在代码空白区添加代码

这段时间跟着滴水三期视频一起学习PE，在这个地方遇到了一些坑。就简答的记录一下。
先明确一点。视频里使用的程序的FileAlignment和SectionAlignment是相同的，因此进行地址计算的时候可以不考虑粒度的大小。
我们进行添加代码的思路是：
1.在空白处载入一段代码。
2.修改入口点先执行我们添加的代码。
3.自己载入的代码最后跳转到原本的入口点。
分析一下需要进行的工作：
首先需要判断一下需要载入的位置是否可以使用（这个地方遇到了一个坑，在文件头的空隙中我曾经尝试过多次，但最后修改后仍然没办法执行。发现只能在节区的空白位置插入一段代码。）如果 VirtualSize ！= SizeOfRawData就可以将shellcode放入程序中。
然后进行代码的编写：我们要构造MessageBox 和jmp，MessageBox有四个参数。
E8是call的机器码（这是直接调用，间接调用是FF开头的），E9是jmp的机器码。push 0 为6A 00 所以现在机器码是 6A 00 6A 00 6A 00 6A 00 E8 xx xx xx xx E9 xx xx xx xx
我们还要进行call地址的执行。我们分析的是文件地址而不是内存地址。因此要了解PE的载入，考虑FileAlignment和SectionAlignment。我们以FileAlignment = 400h，SectionAlignment = 1000h、第一个节区为例：

虚拟地址 = call这条指令的文件地址 + 指令长度5 - 当前节区的首地址400h+ ImageBase + VirtualAdress 1000h
通过OD的查找函数我可以得到MessageBox的虚拟地址
call后面的值 = MessageBox - call的虚拟地址

虚拟地址 = jmp这条指令的文件地址 + 指令长5 - 当前节区首地址400h + ImageBase + VirtualAdress 1000h
原本入口点EntryPoint
jmp后面的值 = EntryPoint - jmp的虚拟地址

然后修改OptionHeader头的AdressOfEntryPoint为shellcode的首地址保存文件即可。