PE文件实战教程之手动实现新增节

最新推荐文章于 2024-05-24 19:31:36 发布
最新推荐文章于 2024-05-24 19:31:36 发布
阅读量1.4k 收藏 8
点赞数 7
分类专栏: 实战专栏 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/115376779
版权

前面我们说过在空白节添加代码,想要更多空间的话,可以扩大节,但是在最后一个节进行扩大的话,还需要修改原来节的属性,比较麻烦,所以不如直接新增一个节!
并且我们通过手动新增节,可以直观地看到非常多的细节,帮助我们理解原理!

手动实现新增节

什么是新增一个节?

pe文件有多个节表,我们随便找一个exe文件查看,可以看到有多个节表:
在这里插入图片描述
每个节都有自己的任务和功能,所以我们新增一个节可以专门用来实现我们自己想要实现的功能。

了解一下节表

详细看一下每个成员的注释!
重点知道下面4个成员

Name[IMAGE_SIZEOF_SHORT_NAME]:我们可以随便起一个自己喜欢的名字
VirtualSize:是在内存中的真实大小
VirtualAddress:是加载到内存中第一个字节的偏移地址
SizeOfRawData:该节在文件对齐后的大小。

typedef struct _IMAGE_SECTION_HEADER {
   
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //8个字节名字.自己可以起.编译器也可以给定.不重要.
    union {
   
            DWORD   PhysicalAddress;       
            DWORD   VirtualSize;           //节数据没有对齐后的大小.也就是没有对齐.节数据有多大.
最低0.47元/天 解锁文章
王大碗Dw
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PE新增
hambaga的博客
05-13 729
测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个表后面并不是0,而是有一些奇怪的数据,以32位notepad为例,最后一个表后面的数据是这样的: 对于其他程序,如ipmsg,还有一个我自己写的32位GUI程序,新增后都可以正常运行。 对于这个问题,解决方案可以改为扩大最后一个,或者让NT头上移,就是覆盖掉原来dos stub那部分数据,然后改一下e_lfanew,由于不是本次作业的重点,我就不写了。 下面是函数代码,只包含添加的函数,其他函数就不贴了,上一篇博客有
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加新并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE知识复习之PE新增
weixin_30302609的博客
10-02 426
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
PE文件(六)新增-添加代码
最新发布
2301_78838647的博客
05-24 1106
我们有时候发现文件内存中未对齐的大小确实比文件中对齐的大小大,这是由于中包含初始化数据的缘故。当整体上移后空白出来的空间还不够新增表的大小时,我们可以采用扩大最后一个的方式,将添加的代码加到最后一个扩大的空间中,由于内存对齐的原因,我们会有很大一部分的空间供我们去添加代码。二.当满足添加表的条件时,我们可以将已有的一个表的40字信息复制一份紧挨着最后一个表的末尾(表与表之间时连续的),然后再定义之后的40字都是0,之后再根据新增的信息,去修改对应表的字段值。
PE增加一个
qq_45694932的博客
07-10 374
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
PE结构新增一个
qq_45992231的博客
09-02 92
吾爱破解论坛里面ly610abc的做法 https://www.52pojie.cn/thread-1410348-1-1.html 关于第一步中判断是否有足够的空间来添加表是指 PE头后紧跟着的就是表,而表经文件/内存对齐后就是了,所以因为对齐的缘故,表和第一个之间有一定的空隙,若这些空隙能够插入一个新的表就能够按照上面的步骤来做。若不能就要好多的偏移,非常麻烦 ...
PE文件区添加并弹出简单的对话框
05-26
本篇我们将深入探讨如何在PE文件中添加新的区(Section)以及如何实现弹出一个简单的对话框。 首先,我们需要了解PE文件的基本结构。PE文件由多个区组成,每个区都有自己的名称和特性,如虚拟地址、大小、...
PE文件查看器(MFC实现).zip
07-21
也是常见的病毒攻击的载体与执行体,所以PE文件的格式解析是非常重要的,该工程的实现类似于CFF Explorer的实现,这个代码是基于MFC框架的实现,可以实现文件拖拽等操作,解析出PE文件的关键字段,以MFC可视化的方式...
Windows进程通信之PE文件共享配套源码
08-13
danny_share博客Windows进程间通信之PE文件共享配套源码, 分为 SectionDLL、SectionMain和SectionASub和SectionBSub个工程实现使用PE文件共享通信, 1.不要F5直接运行 2.编译生成debug目录或者release目录以后,...
二进制文件/PE文件对比工具非常好用
07-28
标题中的“二进制文件/PE文件对比工具非常好用”表明我们讨论的是一款用于比较二进制文件,特别是PE(Portable Executable)格式文件的工具。PE文件是Windows操作系统上执行程序的标准格式,包括DLL动态链接库和EXE...
8.PE文件新增
kernelhack
10-28 4176
目录 新增PE文件中哪些值会有影响? 新增步骤: 手动新增 代码新增 如果需要在PE文件中构建一端SHELLCODE(默认区剩余空间不足情况下),可以通过新增来解决此问题.通常大部分加壳软件都会新增来移动或者备份各种目录项数据. 新增PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果新增需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增后在内存中的大小
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 406
手工解析PE(新增)
PE新增一个
qq_42363151的博客
08-31 210
新增
PE文件的修改----增加
weixin_51738129的博客
02-01 998
PE文件的修改
PE文件扩大
istream1的博客
12-04 490
PE文件扩大
PE结构-----新增
mysqld521的博客
05-28 133
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字))》=80字。可以直接在最后的表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字进行00的填充。
PE格式: 新建并插入代码
CSDN
07-26 7185
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 经过了前一章的学习相信你已经能够独立完成FOA与VA之间的互转了,接下来我们将实现在程序中插入新区,并向新区内插入一段能够反向连接的ShellCode代...
PE新增|扩大|合并
个人笔记
05-21 536
PE操作新增实现步骤扩大实现步骤合并实现步骤 新增 PE结构使用: SizeOfImage NumberOfSections VirtualSize VirtualAddress SizeOfRawData PointerToRawData 实现步骤 -判读那是否有足够空间,可以添加一个表 SizeOfHeaders-(DOS+DOS STUB+NT头+已存在表) >=2个表大小 满足才可添加,否则提升PE头 -完善新增表内容 -在新添表后面填充一个(表)大小的00 -修改PE
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值