
05-18 2718
我们先来看一个业务逻辑需求:假设项目需要把RAM分2个bin区域, bin1负责OS,以及一些驱动,BIN2负责相对业务,我想只让BIN1可定义全局变量,BIN2可以使用,但是不可以定义全局变量。该如何实现?__attribute__ 和section__attribute__这个关键词是GNU编译器中的编译属性,ARM编译器也支持这个用法。__attribute__主要用于改变所声明或定...
C语言程序设计】第十一章-文件PPT课件.ppt
最新发布
11-24
文件的关闭使用fclose函数,该函数接受一个文件指针作为参数,用于关闭该文件文件的读取可以使用fgetc函数、fgets函数和fread函数等。fgetc函数用于读取一个字符,fgets函数用于读取一行字符串,fread函数用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值