PE文件实战教程之手动实现新增节

最新推荐文章于 2023-05-28 16:26:40 发布
最新推荐文章于 2023-05-28 16:26:40 发布
阅读量1.3k 收藏 8
点赞数 7
分类专栏: 实战专栏 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/115376779
版权

前面我们说过在空白节添加代码,想要更多空间的话,可以扩大节,但是在最后一个节进行扩大的话,还需要修改原来节的属性,比较麻烦,所以不如直接新增一个节!
并且我们通过手动新增节,可以直观地看到非常多的细节,帮助我们理解原理!

手动实现新增节

什么是新增一个节?

pe文件有多个节表,我们随便找一个exe文件查看,可以看到有多个节表:
在这里插入图片描述
每个节都有自己的任务和功能,所以我们新增一个节可以专门用来实现我们自己想要实现的功能。

了解一下节表

详细看一下每个成员的注释!
重点知道下面4个成员

Name[IMAGE_SIZEOF_SHORT_NAME]:我们可以随便起一个自己喜欢的名字
VirtualSize:是在内存中的真实大小
VirtualAddress:是加载到内存中第一个字节的偏移地址
SizeOfRawData:该节在文件对齐后的大小。

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //8个字节名字.自己可以起.编译器也可以给定.不重要.
    union {
            DWORD   PhysicalAddress;       
            DWORD   VirtualSize;           //节数据没有对齐后的大小.也就是没有对齐.节数据有多大.
    } Misc;
    DWORD   VirtualAddress;          //加载到内存中的第一个字节的地址.也就是虚拟地址.节在内存中哪里开始.内存中的VA + ImageBase 才是真正的节开始位置
    DWORD   SizeOfRawData;           //修改这个属性的值,即可扩大节.并且在PE文件中添加相应的0数据进行填充.
    DWORD   PointerToRawData;          //在文件中的偏移.是文件对齐成员倍数.
    DWORD   PointerToRelocations;           //一下都是调试相关.
    DWORD   PointerToLinenumbers;           //
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;          //节的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

在这里插入图片描述

新增节表的步骤

1.判断是否有足够的空间增加一个新节.

2.节表新增一个成员,在原最后一个成员后面添加

3.修改文件头中节表个数.

4.添加的新节表修改节表的属性. 节.VirtualAddress .这个成员指定了这个节在内存哪里展开.所以需要修改.

5.再原有数据的最后,新增一个节的数据(内存对齐的整数倍)

6.修改新增节表的属性

  1. 修改扩展头的PE镜像大小. sizeofImage.
    这个成员才是关键.如果不按照内存对齐修改镜像大小.那么我们的节就不会映射到内存中.或者PE文件根本无法执行.

  2. 修改节表文件偏移 节.PointerToRawData 我们指定了内存中从哪里展开节.那么也需要指定这个节在文件中在哪里展开

  3. 修改节表中的 节数据对齐后的大小. 节.SizeofRawData. 我们新增的节.自己需要在PE文件添加一段节数据.数据的大小按照文件对齐添加. 并且填写到这个成员中.

  4. 节.VirtualSize修改

  5. 节.Characteristics文件偏移修改

1.判断是否有足够的空间增加一个新节.

我们使用工具直接查看节表区域,我们仅需要40个字节,发现空间足够!
在这里插入图片描述

2.节表新增一个成员,在原最后一个成员后面添加

这里我们直接复制.text节表成员,因为text作为代码段,可读可写可执行,非常完美。
这里直接复制过来了,然后我们先将名字修改为.tttt
在这里插入图片描述

3.修改节的数量

文件头中有一个属性记录了我们节表的个数.我们新增了一个节.那么就需要在原有的个数上加1.找到文件头记录节表个数位置.并加一即可.

原来为8,现在改为9。
在这里插入图片描述

4 修改sizeOfImage的大小

修改前:
可选头中:SizeofImage :0001D000
在这里插入图片描述
我们新增了0x1000节数据大小.那么我们的镜像大小也要加0x1000大小进行映射.注意.要按照内存对齐。
我们的原镜像大小以及按照内存对齐的方式存放了. 就是0x1D000. 那么我们加了0x1000的数据就是 0x1E000大小.我们修改为0x1E000。
在这里插入图片描述

5.再原有数据的最后,新增一个节的数据(内存对齐的整数倍)

插入了0x1000字节,填充为0.
ps:这里使用pe editor进行插入。
在这里插入图片描述

6 修正新增节表的属性

我们新增了一个节表.那么我们就要为这个节表指明内存中开始展开的位置. 文件中展开的位置. 以及节数据的大小.

对应的三个成员分别是:

节.VirtualAddress

节.SizeOfRawData

节.PointerToRawData

节.VirtuallAddress修改

首先第一个成员. 节.virtuallAddress .我们按照文件对齐.与上一个节表对齐存放即可.

例如上一个节表对齐后的展开位置为 0x1c000 那么我们就修改为 0x1d000
修改前:
在这里插入图片描述
修改后:
在这里插入图片描述

节.sizeofRawData修改

这个成员就是节数据按照文件对齐后的大小.取决于我们给这个节添加多少数据,这里我们之前添加了0x1000个字节。
  这里修改为1000
  在这里插入图片描述

节.PointerRawToData 文件偏移修改

最后修改的就是节在文件中哪里展开的. 这个我们需要看上一个节的文件偏移.以及节数据大小. 算出来的.
例如:
新增节的上一个节,偏移位置为1000,节数据在文件中对齐后的尺寸为100,那么1000-1100都是上一个节的数据

.tttt上一个节在文件中的偏移为8200,大小为600;
 那么tttt节的文件偏移就为8800
 在这里插入图片描述

节.VirtualSize修改

申请的新节空间大小,1000

节.PointerRawToData 文件偏移修改

我们新增节一般都是要求可读可写可执行的,所以这里直接修改为60000020。

实验结果:
新增节后的文件正常执行
在这里插入图片描述

实验工具:
CFF
PE Editor

王大碗Dw
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加新并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE知识复习之PE新增
weixin_30302609的博客
10-02 415
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
PE新增
hambaga的博客
05-13 705
测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个表后面并不是0,而是有一些奇怪的数据,以32位notepad为例,最后一个表后面的数据是这样的: 对于其他程序,如ipmsg,还有一个我自己写的32位GUI程序,新增后都可以正常运行。 对于这个问题,解决方案可以改为扩大最后一个,或者让NT头上移,就是覆盖掉原来dos stub那部分数据,然后改一下e_lfanew,由于不是本次作业的重点,我就不写了。 下面是函数代码,只包含添加的函数,其他函数就不贴了,上一篇博客有
PE增加一个
qq_45694932的博客
07-10 362
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
PE新增一个
qq_42363151的博客
08-31 203
新增
PE文件区添加并弹出简单的对话框
05-26
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西) PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PE文件查看器(MFC实现).zip
07-21
也是常见的病毒攻击的载体与执行体,所以PE文件的格式解析是非常重要的,该工程的实现类似于CFF Explorer的实现,这个代码是基于MFC框架的实现,可以实现文件拖拽等操作,解析出PE文件的关键字段,以MFC可视化的方式...
Windows进程通信之PE文件共享配套源码
08-13
danny_share博客Windows进程间通信之PE文件共享配套源码, 分为 SectionDLL、SectionMain和SectionASub和SectionBSub个工程实现使用PE文件共享通信, 1.不要F5直接运行 2.编译生成debug目录或者release目录以后,...
PE文件解析类 PE文件解析类
06-08
PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件...
8.PE文件新增
kernelhack
10-28 4091
目录 新增PE文件中哪些值会有影响? 新增步骤: 手动新增 代码新增 如果需要在PE文件中构建一端SHELLCODE(默认区剩余空间不足情况下),可以通过新增来解决此问题.通常大部分加壳软件都会新增来移动或者备份各种目录项数据. 新增PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果新增需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增后在内存中的大小
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 379
手工解析PE(新增)
PE结构-----新增
最新发布
mysqld521的博客
05-28 125
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字))》=80字。可以直接在最后的表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字进行00的填充。
PE文件的修改----增加
weixin_51738129的博客
02-01 942
PE文件的修改
PE结构新增一个
qq_45992231的博客
09-02 83
吾爱破解论坛里面ly610abc的做法 https://www.52pojie.cn/thread-1410348-1-1.html 关于第一步中判断是否有足够的空间来添加表是指 PE头后紧跟着的就是表,而表经文件/内存对齐后就是了,所以因为对齐的缘故,表和第一个之间有一定的空隙,若这些空隙能够插入一个新的表就能够按照上面的步骤来做。若不能就要好多的偏移,非常麻烦 ...
[PE结构] 手工给32位PE文件增加一个新
輚至消亡
07-24 1297
0x01 去除重定位表 为了更好的理解PE文件结构,首先得了解增加一个区需要修改什么,本片博客先去除.reloc区再增加一个新的.new区。 FileHeader.NumberOfSections 区数量 OptionalHeaders.SizeOfHeaders PE头的大小(因为增加了一个新的IMAGE_SECION_HEADER) OptionalHeaders.SizeO...
PE文件扩大
istream1的博客
12-04 431
PE文件扩大
通过添加新的来感染PE文件
dasgk的专栏
08-26 1932
所谓感染PE文件,其实就是修改PE文件,在不改变其原有功能的基础上,添加我们自己的代码,在这里我们将PE文件看作是一般的文件,只是在修改时,要根据PE文件结构 来进行update,否则的话就会破坏原有程序。这里我们不再对PE文件结构进行解释说明,请读者自行百度哈      现在我们说下添加区段的一般步骤      一.修改PE文件头部信息,需要修改的有IMAGE_FILE_HEADER的Nu
PE文件操作-末尾添加
yeshahayes的博客
08-08 3189
有时候为了某些原因,需要在PE末尾添加,比如加壳,补丁等等,需要对PE文件进行扩展。 在末尾添加是最简单的方式,只需要做如下修改: 修改FILE_HEADER中的数目字段 修改OPTIONAL_HEADER中映像大小字段 在描述符数组中添加新描述符 在文件末尾添加新数据 首先找到文件最后一个并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个的结束:
PE格式: 新建并插入代码
CSDN
07-26 6939
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 经过了前一章的学习相信你已经能够独立完成FOA与VA之间的互转了,接下来我们将实现在程序中插入新区,并向新区内插入一段能够反向连接的ShellCode代...
golang实现PE文件解析器
05-22
实现PE文件解析器的步骤如下: 1. 读取PE文件头,获取文件头信息。...该代码使用了golang标准库中的`debug/pe`包来实现PE文件解析器,可以获取PE文件头信息和表信息。你可以根据需要扩展代码以支持更多功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值