PE添加一个弹窗(MssageBox)

已于 2022-08-23 16:50:50 修改
阅读量1.3k 收藏 3
点赞数
分类专栏: windows 文章标签: c语言 c++ windows
于 2018-07-08 15:18:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42603425/article/details/80959547
版权

 主要是在一个exe程序中添加一个弹窗

首先需要了解一下PE格式,下面是PE格式图

DOS头是程序最开始的位置

其中比较重要的两个字段e_magic和e_lfanew字段

e_magic 里面值是 “MZ”标记 可以通过这个标记判断是否是可执行文件

e_lfanew 是PE头相对于文件的偏移,通过这个偏移可以找到PE头

DOS头结构如下

typedef struct _IMAE_DOS_HEADER {		//DOS .EXE header                                    位置
	WORD e_magic;						//Magic number;                                      0x00
	WORD e_cblp;                        //Bytes on last page of file                         0x02
	WORD e_cp;                          //Pages in file										 0x04
	WORD e_crlc;                        //Relocations                                        0x06
	WORD e_cparhdr;						//Size of header in paragraphs                       0x08
	WORD e_minalloc;                    //Minimum extra paragraphs needed                    0x0A
	WORD e_maxalloc;					//Maximum extra paragraphs needed                    0x0C
	WORD e_ss;                          //Initial (relative) SS value						 0x0E
	WORD e_sp;							//Initial SP value									 0x10
	WORD e_csum;						//Checksum											 0x12
	WORD e_ip;							//Initial IP value									 0x14
	WORD e_cs;							//Initial (relative) CS value                        0x16
	WORD e_lfarlc;						//File address of relocation table                   0x18
	WORD e_ovno;						//Overlay number                                     0x1A
	WORD e_res[4];						//Reserved words                                     0x1C
	WORD e_oemid;						//OEM identifier (for e_oeminfo)                     0x24
	WORD e_oeminfo;						//OEM information; e_oemid specific                  0x26 
	WORD e_res2[10];					//Reserved words                                     0x28
	LONG e_lfanew;						//File address of new exe header                     0x3C
} IMAGE_DOS-HEADER, *PIMAGE_DOS_HEADER;

NT头包含PE头和可选PE头

Signature 是标识PE 0x00004550

IMAGE_FILE_HEADER  就是pe头

IMAGE_OPTIONAL_HEADER32  是可选PE头

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

下面是PE头

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

PE头下比较重要的属性

NumberOfSections  节表数量

SizeOfOptionalHeader 可选PE头的大小

下面是可选PE头

//
// Optional header format.
//

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

可选PE头下比较重要的属性

ImageBase  文件在内存中的起始地址

SizeOfImage  拉伸后的内存大小

SizeOfHeaders  dos+nt+节表 对齐后的大小

下面是节表

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

节表中比较重要的属性

Misc.VirtualSize 内存中一个节的大小

VirtualAddress  内存中节开始的地址偏移(RVA

SizeOfRawData 磁盘中这个节对齐后的大小

PointerToRawData 磁盘中节开始的地址偏移

简单来说就是使用跳转到MessageBox的地址在跳回来,当然也可以跳转到自己的代码。

首先需要找到MessageBox的地址,打开od,加载一个exe,在命令行输入bp MessageBoxA,这样就会在断点里面看到MessageBox的地址了

其中需要注意的是跳转的地址,e8后面就是需要计算的地址,

  • x是E8后面真正跟着的地址
  • 真正跳转的地址 = E8这条指令的下一行地址 + x
  • x = 真正跳转的地址 - E8这条指令的下一行地址
  • E8的这条指令的下一个地址 是 硬编码E8指令的长度 = 5个字节
  • x = 要跳转的地址  - (E8的地址 + 5)

拉伸是指exe在文件模式下转换到运行模式中的过程

左边FIleBuffer是指exe在文件中状态,右边ImageBuffer是指exe运行中状态,红色部分代表数据区,由此可见 文件中状态的数据区和运行中状态的数据区是不同的,而我们关心的是exe运行后加载一个MessageBox,所以需要进行拉伸。

// PeAddMessage.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
//下面是添加一个MessageBox 添加到一个exe程序中!
#define  _CRT_SECURE_NO_WARNINGS
#include<windows.h>
#include<stdio.h>
#include<stdlib.h>

int                Deviation = 0;        //偏移
PIMAGE_DOS_HEADER DOSHANDER = NULL;//DOS头
PIMAGE_NT_HEADERS NTHEADERS = NULL;//NT头
PIMAGE_SECTION_HEADER        SECTION[100];//节表
BYTE shellcode[] = {
0x6a,00,0x6a,00,0x6a,00,0x6a,00,//6a是push 
0xe8,00,00,00,00,        //e8是call的硬编码
0xe9,00,00,00,00        //e9是jmp的硬编码
};


DWORD CodeAddressp = (DWORD) & MessageBox;  //要跳转的地址
//x = 跳转的地址 - (E8的地址 + 5) 
/*
1.文件加载到内存
    1.1 malloc申请内存
    1.2 memset初始化申请的内存
    1.3 open打开文件
    1.4 frend读取文件到内存
    1.5 给PE结构体赋值
        1.5.1 获取DOS头大小
        1.5.2 获取NT头大小
        1.5.3 获取节表
2.进行拉伸
    2.1 malloc申请内存
    2.2 memset初始化申请的内存
    2.3 SizeOfHeaders拷贝头
        2.4 拷贝节表
3.还原
        3.1 malloc申请内存
        3.2 memset初始化申请的内存
        3.3 拷贝头
        3.4 拷贝节表
4.存盘
*/
char* FileDirectory = (char*)"C:\\Users\\A\\source\\repos\\test\\Debug\\WindowsProject1.exe";    //打开的exe路径
char* FileDirectorytu = (char*)"C:\\Users\\A\\source\\repos\\test\\Debug\\WindowsProject2.exe";    //重新存储的exe路径
//获取文件大小
int _GetFileSize(char* FileRoute)
{
    int size = 0;
    FILE* p = fopen(FileRoute, "r");
    fseek(p, 0L, SEEK_END);
    //获取文件大小
    size = ftell(p);
    fclose(p);
    return size;
}

int size = _GetFileSize(FileDirectory); //文件大小

BYTE* FileBuller(char* FileDirectory)
{
    int Deviation = 0;//偏移
    //读取文件
    BYTE* _FileBuller = (BYTE*)malloc(sizeof(BYTE) * size + 1);//申请内存
    if (_FileBuller == NULL)
    {
        printf("申请内存错误");
    }
    //初始化内存
    memset(_FileBuller, 0, size + 1);

    //打开文件
    FILE* p = fopen(FileDirectory, "rb");
    if (p == NULL)
    {
        printf("读取文件错误");
    }
    //读取文件
    int x = fread(_FileBuller, sizeof(BYTE), size, p);
    //给结构体赋值
    //dos头大小
    DOSHANDER = (PIMAGE_DOS_HEADER)(_FileBuller + Deviation);
    Deviation += DOSHANDER->e_lfanew;
    //nt头大小
    NTHEADERS = (PIMAGE_NT_HEADERS)(_FileBuller + Deviation);
    Deviation += sizeof(IMAGE_NT_HEADERS);
    //获取节表
    for (int f = 0; f < NTHEADERS->FileHeader.NumberOfSections; f++)
    {
        SECTION[f] = (PIMAGE_SECTION_HEADER)(Deviation + _FileBuller);
        Deviation += sizeof(IMAGE_SECTION_HEADER);                    //下一个节表的偏移
    }
    fclose(p);
    return _FileBuller;
}

int nSection = 0;

BYTE* ImageBuffer(BYTE* _FileBuller)//拉伸
{
    //申请内存
    BYTE* _ImageBuffer = (BYTE*)malloc(sizeof(BYTE) * NTHEADERS->OptionalHeader.SizeOfImage + 1);
    if (_ImageBuffer == NULL)
    {
        printf("分配内存失败");
    }
    //初始化内存
    memset(_ImageBuffer, 0, NTHEADERS->OptionalHeader.SizeOfImage);
    //拷贝头
    memcpy(_ImageBuffer, _FileBuller, sizeof(BYTE) * NTHEADERS->OptionalHeader.SizeOfHeaders);
    //拷贝节表
    for (int q = 0; q < NTHEADERS->FileHeader.NumberOfSections; q++)
    {
        int _imageSECTION = SECTION[q]->VirtualAddress;
        int _fileSECTION = SECTION[q]->PointerToRawData;
        memcpy(_ImageBuffer + _imageSECTION, _FileBuller + _fileSECTION, SECTION[q]->SizeOfRawData);
    }
    return _ImageBuffer;
}
void Message(BYTE* _ImageBuffer, BYTE* _FileBuller)
{
    /*
    在一个程序中添加一个MessageBox
    */
    //计算的地址第一个节表空白的地址
    BYTE* PCodeOffset = (BYTE*)(((BYTE*)_ImageBuffer) + SECTION[nSection]->VirtualAddress + SECTION[nSection]->Misc.VirtualSize);
    //OEP要跳转的地址
    int CodeOffset = SECTION[nSection]->VirtualAddress + SECTION[nSection]->Misc.VirtualSize;
    //修改OEP
    DWORD OEP = NTHEADERS->OptionalHeader.AddressOfEntryPoint;
    NTHEADERS->OptionalHeader.AddressOfEntryPoint = CodeOffset;
    //E8CALL
    BYTE* a = shellcode;
    a += 9;//a是数组e8后面的地址
    a = (BYTE*)(CodeAddressp - (DWORD)(((CodeOffset + 8) + 5) + NTHEADERS->OptionalHeader.ImageBase));//把计算出来的地址赋值给a, 要跳转的地址 - (e800000000下一个地址 + ImageBase)因为在内存中运行所以要加ImageBase
    *(DWORD*)(shellcode + 9) = (DWORD)a;                //a在赋值给数组
    memcpy(PCodeOffset, shellcode, 18);        //把数组拷贝到内存
    //E9JMP
    BYTE* b = shellcode;
    b += 14;
    b = (BYTE*)((OEP + NTHEADERS->OptionalHeader.ImageBase) - (DWORD)(((CodeOffset + 13) + 5) + NTHEADERS->OptionalHeader.ImageBase));
    *(DWORD*)(shellcode + 14) = (DWORD)b;
    memcpy(_ImageBuffer, _FileBuller, sizeof(BYTE) * NTHEADERS->OptionalHeader.SizeOfHeaders);
    memcpy(PCodeOffset, shellcode, 18);
}
void NewBuffer(BYTE* _ImageBuffer)
{
    BYTE* _NewBuffer = (BYTE*)malloc(sizeof(BYTE) * size + 1);//申请内存
    if (_NewBuffer == NULL)
    {
        printf("申请内存错误");
    }
    memset(_NewBuffer, 0, size + 1);//初始化内存
    //拷贝头
    memcpy(_NewBuffer, _ImageBuffer, sizeof(BYTE) * NTHEADERS->OptionalHeader.SizeOfHeaders);
    //拷贝节表
    for (int x = 0; x < NTHEADERS->FileHeader.NumberOfSections; x++)
    {
        int _imageSECTION = SECTION[x]->VirtualAddress;
        int _fileSECTION = SECTION[x]->PointerToRawData;
        memcpy(_NewBuffer + _fileSECTION, _ImageBuffer + _imageSECTION, SECTION[x]->SizeOfRawData);
    }
    FILE* p = fopen(FileDirectorytu, "wb+");
    fwrite(_NewBuffer, sizeof(BYTE), sizeof(BYTE) * size + 1, p);
}
void main()
{
    BYTE* x = FileBuller(FileDirectory);        //读取到内存
    BYTE* y = ImageBuffer(x);//内存操作
    Message(y, x);//添加一个弹窗
    NewBuffer(y);//存盘
}
.简.简.单.单.
关注
专栏目录
滴水逆向作业——PE向代码区添加messagebox的shellcode
weixin_44584614的博客
02-21 2108
摘要:向PE结构的代码区添加messagebox的shellcode,使打开exe文件时,先执行shellcode的内容,再执行本身的功能。 1.具体流程 流程如下: 先将.exe文件以文件模式(filebuffer)读取到内存中,再将其拉伸读取到另一段内存中内存模式(imagebuffer)但注意这可不是运行状态。判断代码区是否有存放shellcode代码的空间,如果有的话,将准备好的shel...
PE系列学习笔记八 实战之HOOK程序添加弹窗
xiaotuge_always的博客
04-24 734
前面学习了PE的结构后,尝试结合先前所学,修改PE文件来实现给程序添加弹窗的功能 PS:这篇笔记并没有怎么涉及PE的知识点,重点放在了HOOK、反汇编和硬编码上,对PE不是很了解也可以看看,涉及PE知识点的内容放在了后面的笔记:PE学习笔记九 实战之HOOK程序添加弹窗续,可以放心食用( ̄︶ ̄)↗ PE实战之给程序添加弹窗 修改流程 要给程序添加弹窗,首先就是要了解其修改的流程 首先要修改的便是程序原本的入口地址,将其修改为弹窗代码所在的地址 弹窗代码所在的地址,要在PE文件中找到一片区域,该区域需要 满足
pe文件添加messagebox
lansefly1990的专栏
03-31 759
最近在看滴水的逆向视频,看到如何向pe文件中添加messagebox,主要添加过程如下: 说明: 给小bug刷钻.exe程序添加一个messagebox弹窗 1、添加思路 为了实现给目标程序添加弹框,由于程序在运行时都是二进制形式,所以先要获取添加的shellcode的编码,然后在程序的可执行区域加入恶意代码,此处的可执行区域主要是指代码区的空白区。(只有代码区才有可有可执行权限,空白区主要是指VirtualAddress补齐后的区域,如下图标注区域) 添加完后,需要执行call函数调佣恶意
Windows PE文件扩展与对话框弹出技术指南
weixin_31641077的博客
09-08 1267
本文还有配套的精品资源,点击获取 简介:PE文件格式是Windows平台上的可执行程序标准格式,包含了程序运行的所有必要信息。本文将探讨如何向PE文件中添加新的节区以及实现弹出简单对话框的技术。我们将解析PE文件的内部结构,理解如何修改文件头和节表,创建新的节区条目,并通过编程语言和库函数更新文件内容。此外,文章将展示如何使用Windows API函数显示对话框,并解释如何...
修改PE文件,在空白处添加代码(添加messagebox)#笔记
Sanshul的博客
11-19 671
修改PE文件,在空白处添加代码
PE文件节区添加并弹出简单的对话框
12-03
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
手动PE编辑 写出MessageBox
Miibotree
04-24 2228
自己第一遍想手动写PE格式的时候,以为一个字段都不能错,小心翼翼的开始写。这得写到猴年马月去了呀。每次字段都仔细地琢磨一下,研究一下,结果到头来程序还是不能运行。 第二遍写的时候,参考了网上的“手工打造微型win32可执行文件”这篇文章。 http://www.xfocus.net/articles/200302/482.html 文章写的很早了,自己看了这篇文章以后觉得收获非常的大
消息框(Message box
u011832802的专栏
08-31 3124
视窗环境下通常包含了一组标准的消息框,使你能够快速地把消息通知给用户,或者是从 用户那里得到信息。在 Swing 中,这些消息框包含在 JoptionPane 组件里。你有许多选 择(有些非常高级),但最常用的可能就是消息对话框和确认对话框,它们分别可以通过 调用静态的 JOptionPane.showMessageDialog( )和 JOptionPane.showConfirmDia
给系统添加PE启动(wim格式的pe)的小工具,支持bios/uefi,支持只启动一次PE(重启后恢复)很适合远程时让对方进入pe环境
05-08
添加一个一次性启动项,且添加后立即启动到pe 再次启动后回到windows D:\ntboot D:\pe.wim now 支持bios,支持uefi 64(安全启动) 目前只支持nt6.x(即win7以上系统)添加 适合远程时启到有网络,可远程的pe环境,继续...
手动打造一个弹窗程序
无心的博客
07-11 1432
在平时的分析当中,经常会碰到PE结构的文件,虽然 010 Editor 等工具会提供一个模板,把各个部分都详细的标记出来,但是在调试的时候,经常会需要在 VS 等程序框中进行调试,所以,就需要对PE结构有一定的了解,才能够快速定位到自己想要的地方。 为了更好的了解PE结构中的每一位的作用,最好的办法就是自己手写一个PE文件,这样对每一个部分的理解,都会清晰很多。 目录 0x00 准备工作 0x01 构造DOS头 0x02 构造File头 0x03 构造Optional头 0x04 构造节表 0x05
PE文件增添启动时对话框
03-17
http://blog.csdn.net/wudaijun/article/details/8684822 增强对地址空间,文件映射,PE文件格式的理解和应用。 用VS2008开发。
EXE弹窗口工具 破解版
01-15
EXE弹窗口工具 破解版,亲身试用过,可以用。软件会被报毒,属正常。
PC给任意EXE软件添加弹窗和网址工具.rar
05-05
可以给软件添加弹窗信息框、网页,以及加群代码! PS:少部分加了强壳子的软件就不能添加成功,很多还是可以成功的! 可以给软件添加弹窗信息框、网页,以及加群代码! PS:少部分加了强壳子的软件就不能添加成功,很多还是可以成功的! 可以给软件添加弹窗信息框、网页,以及加群代码! PS:少部分加了强壳子的软件就不能添加成功,很多还是可以成功的! 可以给软件添加弹窗信息框、网页,以及加群代码! PS:少部分加了强壳子的软件就不能添加成功,很多还是可以成功的!
软件加弹出窗口工具
12-06
可以用于网站广告的宣传,将广告植入到软件内部自动打开
免费软件加弹窗工具你可以加弹窗
03-26
号上得到撒地方撒地方撒飞洒飞洒反复反复反复反复反复反复反复
pe添加网络组件_对第三方PE加以定制的基本方法
weixin_42723849的博客
02-12 2668
希望阅读本文的各位读者能按照实际情况灵活应变。本文仅仅介绍基本的定制内容。本文以Hakurei PE V6.0为例,给大家介绍如何进行基本的定制。推荐使用Windows 10进行这些操作。修改OEM信息和壁纸从Hikari PE V5.0 Self 1开始,OEM信息的文件全部外置,方便不喜欢OEM信息的用户随意修改和删除。外置的OEM信息位于ISO镜像,HiPE文件夹的oeminfo.reg里。...
软件安全实验(一)PEVIEW-弹窗操作
m0_56043517的博客
09-15 1375
软件安全实验(一) 实验名称:软件安全-PEVIEW-弹窗操作 实验软件:WinHex , OllyDBG , LordPE , PEview 实验效果:双击PEview后产生弹窗 实验思路: 实验步骤: 1.打开LordPE 2.点击PE Editor 3.选择PEview打开,观察EntryPoint(入口点)和ImageBase(基地址) 得出原始入口点为401000 4.点...
使用OD给EXE程序添加弹框
cs840610862的博客
03-09 1635
新建一个区段(stud_PE工具) 如果没有MessageboxA,新建导入表,目的是把MessageboxA函数导入进去,并且获取VA 在新的区段处添加MessageBox的调用 在后面添加 jmp 程序入口地址处 修改程序入口(stud_PE工具) ...
编写一个最小的pe文件
最新发布
09-29
编写一个最小的PE(Portable Executable)文件通常涉及到Windows下的可执行文件格式,它是由Microsoft用于存储应用程序的二进制文件。这个过程需要一些底层知识,包括了解PE头、节(Sections)、资源和导入导出表等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值