PE节表合并(修正前两个合并节)

最新推荐文章于 2024-04-18 21:59:31 发布
最新推荐文章于 2024-04-18 21:59:31 发布
阅读量106 收藏
点赞数
分类专栏: C++ 逆向基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408832/article/details/118189310
版权 
开始以为很简单(直接可以进行文件更改)

一开始的思路

主要是是对节表进行合并

1: 更改节表(变为一个,更改内存大小, 更改文件大小)

2:更改属性

3: 更改节的数目

直接使用文件修改的方法(手动修改方法)

全部无法运行, 蛋疼的厉害

然后,直接先转换为 ImageBuffer,  再次修改, 几个属性,才搞定

我也不知道为什么.

贴一下修改的代码

// PEOperate.cpp: implementation of the PEOperate class.

//

//

#include "PEOperate.h"

//

// Construction/Destruction

//

#include "windows.h"

#include "stdio.h"

#define MESSAGEBOXADDR0x77D507EA

#define SHELLCODELENGTH 0x12

BYTE shellCode[]={

0x6A,00,0x6A,00,0x6A,00,0x6A,00,

0xE8,00,00,00,00,

0xE9,00,00,00,00

};

//加载PE文件到内存中

LPVOID ReadPEFile(LPSTR lpszFile)

{

FILE *pFile = NULL;

DWORD fileSize = 0;

LPVOID pFileBuffer = NULL;

//打开文件

pFile = fopen(lpszFile,"rb");

if(!pFile)

{

printf("无法打开文件EXE文件");

return NULL;

}

fseek(pFile,0,SEEK_END);

fileSize = ftell(pFile);

fseek(pFile,0,SEEK_SET);

//分配缓冲区

pFileBuffer = malloc(fileSize);

if(!pFileBuffer)

{

printf("分配空间失败!\n");

fclose(pFile);

return NULL;

}

//文件读取

size_t n = fread(pFileBuffer,fileSize,1,pFile);

if(!n)

{

printf("读取数据失败\n");

free(pFileBuffer);

fclose(pFile);

return NULL;

}

//关闭文件

fclose(pFile);

return pFileBuffer;

}

//内存直接写入到文件

void WirteToFile(LPVOID pFileBuffer,size_t fileSize,LPSTR lpszFile)

{

FILE *pFile = NULL;

//打开文件

pFile = fopen(lpszFile,"wb");

if(!pFile)

{

printf("无法打开文件EXE文件");

return;

}

size_t writeSize = fwrite(pFileBuffer,fileSize,1,pFile);

printf("WirteSize:%d\n",writeSize);

//关闭文件

fclose(pFile);

return;

}

//打印所有的PE头信息

VOID PrintNTHeaders(LPSTR lpszFile)

{

LPVOID pFileBuffer = NULL;

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

pFileBuffer= ReadPEFile(lpszFile);

if(!pFileBuffer)

{

printf("文件读取失败\n");

return;

}

//MZ标志

if(*((PWORD)pFileBuffer)!=IMAGE_DOS_SIGNATURE)

{

printf("不是有效的MZ标志\n");

free(pFileBuffer);

return;

}

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

//打印DOS头

printf("------------DOS头------------\n");

printf("MZ标志: %x\n",pDosHeader->e_magic);

printf("PE偏移: %x\n",pDosHeader->e_lfanew);

//判断是否是有效的PE 

if(*((PDWORD)((DWORD)pFileBuffer+pDosHeader->e_lfanew))!=IMAGE_NT_SIGNATURE)

{

printf("不是有效的PE标志\n");

free(pFileBuffer);

return;

}

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);

//打印NT头

printf("------------NT头------------\n");

printf("Signature: %x\n",pNTHeader->Signature);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

printf("------------标准PE头--------\n");

printf("Machine: %x\n",pPEHeader->Machine);

printf("节的数量: %x\n",pPEHeader->NumberOfSections);

printf("SizeOfOptionHeaders: %x\n",pPEHeader->SizeOfOptionalHeader);

//可选择PE头

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

printf("------------OPTION_PE头--------\n");

printf("Machine: %x \n",pOptionHeader->Magic);

printf("OEP: %x \n",pOptionHeader->AddressOfEntryPoint);

printf("ImageBase: %x \n",pOptionHeader->ImageBase);

printf("SectionAlignment: %x \n",pOptionHeader->SectionAlignment);

printf("FileAlignment: %x \n",pOptionHeader->FileAlignment);

printf("SizeOfImage: %x \n",pOptionHeader->SizeOfImage);

printf("SizeOfHeaders: %x \n",pOptionHeader->SizeOfHeaders);

//节表的信息(分别打印)

//确定节表的个数:

int Section_Number = pPEHeader->NumberOfSections;

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

for(int i=0;i<Section_Number;i++)

{

printf("------------节表信息:%d--------\n",i+1);

printf("Name: %s \n",pSectionHeader->Name);

printf("VirualSize : %x\n",pSectionHeader->Misc);

printf("VirualAddress: %x\n",pSectionHeader->VirtualAddress);

printf("SizeOfRawData: %x \n",pSectionHeader->SizeOfRawData);

printf("PointerToRowData: %x \n",pSectionHeader->PointerToRawData);

//下一个节表

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+40);

}

//释放内存

free(pFileBuffer);

}

//将PE的FileBuffer拷贝到ImageBuffer

LPVOID CopyFileBufferToImageBuffer(LPVOID pFileBuffer)

{

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

if(!pFileBuffer)

{

printf("文件读取失败\n");

return NULL;

}

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

DWORD ImageSize = pOptionHeader->SizeOfImage;

//LPVOID pImageBuffer=NULL;

//分配缓冲区

LPVOID pImageBuffer=NULL;

pImageBuffer = malloc(ImageSize);

if(!pImageBuffer)

{

printf("pImageBuffer分配空间失败!\n");

return NULL;

}

//printf("%x \n",ImageSize);

memset(pImageBuffer,0,ImageSize);

//分段拷贝数据到ImageBuffer中

//1 拷贝头

DWORD HeaderSize = pOptionHeader->SizeOfHeaders;

//DWORD Head_i = 0;

//copy header

memcpy(pImageBuffer,pFileBuffer,HeaderSize);

//2 拷贝节 pSectionHeader

//数量,位置

int Section_Number = pPEHeader->NumberOfSections;

//分节进行写入

LPVOID pFileBuffer_sec = pFileBuffer;

LPVOID pImageBuffer_sec = pImageBuffer;

//printf("pFileBuffer_sec: %x \n",pFileBuffer_sec);

//printf("pImageBuffer_sec: %x \n",pImageBuffer_sec);

for(int i=0;i<Section_Number;i++)

{

DWORD FileSizeOfRawData = pSectionHeader->SizeOfRawData;

DWORD FilePointerToRawData = pSectionHeader->PointerToRawData;

DWORD MemVirtualAddress = pSectionHeader->VirtualAddress;

pFileBuffer_sec=(LPVOID)((DWORD)pFileBuffer+FilePointerToRawData);

pImageBuffer_sec=(LPVOID)((DWORD)pImageBuffer+MemVirtualAddress);

//printf("pFileBuffer_sec: %x \n",pFileBuffer_sec);

//printf("pImageBuffer_sec: %x \n",pImageBuffer_sec);

memcpy(pImageBuffer_sec,pFileBuffer_sec,FileSizeOfRawData);

//下一个节表

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+40);

}

//写出

//WirteToFile(pImageBuffer,ImageSize,"c://image.exe");

return pImageBuffer;

}

LPVOID CopyImageBuffertoNewBuffer(LPVOID pImageBuffer)

{

return NULL;

}

BOOL MemeryTOFile(LPVOID pMemBuffer,LPSTR lpszFile)

{

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pMemBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pMemBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

//将内存中的文件转入到File中

FILE *pFile = NULL;

//打开文件

pFile = fopen(lpszFile,"a+b");

if(!pFile)

{

printf("无法打开文件EXE文件");

return FALSE;

}

//写header

DWORD SIZE_HEADER =  pOptionHeader->SizeOfHeaders;

fwrite(pMemBuffer,SIZE_HEADER,1,pFile);

//写节表

int Section_Number = pPEHeader->NumberOfSections;

LPVOID pImageBuffer_sec = pMemBuffer;

printf("pImageBuffer_SEC : %x \n",pImageBuffer_sec);

for(int i=0;i<Section_Number;i++)

{

DWORD FileSizeOfRawData = pSectionHeader->SizeOfRawData;

DWORD FilePointerToRawData = pSectionHeader->PointerToRawData;

DWORD MemVirtualAddress = pSectionHeader->VirtualAddress;

pImageBuffer_sec=(LPVOID)((DWORD)pMemBuffer+MemVirtualAddress);

printf("pImageBuffer_SEC : %x \n",pImageBuffer_sec);

fwrite(pImageBuffer_sec,FileSizeOfRawData,1,pFile);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+40);

}

//关闭文件

fclose(pFile);

return TRUE;

}

DWORD RVAToFileOffset(LPVOID pFileBuffer,DWORD dwRva)

{

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

if(!pFileBuffer)

{

printf("文件读取失败\n");

return NULL;

}

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

DWORD ImageSize = pOptionHeader->SizeOfImage;

int Section_Number = pPEHeader->NumberOfSections;

int i=0;

for(i=0;i<Section_Number;i++)

{

printf("VirualSize : %x\n",pSectionHeader->Misc);

printf("VirualAddress: %x\n",pSectionHeader->VirtualAddress);

DWORD dumpVirualSize = pSectionHeader->Misc.VirtualSize;

DWORD dumpVirualAddress = pSectionHeader->VirtualAddress;

if(dwRva>=dumpVirualAddress && dwRva <=dumpVirualAddress+dumpVirualSize)

{

printf("地址在第:%d 节 %s \n",i+1,pSectionHeader->Name);

break;

}

//下一个节表

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+40);

}

//确定是第i+1节

//确定偏移距离

DWORD fileOff = pSectionHeader->PointerToRawData + (dwRva-pSectionHeader->VirtualAddress);

return fileOff;

}

void TestAddCodeInCodeSec(LPSTR lpszFile)

{

LPVOID pFileBuffer = NULL;

pFileBuffer= ReadPEFile(lpszFile);

if(!pFileBuffer)

{

printf("文件读取失败\n");

return;

}

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

LPVOID pImageBuffer = CopyFileBufferToImageBuffer(pFileBuffer);

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pImageBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

//确定添加代码的位置

//1判断能否添加

if((pSectionHeader->SizeOfRawData-pSectionHeader->Misc.VirtualSize)<=SHELLCODELENGTH){

printf("空余字节大小不够添加shellCode\n");

free(pFileBuffer);

return;

}

//size_t file_size = pSectionHeader->SizeOfRawData-pSectionHeader->Misc.VirtualSize;

//printf("%x \n",file_size);

//2代码加的位置

printf("pImageBuffer: %x\n",pImageBuffer);

DWORD shellLocation =  pSectionHeader->VirtualAddress + pSectionHeader->Misc.VirtualSize;

//确定位置

LPVOID pShellLoc = (LPVOID)((DWORD)pImageBuffer + shellLocation);

printf("pShellLoc: %x\n",pShellLoc);

//拷贝初始化代码到内存

memcpy(pShellLoc,shellCode,SHELLCODELENGTH);

//修改E8地址

DWORD  pE8Content = MESSAGEBOXADDR - (((DWORD)pShellLoc+13 )- ((DWORD)pImageBuffer)+ pOptionHeader->ImageBase);

*(PDWORD)((DWORD)pShellLoc+9)=pE8Content;

//修改E9地址

DWORD pE9Content = (pOptionHeader->AddressOfEntryPoint+pOptionHeader->ImageBase) - (((DWORD)pShellLoc+0x12 )- ((DWORD)pImageBuffer)+ pOptionHeader->ImageBase);

*(PDWORD)((DWORD)pShellLoc+14)=pE9Content;

//修改OEP

pOptionHeader->AddressOfEntryPoint = (DWORD)pShellLoc-(DWORD)pImageBuffer;

//更改完的ImageBuffer,写出到File中

MemeryTOFile(pImageBuffer,"C://testShell.exe");

//释放

free(pFileBuffer);

free(pImageBuffer);

return;

}

void TestAddSecToFile(LPSTR lpszFile)

{

LPVOID pFileBuffer = NULL;

pFileBuffer= ReadPEFile(lpszFile);

if(!pFileBuffer)

{

printf("文件读取失败\n");

return;

}

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader_ADD = NULL;

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

pSectionHeader_ADD = pSectionHeader;

//1 判断能否添加节

DWORD Header_size = pDosHeader->e_lfanew + 4 + 20 + pPEHeader->SizeOfOptionalHeader + pPEHeader->NumberOfSections*40;

if(pOptionHeader->SizeOfHeaders-Header_size<80)

{

printf("没有可用空间填充节表\n");

free(pFileBuffer);

return;

}

printf("空间:%d\n",pOptionHeader->SizeOfHeaders-Header_size);

//添加一个节

//确定参数

PIMAGE_SECTION_HEADER pSectionHeader_LAST = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+(pPEHeader->NumberOfSections-1)*40);

pSectionHeader_ADD=(PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader_ADD+(pPEHeader->NumberOfSections)*40);

//="NewSec";

strcpy((char*)pSectionHeader_ADD->Name,"NewSec");

pSectionHeader_ADD->Misc.VirtualSize = 0x1000;

pSectionHeader_ADD->VirtualAddress = pOptionHeader->SizeOfImage;

pSectionHeader_ADD->SizeOfRawData = 0x1000;

pSectionHeader_ADD->PointerToRawData = pSectionHeader_LAST->PointerToRawData+pSectionHeader_LAST->SizeOfRawData;

pSectionHeader_ADD->Characteristics = pSectionHeader->Characteristics;

//填充0

LPVOID pSectionEND = (LPVOID)((DWORD)pSectionHeader_ADD+40);

memset(pSectionEND,0,IMAGE_SIZEOF_SECTION_HEADER);

printf("pFileBuffer: %x\n",pFileBuffer);

printf("pSectionHeader: %x\n",pSectionHeader);

printf("pSectionHeader_LAST: %x\n",pSectionHeader_LAST);

printf("pSectionHeader_ADD: %x\n",pSectionHeader_ADD);

printf("pSectionEND: %x\n",pSectionEND);

//修改PE头信息

pPEHeader->NumberOfSections = pPEHeader->NumberOfSections +1;

pOptionHeader->SizeOfImage  = pOptionHeader->SizeOfImage+0x1000;

//写入到文件

FILE *pOutFile = NULL;

//打开文件

pOutFile = fopen("C://addSec.exe","a+b");

if(!pOutFile)

{

printf("无法打开文件EXE文件");

return;

}

//写出第一部分

printf("length: %x \n ",pSectionHeader_ADD->PointerToRawData+pSectionHeader_ADD->SizeOfRawData);

size_t writeSize = fwrite(pFileBuffer,pSectionHeader_ADD->PointerToRawData,1,pOutFile);

printf("WirteSize:%d\n",writeSize);

//写出第二部分

LPVOID pNewBuffer=(LPVOID)malloc(0x1000);

if(pNewBuffer==NULL)

{

printf("pNewBuffer分配空间失败\n");

return;

}

memset(pNewBuffer,0,0x1000);

writeSize = fwrite(pNewBuffer,0x1000,1,pOutFile);

//关闭文件

fclose(pOutFile);

free(pFileBuffer);

free(pNewBuffer);

}

void TestAddLastSectionToFile(LPSTR lpszFile)

{

LPVOID pFileBuffer = NULL;

pFileBuffer= ReadPEFile(lpszFile);

if(!pFileBuffer)

{

printf("文件读取失败\n");

return;

}

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader_LAST = NULL;

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

pSectionHeader_LAST = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+(pPEHeader->NumberOfSections-1)*40);

int fileLength = pSectionHeader_LAST->PointerToRawData+pSectionHeader_LAST->SizeOfRawData;

//更改ImageSize

pOptionHeader->SizeOfImage = pOptionHeader->SizeOfImage+0x1000;

//更改最后一个节的SizeOfRawData 以及 VirtualSize

pSectionHeader_LAST->SizeOfRawData = pSectionHeader_LAST->SizeOfRawData+0x1000;

pSectionHeader_LAST->Misc.VirtualSize = pSectionHeader_LAST->Misc.VirtualSize+0x1000;

//写出文件

//写入到文件

FILE *pOutFile = NULL;

//打开文件

pOutFile = fopen("C://addSecLength.exe","a+b");

if(!pOutFile)

{

printf("无法打开文件EXE文件");

return;

}

//写出第一部分

printf("length: %x \n ",fileLength);

size_t writeSize = fwrite(pFileBuffer,fileLength,1,pOutFile);

printf("WirteSize:%d\n",writeSize);

//写出第二部分

LPVOID pNewBuffer=(LPVOID)malloc(0x1000);

if(pNewBuffer==NULL)

{

printf("pNewBuffer分配空间失败\n");

return;

}

memset(pNewBuffer,0,0x1000);

writeSize = fwrite(pNewBuffer,0x1000,1,pOutFile);

//关闭文件

fclose(pOutFile);

free(pFileBuffer);

free(pNewBuffer);

}

void TestChangeOneSec(LPSTR lpszFile)

{

LPVOID pFileBuffer = NULL;

pFileBuffer= ReadPEFile(lpszFile);

if(!pFileBuffer)

{

printf("文件读取失败\n");

return;

}

LPVOID pImageBuffer =NULL;

pImageBuffer = CopyFileBufferToImageBuffer(pFileBuffer);

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader_LAST = NULL;

//Header信息

pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;

pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pImageBuffer+pDosHeader->e_lfanew);

pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);

pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

pSectionHeader_LAST = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+(pPEHeader->NumberOfSections-1)*40);

//合并节的操作

DWORD LastSize = (pSectionHeader_LAST->SizeOfRawData > pSectionHeader_LAST->Misc.VirtualSize)?pSectionHeader_LAST->SizeOfRawData:pSectionHeader_LAST->Misc.VirtualSize;

pSectionHeader->Misc.VirtualSize = pSectionHeader_LAST->VirtualAddress + LastSize - pSectionHeader->VirtualAddress;

pSectionHeader->SizeOfRawData = pSectionHeader_LAST->VirtualAddress + LastSize - pSectionHeader->VirtualAddress;

pSectionHeader->PointerToRawData = pSectionHeader->VirtualAddress;

//设置属性值

//pSectionHeader->Characteristics

DWORD MyCharacteristics = pSectionHeader->Characteristics;

for(int k=0;k<pPEHeader->NumberOfSections;k++)

{

PIMAGE_SECTION_HEADER pSectionHeader_NEXT;

pSectionHeader_NEXT= (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+k*40);

MyCharacteristics = MyCharacteristics |(pSectionHeader_NEXT->Characteristics);

}

printf("MyCharacteristics: %x \n",MyCharacteristics);

pSectionHeader->Characteristics = MyCharacteristics;

pPEHeader->NumberOfSections = 0x1;

DWORD ImageSize  = pOptionHeader->SizeOfImage;

//直接写出到文件

WirteToFile(pImageBuffer,ImageSize,"C://hebing.exe");

}
wow.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE加载与反射式注入
qq_41861225的博客
02-01 856
一、PE加载 在PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载器,其基本流程可以分为以下几点: 将PE文件从磁盘中读出 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0 将读取数据映射到内存中 修复导出导入入 修复重定位 跳转到PE入口点进行执行 相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注...
LoadPE工具
02-19
LoadPE工具
PE文件(一)PE结构概述
最新发布
2301_78838647的博客
04-18 1126
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分之间的空白区域大小是一样的,这似乎与我们之所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个,都有一个对应的(图中块)用于记录的相关信息,如每一个的概要性信息。
PE加载器——你爱的很沉重,可还是得看她想不想要
sxr__nc的博客
04-20 1113
构造PE加载器,简而言之就是手动把PE文件在内存中展开,并且如果有重定位的话手动修复重定位,以及修复IAT等一些重要数据。 源码: #include<stdio.h> #include<windows.h> #include<winnt.h> int main() { HANDLE hFile = CreateFileA("你的测试程序的绝对地址", G...
【滴水逆向P77】加载进程(PE查看器)应用程序源码解析
WdIg-2023的博客
05-25 1439
在上一篇文章中讲解了通用控件,做了一个基本的加载进程(PE查看器)的应用程序项目,,大家如果有不懂的可以去看看,由于不是很了解Win32编程,所以有很多东西写出来了,但是不是很理解,所以今天专门来写一篇文章来详细了解一下其中使用到的API,函数,宏和结构体。
pecoff_v8.rar_pe-coff v8_pecoff_v8. doc_pecoff_v8.doc
09-23
- :定义了PE文件中的各个区域,如代码、数据、资源等,每个都有自己的属性和偏移量。 3. 数据目录: - 导入:列出PE文件依赖的其他DLL和它们的函数或导出符号。 - 出口:定义PE文件导出的函数或变量...
PEMaster(PE/COFF文件分析提取)
02-08
5. **(Section Table)**:列出文件中的各个,每个都有自己的名称、虚拟大小、物理大小、虚拟地址等属性。 6. **数据(Section Data)**:实际的代码和数据,按中定义的顺序排列。 7. **导入...
链接器和加载器中文版.rar
09-15
本压缩包包含了两份珍贵的文档:《链接器和加载器中文版.pdf》以及《Peering Inside the PE.pdf》,分别深入探讨了这两个主题。 首先,我们来看《链接器和加载器中文版.pdf》。链接器是编译过程中的一个重要组成...
链接器和装载器
10-05
本文将深入探讨这两个概念,以及它们如何协同工作来构建和执行可执行程序。 首先,我们来理解“链接器”(Linker)。链接器的主要任务是将编译后的对象文件(通常由编译器生成)合并成一个单一的可执行文件或库。...
Link & load 中文+英文
08-20
在计算机科学领域,链接器(Linker)和加载器(Loader)是程序构建过程中的两个关键组件,它们对于理解程序如何从源代码转变为可执行形式至关重要。这份资源可能包含这两个概念的中文和英文详细解释,旨在帮助初学者...
loadpe豪华版,对于Pe文件感兴趣的同学可以下一下,很好用的
05-20
loadPE豪华版,很好用,大家对PE文件感兴趣的可以试试。
PE加载器
11-28
一个PE文件的加载器,可以直接从内存中加载EXE文件和DLL文件.——包括压缩的DLL和EXE。 已更新http://download.csdn.net/source/359338
PE文件:PE加载的过程
weixin_43742894的博客
03-31 2044
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
PE 文件加载器实现
pureman_mega的博客
08-12 768
/** * peLoader.cpp * Windows APT Warfare * by aaaddress1@chroot.org */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
Pe研究之:从内存中加载Pe文件(代码重定位,进程隐藏,代码注入)
mergerly的专栏
01-19 4992
<br />Pe研究之:<br /> <br />从内存中加载Pe文件<br /> <br />作者:Sunline              lisunlin0@yahoo.com.cn 日期:2007年7月<br />关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件<br />Remotthread, injectcode, relocation code, load dll from memory, load pe from memory load pe from memor
如何实现一个(PE 文件)内存加载器(来自ChatGPT)
BlackNight168的博客
02-05 463
实现一个内存加载器(通常指的是一个PE Loader,用于在内存中加载和执行Windows可执行文件)是一项复杂的工作,它涉及对PE文件格式的深入了解以及对Windows操作系统内部工作机制的理解。下面是一个简化版本的概述,用于描述在Windows平台上实现一个内存加载器的一般步骤。
c++ 修正pe导入
05-16
PE导入PE文件中的一个重要部分,它记录了PE文件所依赖的外部函数和库文件。如果导入出现错误,将会导致程序无法正常运行或者崩溃。下面是修正PE导入的一些方法: 1. 使用修复工具:有一些专门的PE修复工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值