滴水逆向PE作业——扩大一个节

最新推荐文章于 2023-03-25 18:57:00 发布
最新推荐文章于 2023-03-25 18:57:00 发布
阅读量829 收藏 4
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44584614/article/details/104964973
版权

扩大一个节:
在这里插入图片描述
流程如下:
在这里插入图片描述
注意:修改完ImageBuffer后需要将其再压缩(拉伸的逆过程)后再存盘。

代码:

// ExtendLastSection.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include "windows.h"
#include "malloc.h"

// exe->filebuffer
DWORD ReadFile2Buffer(char* file_path,PVOID* FileBuffer);
// filebuffer->imagebuffer 
DWORD Read2ImageBuffer(PVOID FileBuffer,PVOID* ImageBuffer);
// 求对齐后的大小
DWORD Align(DWORD actuall_size,DWORD Align_size);

DWORD CopyImageBufferToNewBuffer(PVOID pImageBuffer,PVOID* pNewBuffer);

// 存盘
void StoreNewBuffer(PVOID pNewBuffer,DWORD new_file_size,char* save_path);

void ExtendLastSection()
{
	PVOID FileBuffer = NULL;
	PVOID ImageBuffer = NULL;
	PVOID SaveBuffer = NULL;
	DWORD FileBuffersize = 0;
	DWORD ImageBuffersize = 0;
	DWORD Save_size = 0;
	
	char file_path[] = "D:\\2020学习\\逆向\\IPMSG2007.exe";
	char save_path[] = "D:\\Lib\\IPMSG2007_extend_last_section.exe";

	// 1.将exe文件转化为filebuffer
	FileBuffersize = ReadFile2Buffer(file_path,&FileBuffer);
	// 2.filebuffer -> imagebuffer(并修改)
	ImageBuffersize = Read2ImageBuffer(FileBuffer,&ImageBuffer);
	
	Save_size = CopyImageBufferToNewBuffer(ImageBuffer,&SaveBuffer);
	// 3.存盘
	StoreNewBuffer(SaveBuffer,Save_size,save_path);
}

// exe->filebuffer 返回filebuffer的大小
DWORD ReadFile2Buffer(char* file_path,PVOID* FileBuffer)
{
	PVOID FileTempBuffer = NULL;
	DWORD file_size = 0;
	FILE* pFile = NULL;

	// 打开文件
	pFile = fopen(file_path,"rb");
	if(!pFile)
	{
		printf("打开文件失败!\n");
		return 0;
	}

	// 获取大小
	fseek(pFile,0,SEEK_END);
	file_size = ftell(pFile);
	fseek(pFile,0,SEEK_SET);

	// 分配内存
	FileTempBuffer = (PVOID)malloc(file_size);
	if(!FileTempBuffer)
	{
		printf("分配内存失败!\n");
		fclose(pFile);
		return 0;
	}
	// 数据存入内存
	size_t n = fread(FileTempBuffer,file_size,1,pFile);
	if(!n)
	{
		printf("文件中数据读取到内存中失败!\n");
		fclose(pFile);
		free(FileTempBuffer);
		return 0;
	}
	// 关闭文件返回filebuffer的长度
	*FileBuffer = FileTempBuffer;
	FileTempBuffer = NULL;
	fclose(pFile);
	return file_size;

}
// filebuffer->imagebuffer 返回imagebuffer的大小
DWORD Read2ImageBuffer(PVOID FileBuffer,PVOID* ImageBuffer)
{	
	// 初始化
	PVOID ImageTempBuffer = NULL;
	DWORD imagebuffer_size = 0;
	
	// 初始化PE结构体
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	// 判断filebuffer是否合法
	if(!FileBuffer)
	{
		printf("打开filebuffer失败!\n");
		return 0;
	}

	// 判断是否为合法exe文件
	if(*((PWORD)FileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不含有MZ标志,不是合法exe文件!\n");
		return 0;
	}
	pDosHeader = PIMAGE_DOS_HEADER(FileBuffer);
	if(*((PDWORD)((DWORD)FileBuffer+pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志!\n");
		return 0;
	}

	// 强制结构体类型转换 
	pDosHeader = (PIMAGE_DOS_HEADER)(FileBuffer);
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)FileBuffer+pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader+4);
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader+pPEHeader->SizeOfOptionalHeader);

	// 需要修改的部分
	PDWORD pVirtualSize = &pSectionHeader[pPEHeader->NumberOfSections-1].Misc.VirtualSize;
	PDWORD pSizeOfRawData = &pSectionHeader[pPEHeader->NumberOfSections-1].SizeOfRawData;
	PDWORD pSizeOfImage = &pOptionalHeader->SizeOfImage;
	// printf("pPEHeader->NumberOfSections:%#X\n",pPEHeader->NumberOfSections);
	// 需要修改的部分
	printf("*pVirtualSize:%#X\n",*pVirtualSize);
	printf("pOptionalHeader->SectionAlignment:%#X\n",pOptionalHeader->SectionAlignment);
	*pVirtualSize = Align(*pVirtualSize,pOptionalHeader->SectionAlignment)+0x1000;
	printf("*pVirtualSize:%#X\n",*pVirtualSize);
	printf("*pSizeOfRawData:%#X\n",*pSizeOfRawData);
	*pSizeOfRawData = Align(*pSizeOfRawData,pOptionalHeader->SectionAlignment)+0x1000;
	printf("*pSizeOfRawData:%#X\n",*pSizeOfRawData);
	printf("*pSizeOfImage:%#X\n",*pSizeOfImage);	
	*pSizeOfImage += 0x1000;
	printf("*pSizeOfImage:%#X\n",*pSizeOfImage);
	printf("================================\n");

	// 分配内存
	DWORD ImageBuffer_size = pOptionalHeader->SizeOfImage;
	ImageTempBuffer = (PVOID)malloc(ImageBuffer_size);
	if(!ImageTempBuffer)
	{
		printf("分配内存ImageTempBuffer失败!\n");
		return 0;
	}
	memset(ImageTempBuffer,0,ImageBuffer_size);
	memcpy(ImageTempBuffer,pDosHeader,pOptionalHeader->SizeOfHeaders);

	// 创建一个临时的节结构体指针,遍历存储
	PIMAGE_SECTION_HEADER pTempSectionHeader = pSectionHeader;
	// printf("pTempSectionHeader:%#X\n",pTempSectionHeader);
	// printf("(void*)((DWORD)pFileBuffer+pTempSectionHeader->PointerToRawData):%#X\n",(void*)((DWORD)FileBuffer+pTempSectionHeader->PointerToRawData));
	for(int i = 0;i<pPEHeader->NumberOfSections;i++,pTempSectionHeader++)
	{	
		// 第二个参数是 imagebuffer开始的位置,FileBuffer+PointerToRawData(image中的偏移)
		memcpy((PVOID)((DWORD)ImageTempBuffer+pTempSectionHeader->VirtualAddress),(void*)((DWORD)FileBuffer+pTempSectionHeader->PointerToRawData),pTempSectionHeader->SizeOfRawData);
	}

	*ImageBuffer = ImageTempBuffer;
	ImageTempBuffer = NULL;
	return *pSizeOfImage;
}

DWORD Align(DWORD actuall_size,DWORD Align_size)
{
	if(actuall_size%Align_size == 0)
	{
		return actuall_size;
	}
	else
	{
		int n = actuall_size / Align_size;
		return Align_size*(n+1);
	}
}

//imagebuffer->newbuffer
DWORD CopyImageBufferToNewBuffer(PVOID pImageBuffer,PVOID* pNewBuffer)
{
	// ???PE?????
	PIMAGE_DOS_HEADER pDosHeader = NULL;	
	PIMAGE_NT_HEADERS pNTHeader = NULL;	
	PIMAGE_FILE_HEADER pPEHeader = NULL;	
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	// ???NEW_BUFFER??(temparay)
	LPVOID pTempNewbuffer = NULL;

	// ??pImageBuffer????
	if(!pImageBuffer)
	{
		printf("(2pnewbuffer??)??????pimagebuffer??!\n");
		return 0;
	}
	//?????exe??
	if(*((PWORD)pImageBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("(2pnewbuffer??)??MZ??,??exe??!\n");
		return 0;
	}
	// ?????????
	pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
	if(*((PDWORD)((DWORD)pImageBuffer+pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("(2pnewbuffer??)?????PE??!\n");	
		return 0;
	}
	// ?????????
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pImageBuffer+pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader+4); // ??????????
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

	//??new_buffer???
	int new_buffer_size = pOptionHeader->SizeOfHeaders;
	for(DWORD i = 0;i<pPEHeader->NumberOfSections;i++)
	{
		new_buffer_size += pSectionHeader[i].SizeOfRawData;  // pSectionHeader[i]?????
	}
	// ????(newbuffer)
	pTempNewbuffer = malloc(new_buffer_size);
	if(!pTempNewbuffer)
	{
		printf("(2pnewbuffer??)??Newbuffer??!\n");
		return 0;
	}
	memset(pTempNewbuffer,0,new_buffer_size);
	// ????
	memcpy(pTempNewbuffer,pDosHeader,pOptionHeader->SizeOfHeaders);
	// ??????
	PIMAGE_SECTION_HEADER pTempSectionHeader = pSectionHeader;
	for(DWORD j = 0;j<pPEHeader->NumberOfSections;j++,pTempSectionHeader++)
	{	//PointerToRawData?????????,VirtualAddress???????????,SizeOfRawData???????????
		memcpy((PDWORD)((DWORD)pTempNewbuffer+pTempSectionHeader->PointerToRawData),(PDWORD)((DWORD)pImageBuffer+pTempSectionHeader->VirtualAddress),pTempSectionHeader->SizeOfRawData);
	}
	//????
	*pNewBuffer = pTempNewbuffer; //????????????
	pTempNewbuffer = NULL;
	return new_buffer_size;  // ??????????????
}

//存盘
void StoreNewBuffer(PVOID pNewBuffer,DWORD new_file_size,char* save_path)
{
	FILE* fp2;
	fp2 =  fopen(save_path,"wb");
	if(!fp2)
	{
		printf("写入文件失败!\n");
		fclose(fp2);
		return;
	}
	fwrite(pNewBuffer,new_file_size,1,fp2);
	fclose(fp2);
}

int main(int argc, char* argv[])
{
	ExtendLastSection();
	getchar();
	return 0;
}

结果如下:
原本exe:
在这里插入图片描述
最后一个节:
在这里插入图片描述
在这里插入图片描述
扩大最后一个节后:
在这里插入图片描述
在这里插入图片描述

滴水逆向——PE扩大一个
sunr.
04-09 583
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
滴水逆向——PE新增一个
sunr.
04-09 1143
1.问题描述: 2.注意事项: (1)首先判断头部的空白区够不够加表, 所有的表后面必须跟40个字0。所以添加表时得确保有两个表大小(即80字)的连续剩余。 分三种情况:a.头部的最后一个表后直接可以放下两个区 b.表后放不下,但是dos头后pe前可放下 c.前两种情况都不行,需扩大最后...
滴水逆向PE扩大最后一个
qq_45694932的博客
07-10 267
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<Windows.h> #include<malloc.h> char file_path[] = "C:\\CTF\\notepad.exe"; char save_path[] = "C:\\CTF\\extend_note.exe"; DWORD Fileread(char** Filebuffer) { FILE* fp = NULL; cha
滴水逆向三期实践6:扩大
Rivival_S 的博客
09-29 775
扩大: 1、拉伸到内存(只是逻辑上,实际代码操作并不需要这一步),需要注入的代码为 ShellCode 2、分配一块新的空间:SizeOfImage + sizeof ( ShellCode) 3、扩大,修改最后一个的 SizeOfRawData 和 VirtualSize OrgSecSize= max ( SizeOfRawData 或 VirtualSize内存对齐后的值 ) ∵有些初始化数据未全部写入文件,VirtualSize可能比SizeOfRawData...
PE增加一个
qq_45694932的博客
07-10 409
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
滴水逆向——PE合并
sunr.
04-10 937
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
滴水逆向作业——PE代码区添加messagebox的shellcode
weixin_44584614的博客
02-21 2113
摘要:向PE结构的代码区添加messagebox的shellcode,使打开exe文件时,先执行shellcode的内容,再执行本身的功能。 1.具体流程 流程如下: 先将.exe文件以文件模式(filebuffer)读取到内存中,再将其拉伸读取到另一段内存中内存模式(imagebuffer)但注意这可不是运行状态。判断代码区是否有存放shellcode代码的空间,如果有的话,将准备好的shel...
滴水逆向——PE打印导入表
sunr.
04-15 793
1.导入表数据结构 2.PE文件载入内存前后导入表变化 3.打印步骤 4.一张图体会重定位表和导入表关系 DLL_A加载的基址本来是400000,但是被.exe占用了基址400000处,所以它的基址变为了1000000处。这时重定位表的作用就是改变DLL_A中要寻找各函数的Roa,具体操作就是Roa-原基址(400000)+现基址(1000000),这...
滴水逆向作业——新增一个
weixin_44584614的博客
03-15 750
新增一个 // testt.cpp : Defines the entry point for the console application. // #define _CRT_SECURE_NO_WARNINGS #include "stdafx.h" #include <malloc.h> #include <windows.h> #include <strin...
滴水PE作业3
最新发布
bruce_devil的博客
03-25 120
实现目标: 开辟新的并将导出表与重定位表的数据移到新的中。
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
滴水逆向工具
08-19
滴水逆向工具dtdebug, 个人感觉很好用.
滴水课程作业(手动+代码解析pe
weixin_52437902的博客
07-27 472
滴水逆向课后作业
滴水逆向作业——PE_02打印PE头部信息
weixin_44584614的博客
02-15 1323
打印PE头部信息: PE头包含:DOS头+4字PE标识符+NT头(标准PE头+可选PE头)。 #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> FILE* open_file(char* file_path,char* open_mode); int com...
滴水三期逆向基础系列(三)-新建,可添加代码
henuyl的博客
04-24 471
VOID AddNewSection( size_t sectionLength ){ LPVOID pFileBuffer = NULL; LPVOID pTempFileBuffer = NULL; size_t fileSize = ReadPEFile(FilePath_In, &pFileBuffer); if(pFileBuffer == NULL){ prin...
滴水逆向三期实践7:合并
Rivival_S 的博客
09-29 765
会不会有极端情况,DOS stub的空间也不足,NT头和表不能抬升,表和第一之间也没有空隙插入新,这种情况如何加入自己的代码呢? 就需要到合并,将全部的(一般文件都有两个以上的)合并成一个,那就可以有空隙增加自己的表了。这里不搞那么复杂了,只做合并,将全部合并成一个后文件仍然可用即可。 合并: 1、拉伸到内存 (这里是真的拉伸到一块内存空间) 2、将第一个的内存大小、文件大小改成一样 VirtualSize =...
滴水逆向作业——PE03_stage1
weixin_44584614的博客
02-17 1492
#include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> WORD NumberOfSections = 0; DWORD SizeOfHeaders = 0; DWORD SizeOfImage = 0; DWORD SectionAlignment = 0; i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值