在PE文件中添加可执行代码

最新推荐文章于 2023-05-09 21:05:53 发布
最新推荐文章于 2023-05-09 21:05:53 发布
阅读量1.3k 收藏 5
点赞数 4
分类专栏: WIN32 文章标签: gnu 蓝桥杯 webview
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43575859/article/details/104975355
版权

原理:

  • 将代码添加到目标PE文件中有两种方法,一种是将代码插入到原文件代码的节的空隙中,还有一种办法是在节的末尾新增一个节,当然这两种方法都有局限性,第一个必须得保证节与节之间有足够的空隙插入我们的代码,第二个必须得保证节表末尾有足够的空隙让我们再插入一个节表。
  • 我们既然要插入代码,那肯定就是为了执行。所以我们得让文件先执行我们的代码再去执行原来的代码,因此我们需要将原来的执行入口保存在我们的插入代码中,等我们的插入代码执行完后再跳转到原来的程序的执行入口去执行。
  • 还有一个问题就是我们的插入代码是由另一个进程来装入到目标PE文件中的,而因为函数的地址会随着不同进程中DLL装入位置的不同而不同,所以我们的插入代码中要调用函数的话不能直接调用了,只能用之前博客中讲的动态获取API地址的办法来动态地获取API的地址,然后调用函数。
  • 既然我们要先执行我们的插入代码,那么就要将原来程序执行入口修改
  • 我们插入代码后,原来的PE文件头也要做出相应的修改

下面是插入代码:

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;一些函数的原形定义
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_ProctoGetProcAddress	typedef proto	:dword,:dword
_ProtoLoadLibrary		typedef	proto	:dword
_ProtoMessageBox		typedef	proto	:dword,:dword,:dword,:dword
_ApiGetProcAddress		typedef	ptr		_ProctoGetProcAddress
_ApiLoadLibrary			typedef	ptr		_ProtoLoadLibrary
_ApiMessageBox			typedef ptr		_ProtoMessageBox
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

APPEND_CODE		equ		this byte
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;被添加到目标文件的代码从这里开始
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include			_GetKernel.asm
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
hDllKernel32		dd		?
hDllUser32			dd		?
_GetProcAddress		_ApiGetProcAddress		?
_LoadLibrary		_ApiLoadLibrary			?
_MessageBox			_ApiMessageBox			?
szLoadLibrary		db		'LoadLibraryA',0
szGetProcAddress	db		'GetProcAddress',0
szUser32			db		'user32',0
szMessageBox		db		'MessageBoxA',0
szCaption			db		'问题提示',0
szText				db		'你一定要运行这个程序吗?',0
;************************************************************************************************
;新的入口地址
;************************************************************************************************
_NewEntry:
;************************************************************************************************
;重定位并获取一些API的入口地址
;************************************************************************************************
					call	@F
					@@:
					pop		ebx
					sub		ebx,offset @B				;重定位偏移
;***********************************************************************************************************************
					invoke	_GetKernelBase,[esp]		;获取Kernel32.dll的基址
					.if		! eax
							jmp		_ToOldEntry
					.endif
					mov		[ebx+hDllKernel32],eax		
					lea		eax,[ebx+szGetProcAddress]
					invoke	_GetApi,[ebx+hDllKernel32],eax		;获取GetProcAddress函数的入口地址
					.if		!eax
							jmp		_ToOldEntry
					.endif
					mov		[ebx+_GetProcAddress],eax
;***************************************************************************************************************************
					lea		eax,[ebx+szLoadLibrary]
					invoke	[ebx+_GetProcAddress],[ebx+hDllKernel32],eax		;获取LoadLibrary函数的入口地址
					mov		[ebx+_LoadLibrary],eax
					lea		eax,[ebx+szUser32]
					invoke	[ebx+_LoadLibrary],eax								;获取User32.dll的基址
					mov		[ebx+hDllUser32],eax
					lea		eax,[ebx+szMessageBox]								
					invoke	[ebx+_GetProcAddress],[ebx+hDllUser32],eax							;获取MessageBoxA函数的基地址
					mov		[ebx+_MessageBox],eax
;***************************************************************************************************************************
					lea		ecx,[ebx+szText]
					lea		eax,[ebx+szCaption]
					invoke	[ebx+_MessageBox],NULL,ecx,eax,\
							MB_YESNO or MB_ICONQUESTION
					.if		eax != IDYES
							ret
					.endif
;*****************************************************************************************************************************
;执行原来的文件
;*****************************************************************************************************************************
_ToOldEntry:
					db		0e9h			;0e9h是jmp指令的机器码
_dwOldEntry:
					dd		?				;原来的入口
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
APPEND_CODE_END		equ		this	byte
					
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

最后两行代码这里解释一下:
 

_ToOldEntry:
					db		0e9h			;0e9h是jmp指令的机器码
_dwOldEntry:
					dd		?				;原来的入口

因为jmp指令的机器码是0e9chxxxxxxxx,后面的叉叉叉就是要跳转的地址减去jmp指令后面一条指令的地址的值。

然后整个插入代码调用程序都是用的动态装入API的方法,程序运行会弹出一个窗口询问是否真的要运行这个程序,是的话,程序将会跳转到原来文件执行入口,不是的话就直接退出。

然后将插入代码插入目标PE文件的程序用的框架还是最开始写PE文件头的博客里面的那个框架,资源也是那里面的资源。功能代码如下:
 

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;_ProcessPeFile.asm 功能: 在PE文件上添加可执行代码
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
			.const
szErrCreate		db	'创建文件错误!',0dh,0ah,0
szErrNoRoom		db	'程序中没有多余地空间可供加入代码!',0dh,0ah,0
szMySection		db	'.adata',0
szExt			db	'_new.exe',0
szSuccess		db	'在文件后附加代码成功,新文件:',0dh,0ah
				db	'%s',0dh,0ah,0
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
			.code
include		_AddCode.asm
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;计算按照指定对齐后的数值
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Align			proc	_dwSize,_dwAlign

				push	edx
				mov		eax,_dwSize
				xor		edx,edx
				div		_dwAlign				;将代码的大小除以文件中的对齐粒度
				.if		edx						;如果有余数则说明没有对齐,则我们要扩充一下
						inc		eax				;EAX中是除法运算后的商,加一之后再乘以对齐粒度就可以了
				.endif
				mul		_dwAlign
				pop		edx
				ret
				
_Align			endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_ProcessPeFile	proc	_lpFile,_lpPeHead,_dwSize
				local	@szNewFile[MAX_PATH]:byte
				local	@hFile,@dwTemp,@dwEntry,@lpMemory
				local	@dwAddCodeBase,@dwAddCodeFile
				local	@szBuffer[256]:byte
				
				pushad
;******************************************************************************************************************
;(Part 1) 准备工作:1-建立新文件,2-打开文件
;******************************************************************************************************************
				invoke	lstrcpy,addr @szNewFile,addr szFileName
				invoke	lstrlen,addr @szNewFile
				lea		ecx,@szNewFile
				mov		byte ptr [ecx+eax-4],0						;将最后一个双字清0
				invoke	lstrcat,addr @szNewFile,addr szExt
				invoke	CopyFile,addr szFileName,addr @szNewFile,FALSE		;复制整个文件
				
				invoke	CreateFile,addr @szNewFile,GENERIC_READ\			;打开文件
						or	GENERIC_WRITE,FILE_SHARE_READ or \
						FILE_SHARE_WRITE,NULL,OPEN_EXISTING,\
						FILE_ATTRIBUTE_ARCHIVE,0
				.if		eax == INVALID_HANDLE_VALUE
						invoke	SetWindowText,hWinEdit,addr szErrCreate
						jmp		_Ret
				.endif
				mov		@hFile,eax	;文件句柄
;**********************************************************************************************************************
;(Part 2)进行一些准备工作和检测工作
; esi -->原PeHead, edi --> 新的PeHead
; edx -->最后一个节表,ebx --> 新加的节表
;**********************************************************************************************************************
				mov		esi,_lpPeHead
				assume	esi:ptr IMAGE_NT_HEADERS,edi:ptr IMAGE_NT_HEADERS			;edi目前还没指向PE头,待会指向它
				invoke	GlobalAlloc,GPTR,[esi].OptionalHeader.SizeOfHeaders			;分配一块固定内存(所有头加上节表的大小),返回指针
				mov		@lpMemory,eax
				mov		edi,eax
				invoke	RtlMoveMemory,edi,_lpFile,\
						[esi].OptionalHeader.SizeOfHeaders							;将原文件的文件头复制到这个分配的内存中
				add		edi,esi
				sub		edi,_lpFile									;sub esi,_lpFie 减去之后就是DOS头的大小,然后EDI加上它就到了PE头的地方
				movzx	eax,[esi].FileHeader.NumberOfSections
				dec		eax
				mov		ecx,sizeof IMAGE_SECTION_HEADER
				mul		ecx											;得到所有节表减去一个节表的大小
				
				mov		edx,edi
				add		edx,sizeof IMAGE_NT_HEADERS
				add		edx,eax										;到达最后一个节表的起始位置(edx是新分配的内存那里)
				mov		ebx,edx
				add		ebx,sizeof IMAGE_SECTION_HEADER				;节表的末尾位置
				assume	edx:ptr IMAGE_SECTION_HEADER,ebx:ptr IMAGE_SECTION_HEADER				;(此时EDX是最后一个节表的起始位置,EBX是最后一个节表的末尾位置)
;*************************************************************************************************************************
;(Part 2.1)检查是否有空闲位置可供插入节表
;*************************************************************************************************************************
				pushad
				mov		edi,ebx
				xor		eax,eax
				mov		ecx,IMAGE_SECTION_HEADER
				repz	scasb			  		;repz指令是重复执行后面的指令直到CX=0或者ZF标志位为0,scasb就是sub al,[edi],并且如果相等edi会执行后面
												;一个单位。所以整个指令的意思就是在EDI所指向的内存单元中寻找与AL中不同的数据(范围位ECX),如果找到了
												;ZF位置0,没找到置1
				popad
				.if		!ZERO?				;找到了,说明后面没有一个大小为一个节表的全为0的空间
;*************************************************************************************************************************
; (Part 3.1)如果没有新的空间的位置可供插入节表,则查看现存代码节的最后是否
;存在足够的全零空间,如果存在则在此处加入代码
;*******************************************************************************************
						xor		eax,eax
						mov		ebx,edi								;(此时EDI为新创的那块内存的PE头的位置)
						add		ebx,sizeof IMAGE_NT_HEADERS			;加上PE头的大小到达节表的位置
						;assume	ebx:ptr IMAGE_SECTION_HEADER		;(此时ebx为新创的哪个内存的第一个节表的起始位置)
						.while	ax <= [esi].FileHeader.NumberOfSections 
								mov		ecx,[ebx].SizeOfRawData			;查看这个节在文件中的大小,如果是0的话则说明这是一个含未初始化数据的节,就不能插入代码
								.if		ecx && ([ebx].Characteristics & IMAGE_SCN_MEM_EXECUTE)		;节的属性为包含可执行代码
										sub		ecx,[ebx].Misc.VirtualSize
										.if		ecx > offset APPEND_CODE_END - offset APPEND_CODE 	;如果空隙大小可以装下我们的代码
												or		[ebx].Characteristics,IMAGE_SCN_MEM_READ or IMAGE_SCN_MEM_WRITE		;增加属性可读可写
												jmp		@F
										.endif
								.endif
								add		ebx,IMAGE_SECTION_HEADER		;如果这个节没有空隙就到下一个节表看看
								inc 	ax
						.endw
;***********************************************************************************************************************************
						invoke	CloseHandle,@hFile						;如果都没有空隙就插入不了了
						invoke	DeleteFile,addr @szNewFile
						invoke	SetWindowText,hWinEdit,addr szErrNoRoom
						jmp		_Ret
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
						@@:
;**************************************************************************************************************************************
;将新增代码加入代码节的空隙中
;**************************************************************************************************************************************
						mov		eax,[ebx].VirtualAddress			;(此时ebx到了可以插入代码的那个节的节表的位置)
						add		eax,[ebx].Misc.VirtualSize			
						mov		@dwAddCodeBase,eax					;@dwAddCodeBase到达内存中这个节的末尾位置(这个是个RVA)
						mov		eax,[ebx].PointerToRawData
						add		eax,[ebx].Misc.VirtualSize			
						mov		@dwAddCodeFile,eax					;@dwAddCodeFile到达文件中我们要插入的位置(这个也是个RVA)
						add		[ebx].Misc.VirtualSize,offset APPEND_CODE_END - offset APPEND_CODE		;更新这个节区在内存中的尺寸
						invoke	SetFilePointer,@hFile,@dwAddCodeFile,\						;设置文件指针,就是指向文件起始位置的指针,现在指向
								NULL,FILE_BEGIN												;我们的代码插入位置
						mov		ecx,offset APPEND_CODE_END - offset APPEND_CODE
						invoke	WriteFile,@hFile,offset APPEND_CODE,ecx,\					;将代码写入文件,因为上面设置了文件指针,所以写入位置就是那里
								addr @dwTemp,NULL											;这个局部变量用来返回实际写入的字节数
				.else
;*********************************************************************************************************************************************
;(Part 3.2)如果有新的节表空间的话,加入一个新的节
;*********************************************************************************************************************************************
						inc		[edi].FileHeader.NumberOfSections							;增加节区的数目
						push	edx
						@@:
						mov		eax,[edx].PointerToRawData									;
;**********************************************************************************************************************************************
;当最后一个节是未初始化数据时,PointerToRawData和SizeOfRawData等于0
;这时应该取前一个节的PointerToRawData和SizeOfRawData数据
;**********************************************************************************************************************************************
						.if		! eax											;如果EAX是0说明这是一个未初始化数据的节,取上一个节的位置和大小
								sub		edx,sizeof IMAGE_SECTION_HEADER
								jmp		@B
						.endif
						add		eax,[edx].SizeOfRawData							;eax为最后一个未含有未初始化数据的节的末尾的RVA
						pop		edx
						mov		[ebx].PointerToRawData,eax						;ebx此时指向最后一个节表的末尾,也就是我们新加入的节表的开始
																				;eax指向最后一个节的末尾也就是我们新加入的节的开始
						mov		ecx,offset APPEND_CODE_END - offset APPEND_CODE
						invoke	_Align,ecx,[esi].OptionalHeader.FileAlignment
						mov		[ebx].SizeOfRawData,eax							;设置节区在文件中对齐后的大小
						invoke	_Align,ecx,[esi].OptionalHeader.SectionAlignment
						add		[edi].OptionalHeader.SizeOfCode,eax				;更新所有含代码的节的总大小(内存中)
						add		[edi].OptionalHeader.SizeOfImage,eax			;更新内存中整个PE映像尺寸
						invoke	_Align,[edx].Misc.VirtualSize,[esi].OptionalHeader.SectionAlignment		;获取最后一个节在内存中的大小(因为可能是未初始
																										;化的数据,所以只能这样来获取
						add		eax,[edx].VirtualAddress												;加上最后一个节的RVA得到这个节的末尾的RVA
						mov		[ebx].VirtualAddress,eax												;这个节的末尾RVA就是我们新加入的节的起始RVA
						mov		[ebx].Misc.VirtualSize,offset APPEND_CODE_END - offset APPEND_CODE
						
						mov		[ebx].Characteristics,IMAGE_SCN_CNT_CODE or IMAGE_SCN_MEM_EXECUTE or IMAGE_SCN_MEM_READ or IMAGE_SCN_MEM_WRITE
						invoke	lstrcpy,addr [ebx].Name1,addr szMySection			;节区的名字
;**************************************************************************************************************************************************
;将新增代码作为一个新的节写到文件尾部
;**************************************************************************************************************************************************
						invoke	SetFilePointer,@hFile,[ebx].PointerToRawData,NULL,FILE_BEGIN		;设置文件指针
						invoke	WriteFile,@hFile,offset APPEND_CODE,[ebx].Misc.VirtualSize,addr @dwTemp,NULL	;将代码写入
						mov		eax,[ebx].PointerToRawData
						add		eax,[ebx].SizeOfRawData												;eax到文件末尾位置(RVA)
						invoke	SetFilePointer,@hFile,eax,NULL,FILE_BEGIN							;设置文件指针
						invoke	SetEndOfFile,@hFile													;该函数设置当前位置为文件末尾
;***************************************************************************************************************************************************
						push	[ebx].VirtualAddress
						pop		@dwAddCodeBase
						push	[ebx].PointerToRawData
						pop		@dwAddCodeFile
				.endif
;***************************************************************************************************************************************************
; (Part 4) 修正文件入口指针并写入新的文件头
;***************************************************************************************************************************************************
				mov		eax,@dwAddCodeBase
				add		eax,(offset _NewEntry - offset APPEND_CODE)					;加上偏移得到新的程序执行入口的RVA
				mov		[edi].OptionalHeader.AddressOfEntryPoint,eax				;新的程序执行入口RVA
				invoke	SetFilePointer,@hFile,0,NULL,FILE_BEGIN						;设置文件指针在文件开头的位置
				invoke	WriteFile,@hFile,@lpMemory,[esi].OptionalHeader.SizeOfHeaders,addr @dwTemp,0		;将新的文件头写入(@hFile指向哪个新分配的内存)
;***************************************************************************************************************************************************
; (Part 5)修正新加代码中的 Jmp oldEntry 指令
;***************************************************************************************************************************************************
				push	[esi].OptionalHeader.AddressOfEntryPoint					;原来的文件执行入口RVA
				pop		@dwEntry													;
				mov		eax,@dwAddCodeBase											;内存中可插入的那个节的缝隙的起始RVA或者新加的节的开始的RVA
				add		eax,(offset _ToOldEntry + 5 - offset APPEND_CODE )			;到达jmp指令后面一条指令的RVA
				sub		@dwEntry,eax												;原程序入口地址RVA减去Jmp指令后面一条指令的位RVA,这个值就是jmp指令后面的值
				mov		ecx,@dwAddCodeFile											;文件中节的缝隙的RVA或者文件中新插入的节的起始RVA
				add		ecx,(offset _dwOldEntry - offset APPEND_CODE)				;ecx到达JMP指令后面要写入数据的地方(RVA)
				invoke	SetFilePointer,@hFile,ecx,NULL,FILE_BEGIN					;设置指针位置
				invoke	WriteFile,@hFile,addr @dwEntry,4,addr @dwTemp,NULL			;将jmp后面的数据写入(其实也算是个偏移)
;****************************************************************************************************************************************
; (Part 6)关闭文件
;****************************************************************************************************************************************
				invoke	GlobalFree,@lpMemory			;释放内存
				invoke	CloseHandle,@hFile				;关闭文件句柄
				invoke	wsprintf,addr @szBuffer,Addr szSuccess,addr @szNewFile
				invoke	SetWindowText,hWinEdit,addr @szBuffer
_Ret:
				assume	esi:nothing
				popad
				ret
				
_ProcessPeFile	endp

为了防止出现意外导致原来的文件出错,所我们是将代码插入到目标文件的一个拷贝当中。并且因为不管是哪种方法,最后都要修改PE文件头中的某些数据,所以我们先申请一段内存将目标文件的PE文件头复制到这个内存里面,然后再这个内存里面对PE头进行修改,最后将修改好的头再复制回去。

因为用的框架都是之前博客里的,所以这里是拷贝了一份目标文件用内存映射文件函数映射到内存后的代码。然后下面对该功能函数中的一些代码解释一下:

;*************************************************************************************************************************
;(Part 2.1)检查是否有空闲位置可供插入节表
;*************************************************************************************************************************
pushad
mov		edi,ebx
xor		eax,eax
mov		ecx,IMAGE_SECTION_HEADER
repz	        scasb			  		
popad

 这段代码就是检测目标文件头中节表部分是否还有空隙能够让我们再插入一个节表,此时的EDI指向最后一个节表的末尾位置,所以该段代码就是从末尾位置范围为一个节表的大小开始寻找,寻找是否有非0的数据,如果有则ZF标志位置0,如果没有则ZF标志位置1。则下面的代码可以判断,如果ZF标志位置1了,则说明有足够的空隙给我们插入一个节表,如果ZF标志位为0,则说明我们要采取另一种办法了。

; (Part 3.1)如果没有新的空间的位置可供插入节表,则查看现存代码节的最后是否
;存在足够的全零空间,如果存在则在此处加入代码
;*******************************************************************************************
xor		eax,eax
mov		ebx,edi						;(此时EDI为新创的那块内存的PE头的位置)
add		ebx,sizeof IMAGE_NT_HEADERS			;加上PE头的大小到达节表的位置
;(此时ebx为新创的哪个内存的第一个节表的起始位置)
.while	ax <= [esi].FileHeader.NumberOfSections 
	mov		ecx,[ebx].SizeOfRawData			;查看这个节在文件中的大小,如果是0的话则说明这是一个含未初始化数据的节,就不能插入代码
	.if		ecx && ([ebx].Characteristics & IMAGE_SCN_MEM_EXECUTE)		;节的属性为包含可执行代码
			sub		ecx,[ebx].Misc.VirtualSize
			.if		ecx > offset APPEND_CODE_END - offset APPEND_CODE 	;如果空隙大小可以装下我们的代码
					or		[ebx].Characteristics,IMAGE_SCN_MEM_READ or IMAGE_SCN_MEM_WRITE		;增加属性可读可写
					jmp		@F
			.endif
	.endif
	add		ebx,IMAGE_SECTION_HEADER		;如果这个节没有空隙就到下一个节表看看
	inc 	ax
.endw

这段代码就是判断节之间有没有足够的空隙给我们插入代码,这里我们使用节在文件中的大小减去节中真正的数据部分的大小来判断空隙是否够大,因为我们是将文件映射到内存中来处理的,所以数据的排列以及对齐和在磁盘文件中是一样的,我们插入的地方就是一个节为了对齐而在数据后面补0的那部分,而文件被装载到内存后的对齐粒度更大,所以不用担心装载到内存后会发生错误。

该段代码使用一个循环查看每个节的后面的空隙,如果有某个节空隙够大,那么就开始像这个节中注入代码,如果没有一个空隙够,那就只能提示没有空间给我们插入代码了。

最后我们写入代码都是先用SetFilepointer函数设置文件指针到我们要插入的位置,然后再用WriteFile函数将我们的代码写入,最后,如果是增加节表的方法,那么要将PE文件头中的IMAGE_FILE_HEADER结构中的节的数目修改一下,并且要将增加的节表的数据填好,节的大小要扩充成按指定值对齐后的数值,这个函数也在上面的代码中,代码如下:

_Align			proc	_dwSize,_dwAlign

				push	edx
				mov		eax,_dwSize
				xor		edx,edx
				div		_dwAlign				;将代码的大小除以文件中的对齐粒度
				.if		edx						;如果有余数则说明没有对齐,则我们要扩充一下
						inc		eax				;EAX中是除法运算后的商,加一之后再乘以对齐粒度就可以了
				.endif
				mul		_dwAlign
				pop		edx
				ret
				
_Align			endp

编译链接后......程序内火绒给清除了?!

那我们从隔离区恢复并添加信任,然后随便选个程序注入看看:


。。。。。。

那就再恢复一下,发现该文件目录下又多了一个文件:

下面那个就是我们注入后的程序,运行一下看看:

果然,出现了这个对话框,点是:

       成功运行了!(这个程序里面的数字请忽略,这个是错误的)。

那么这个是我们自己写的程序被注入了,我们试试其他的程序看看:

运行看看:

虾仁炖猪心
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件增加可执行代码
qq_37860866的博客
03-11 525
最近想写一个软件壳,需要给PE文件增加一个区段(Section),来执行一些初始化的工作。只要先学习一下PE文件的格式和结构,有个大概了解后,我想就能很容易写出相关代码。网上有很多PE格式的介绍,这里就不多介绍,直入主题。   增加的执行代码有两个地方可以放,一个是现有PE文件区段在数据对齐时有一些空隙,这样的空隙一般只能存放比较小块的代码,优点是对原有的PE文件数据改动比较小,大小也不会改
PE文件添加执行代码
liumengcheng的专栏
01-29 2726
原理 1,将添加代码写到目标PE文件,可以把这个代码插入代码所处的的section的空隙,也可以通过添加一个新的section附在原文件的尾部 2,PE文件原来的入口地址必须被保存在添加代码,这样,这段代码执行完以后可以转移到原始文件执行 3,PE文件的入口地址需要被修改,指向新添加代码的入口地址 4,PE文件的一些值需要根据情况做相应的修改,以符合修改后的PE文件
PE文件写入自己想要执行代码
weixin_43754657的博客
03-02 320
PE文件写入自代码 向一个PE文件写入MessageBox()方法 查看MessageBox()的硬编码 构造需要写入的代码 6A 00 6A 00 6A 00 6A 00 E8 E4 E9 95 65 E9 57 36 00 00 在PE文件 F90 处写入我们想要执行的硬编码(写在PE的空白数据) 公式:要跳转的地址 - E8指令当前的地址 - 5 ...
WIN32汇编语言程序设计——在PE文件添加执行代码
最新发布
evagenius的博客
05-09 255
这里的技术目标是这样的,我们打算使用JMP指令的一种用法:转移地址在内存的JMP指令。比如,在PE文件,一个典型的对齐值是200h ,这样,每个区块都将从200h 的倍数的文件偏移位置开始,假设第一个区块在400h 处,长度为90h,那么从文件400h 到490h 为这一区块的内容,而由于文件的对齐值是200h,所以为了使这一区块的长度为FileAlignment 的整数倍,490h 到 600h 这一个区间都会被00h 填充,这段空间称为区块间隙,下一个区块的开始地址为600h。
PE添加代码
个人笔记
05-21 269
PE写入Shellcode需要用到的数据必须掌握的知识实现步骤 需要用到的数据 AddressOfEntryPoint ImageBase SizeofRawData VirtualSize 必须掌握的知识 实现的功能:执行添加代码后,跳回原来的入口。 硬编码知识: call : E8 X=[(真正跳转的地址-(E8下一行的指令地址))] //X得出来的地址必须是内存加载时的地址 jmp : E9 [同上公式] 变式:X = 真正跳转的地址-(E8当前地址+5) 注:下一行地址 = 当前地址+
PE文件添加代码
12-23
"在PE文件添加代码"这个主题聚焦于如何利用汇编语言来操作可执行文件(Portable Executable, PE)结构,以在原有程序的基础上插入新的代码段。PE文件格式是Windows操作系统用于存放可执行程序、动态链接库(DLL...
pe插入执行代码的研究
05-17
通过对PE文件结构的深入理解,我们可以有效地向PE文件插入执行代码。这不仅可以用来扩展已有程序的功能,还可以用于逆向工程、软件调试等多种场景。然而,需要注意的是,这种修改可能会对原有程序的稳定性和安全...
关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
PE(Portable Executable)可执行文件格式是Windows操作系统用于存放程序代码、资源和元数据的标准格式。在Windows系统,无论是.exe还是.dll文件,都遵循PE格式。本主题将深入探讨PE文件的结构以及如何对其进行...
PE文件插入执行代码(非源码)
03-12
通过上述方法,可以在PE文件有效地插入新的可执行代码,从而实现对已有程序的功能扩展或定制化需求。这不仅适用于开发阶段的调试和测试,也广泛应用于软件逆向工程、安全研究等领域。理解和掌握这些技术对于深入...
PE文件添加节.zip
08-19
使用C语言在PE文件末尾添加新节并改变PE文件OEP,使得在程序执行插入一段shellcode
PE详解(windows 可移植的执行体)
06-06
PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。当然,移植到不同的CPU上PE执行体必然得有一些改变。所有 win32执行体 (除了VxD和16位的Dll)都使用PE文件格式,包括NT的内核模式驱动程序(kernel mode drivers)。因而研究PE文件格式给了我们洞悉Windows结构的良机。
PE文件间隙加入自己的代码-全程步骤
NewUserBusyCat的专栏
04-21 1800
PE文件的间隙:PE文件在磁盘上存放时其各个节是按页的倍数对齐的(磁盘一页为200h,内存一页为1000h),当一个节不是页的整倍数时其尾部用0填充,这就是PE的间隙。本示例是在.text节加入了可执行代码,在.idata节加入了外部引用函数,在.reloc节加入了重定位地址。本示例MyPE.exe是用VS2008自动生成的SingleWindow样式的程序。为方便理解,附上部分源码:LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wPara
pe文件结构在空白区添加代码
goat_2003的博客
06-10 462
想要再空白区添加代码,首先我们需要清晰一下我们需要做的步骤。 1.查找本机MessageBoxA地址 2.打开OD调试工具拖入要添加的exe程序。 3.在命令输入 : (输入后按下回车键) 4.找任意一段空白区添加代码 (最好是添加到 空白区开始预留一行的位置,便于以后再添加更多代码节约空间) 5.计算E8跳转的地址 6.修改OEP (程序入口的点) 预备知识 汇编指令 硬编码 call E8 00 00 00 00 jmp E9 00 00 00 00 push 6A .
pe文件添加执行代码
珍惜
04-20 460
PE文件添加代码所必须的几个步骤: (1)将添加代码写到目标PE文件,这段代码既可以插入代码所处的节空隙(由于每个节保存在文件时是按照FileAlignMenu的值对齐的,所以节的最后必然会有一引动空余的空间),也可以通过添加一个新的节来附在原文件的尾部。 (2)PE文件原来的入口指针必须保存在添加代码,这样,这段代码执行完毕以后可以转移到原始文件执行。 (3)PE文件的入...
PE文件在任意空白区域添加代码
CleanMe的博客
12-24 718
环境: windowsXP 工具: 吾爱版OD,winhex , vc6++ 当然,知道一些PE文件头的知识更好 在最后有介绍一点PE文件结构的知识,有助于理解此文章 目标:在一个程序的任意空白区域添加代码 ( 转换为机器码 ) 如在文件头与节数据之间添加代码: 在此位置添加一个message弹框的机器码,使程序在执行前先弹出一个消息框。 先查看message消息框的汇编代码 在00401032处先把message函数方法需要四个参数压入栈,然后call直接调用message函数 但是m.
PE实战教程之空白节添加代码
weixin_43742894的博客
04-01 768
想要添加代码:弹出一个messagebox。 如果想要调用messagebox,可以看到下面的代码,就是push 参数,call函数地址。 1.寻找OEP所对应的文件偏移位置. 首先随便找一个文件,查看扩展头OEP RVA 以及 ImageBase, 并且换算出属于哪个节.并且转换为文件偏移. OEP的RVA为00012180,imagebase为00400000。 那么内存OEP开始位置就是 RVA +Imagebase == 00012180+ 00400000== 0x00412180。  查
【逆向工程】在PE结构空白区段插入代码
L2510408497的博客
07-03 2116
最近在学PE结构,遇到了个比较有意思的实验,学过PE结构的都知道因为文件对齐FileAlignment和区块对齐SectionAlignment的缘故,在磁盘PE文件的块与块表 块与块之间有许多的空白间隙,这些间隙以0为填充,在文件执行这些空白是没有意义的,所以我们就可以利用这段空白插入我们想执行的一些代码。 演示程序 经典扫雷 演示dll user32.dll.MessageBoxW 演示所用工具 X64dbg,PEGAME,010Editor 演示目标 实现修改程序使其弹出一个MessageBo
深入理解PE文件格式:Windows可执行文件内幕
"这篇文章主要探讨了PE文件内幕,即Win32可移植可执行文件格式,它是Microsoft在所有基于Win32的系统上使用的标准,包括Windows NT、Win32s以及Windows 95。作者指出,对于使用Win32s或Windows NT的程序员来说,PE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值