手工添加一个节区(简单拷贝)

最新推荐文章于 2022-04-10 12:21:03 发布
最新推荐文章于 2022-04-10 12:21:03 发布
阅读量250 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43990313/article/details/106912211
版权
本文介绍了如何手动向PE文件中添加一个新的节区,详细阐述了操作步骤,包括复制现有节区、填充0、更新PE头信息、修正节区属性等,确保新增节区在文件和内存中的正确定位。
摘要由CSDN通过智能技术生成

思路:
1) 添加一个新的节(可以copy一份)
2) 在新增节后面 填充一个节大小的000
3) 修改PE头中节的数量
4) 修改sizeOfImage的大小
5) 再原有数据的最后,新增一个节的数据(内存对齐的整数倍).
6)修正新增节表的属性
重点关注的几个结构:
1.PE标准头的NumberOfSections
2.节区头的VirtualAddress、SizeOfRawData、VirtualSize、PointerToRawData(这些是用来确定在新增节区在文件和内存中的位置,需要考虑偏移量)
3.可选头的SizeOfImage
操作过程(随便找一个程序为例):
现在有5个节区,我们目的是向其中添加一个同样的.data2节区
在这里插入图片描述在这里插入图片描述
首先修改FileHeader->NumberOfSections结构为6在这里插入图片描述
最后一个节区头的后面拷贝一个和.data相同的结构,执行一下,发现添加上了

最低0.47元/天 解锁文章
TD.Jia
关注
Python核心编程之序列下篇
LYX_WIN
12-08 1088
难道它们 的名字现在不应该都是'jane'了吗?正如我们在本章的开头所讨论的,无论 list()还是 tuple()都不可能做完全的转换(见 6.1.2 ).也就是说,你传给 tuple()的一个列表对象不可能变成一个元组,而你传给 list()的 对象也不可能真正的变成一个列表.虽然前后两个对象(原来的和的对象)有着相同的数据集 合(所以相等 == ),但是变量指向的却不是同一个对象了(所以执行 is 操作会返回 false).还 要注意,即使它们的所有的值都相同,一个列表也不可能"等于"一个元组.
datagridvie设置行高列宽_C#--操作DataGridView控件详解(数据显示,更改行高行宽,交换行,自动添加行号)...
weixin_39847728的博客
12-21 1178
在项目中,老程序员都知道显示数据的控件的操作灵活性很重要。Visual Studio2008里面提供了一个很强大的数据显示控件------------DataGridView。DataGridView与VB、VC中的DataGrid控件功能很相似,但比起更加强大,操作更灵活,废话不说了。操作DataGridView有两种方式,一种是使用控件绑定的方式,操作的时候只要更改DataSet控件的数据集就...
【转】反病毒攻防研究第003篇:添加节区实现代码的植入
雨化于画
03-25 281
声明 因为在评论区看到原博主说要把文章删掉。。。心想这么好的文章删了真的可惜,所以就先转一份。。。 一、前言         上一篇文章所讨论的利用缝隙实现代码的植入有一个很大的问题,就是我们想要植入的代码的长度不能够比缝隙大,否则需要把自身的代码截成几个部分,再分别插入不同的缝隙中。而这次所讨论的方法是增加一个节区,这个节区完全可以达到私人订制的效果,...
学习PE写的一个添加节区的工具
zhangmiaoping23的专栏
08-02 2098
前段时间学习PE写了一个添加节区的小工具,拿计算器测试了一下,可以添加90多个节区. 先介绍一下手动添加节区的方法 方法一:(适用于最后一个节区头部与第一个节区数据之间有0x28字的空间) 代码: 1.添加节区数据(文件对齐值) 2.修改数量 3.添加IMAGE_SECTION_HEADER 4.修改SizeOfImage 方法二:重编辑PE头(适用于最后一个节区头部
C++实现PE文件添加节区(加壳器)
Anansi的博客
03-21 2727
最近潜心研究二进制安全,接触到了shellcode还有加壳脱壳有关的内容,于是心血来潮,想用自己不怎么成熟的编程功夫来实现写一个加壳器,并记录下代码编写过程中遇到的坑。 (以下文章中区段==节区) PE文件格式 pe(Portable Executable)其实就是在windows系统上的程序文件,这种文件格式在windows系列操作系统上基本上是通用的,我们平时见到的.exe、.dll、.obj...
es-ik分词器插件
kxq的博客
12-07 298
es添加ik分词器插件 官网:https://github.com/medcl/elasticsearch-analysis-ik (注意不要下载源代码) 安装: sudo mkdir -p /qj/es/plugins/ik sudo mv elasticsearch-analysis-ik-7.10.0.zip /qj/es/plugins/ik/ sudo unzip elasticsearch-analysis-ik-7.10.0.zip sudo rm -rf /qj/es/plugins/i
反病毒攻防研究第003篇:添加节区实现代码的植入
墨鱼菜鸡
09-10 120
一、前言 上一篇文章所讨论的利用缝隙实现代码的植入有一个很大的问题,就是我们想要植入的代码的长度不能够比缝隙大,否则需要把自身的代码截成几个部分,再分别插入不同的缝隙中。而这次所讨论的方法是增加一个节区,这个节区完全可以达到私人订制的效果,其大小完全由我们自己来决定,这样的话,即便是代码较...
PE文件格式:导入表&IAT——手工重组
Lagon的专栏
04-05 3360
最近学了导入表和IAT之后,
python两个除号什么意思_python中除号
weixin_39609051的博客
11-28 2935
广告关闭腾讯云11.11云上盛惠 ,精选热门产品助力上云,云服务器首年88元起,买的越多返的越多,最高返5000元!py2 vs py3print成为了函数,python2是关键字不再有unicode对象,默认str就是unicodepython3除号返回浮点数没有了long类型xrange不存在,range替代了xrange可以使用中文定义函数名变量名高级解包 和*解包限定关键字参数*后的变量必...
构建单拷贝同源蛋白系统发育树,一条命令提序列!
liuninghua521的博客
09-10 4278
一条命令提取单拷贝同源蛋白序列!
PE文件实战教程之手动实现
weixin_43742894的博客
04-01 1449
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接一个! 并且我们通过手动,可以直观地看到非常多的细,帮助我们理解原理! 手动实现什么是一个?了解一下表的步骤1.判断是否有足够的空间增加一个.2.一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,一个的数据(内存对齐的整数倍)6 修正表的属性.Virt.
pe结构分析-解析pe头(一)
freshfox的博客
09-28 719
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
pe文件节区的删除和增加
m0_62690279的博客
04-10 1490
pe文件节区的删除和增加 节区(.reloc)的删除(按照《逆核》书中的步骤来进行) 整个过程需要四个步骤: 1.删除节区头 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区头 在hxd中找到rva从270到297区域,用0填充 删除节区内容 在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容 修改节区数量 找到文件头中的 number of section 同样在hxd中修改其
卷积神经网络程序-matlab
10-03
卷积神经网络程序-matlab-设置基本参数规格,卷积,降采样层,卷积核的大小
利用神经网络实现DNN信号均衡.zip
最新发布
10-03
利用神经网络实现DNN信号均衡
基于文本增强与争议融合的虚假信息检测模型设计源码
10-03
该项目为吉大毕业论文设计源码,主题为基于文本增强与争议融合的虚假信息检测模型。项目包含20个文件,主要包括14个Python源代码文件、2个文本文件、1个Git忽略文件、1个许可证文件、1个Markdown文件、1个JSON文件。该模型旨在提高虚假信息检测的准确性,适用于相关研究与应用场景。
Python拷贝一个数组
09-15
在中,拷贝一个数组可以使用赋值、浅拷贝和深拷贝三种方式。 1. 赋值:通过将一个数组赋值给另一个变量,它们将共享同一个数组对象。当其中一个变量修改数组时,另一个变量也会受到影响。 例如: ``` a = [1, 2, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值