PE文件的修改----增加节区

最新推荐文章于 2023-05-28 16:26:40 发布
最新推荐文章于 2023-05-28 16:26:40 发布
阅读量928 收藏 4
点赞数 1
分类专栏: 逆向 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51738129/article/details/128835668
版权

一、PE文件

识别一个文件是不是PE文件不应该只看文件后缀名,还应该通过PE指纹

使用winhex打开一个exe文件,发现文件的头两个字节都是MZ,0x3C位置保存着一个地址,查该地址处发现保存着“PE”,这样基本可以认定改文件是一个PE文件。

PE文件格式:

 

图1 PE文件格式

二、增加节区

步骤增加节区头修改节区数量修改映像大小增加节区内容修改新增节区的属性

1、增加节区头用PEview打开文件Tut.ReverseMe1,节区reloc地址范围:0218到0240,节区头最后的位置0240,判断是否有足够空间(看characteristics的第一个数据:40)存放一个节区头。然后填充节区头内容。

图2 判断 

 

图3 填充

2、修改节区数量5个节修改位4个节

 

图4 修改数量

图5 修改

3、修改映像大小打开标准头,找到size of image地址为000000D0,大小为00008000,加上映像大小最小单位00000000,修改为00008000+00000000=00008000

 

图6 修改映像

 图7 映像大小

 图8 修改

4、增加节区内容,在原有的最后一个节区的末尾000039F0,增加一个节区的随机内容

 

图9 末尾

图10 增加

5、修改新增节区的属性,需要将此时此刻修改一部分的文件保存,再载入peview查看,修改VirtualSize,修改RVA按,修改SizeOfRawData,修改pointer to raw data

 

 图11 查看

        修改VirtualSize,地址0248修改为映像大小最小单位00000000

 

 图12 修改VirtualSize

        修改RVA按照上一个节区的大小来修改,上一个节区的VirtualSize是272,对齐后是00000000,所以新节区的RVA地址024C的是00008000+00000000=

00008000

 

图13 修改RVA

        修改SizeOfRawData,大小取决于我们增加的节区地址0250内容大小(400)

 

 图14 修改SizeOfRawData 

        修改pointer to raw data,地址0254上面两个值相加400+3600=3A00

 

 图15 修改pointer to raw data

6、保存

 

 图16 保存

 

 图17 比较

 

 

linw25
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
添加节,插入PE文件
10-31
把任何二进制文件,以新添加一个节区的方式,插入到可执行文件中!
关于PE可执行文件修改
weixin_33824363的博客
05-29 98
在windows 9x、NT、2000下,所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format(可移植的执行体),即PE格式。有一些时候,我们需要对这些可执行文件进行修改,下面文字试图详细的描述PE文件的格式及对PE格式文件修改。1、PE文件框架构成 DOSMZheaderDOSstubPEhead...
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 2971
 不赖猴的笔记,转载请注明出处。一、        Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定
PE文件修改---减少节区
weixin_51738129的博客
02-03 317
打开标准头,找到size of image地址为000000D0,大小为00008000,减去映像大小最小单位00000000。删除节区头(用0填充),用PEview打开文件Tut.ReverseMe1,找到节区reloc地址范围:0218到0240。,找到这个节的起始位置,section.reloc起始位置是00003600,之后全部删除。保存为Tut.ReverseMe3.exe。,5个节修改位4个节。
PE文件格式分析及修改
lxslove的专栏
11-06 1703
PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识
亲手教你改PE文件之加载基址的新玩法
合天网安学院
11-29 1013
走过路过,不要错过这个公众号哦!1.文章简介:通过本文,读者可以了解PE文件PE头组成结构,以及动手修改镜像基地址和大小,来理解对整个PE文件的影响,本文通过对系统自带工具calc,...
遍历全盘exe文件,给遍历到的exe文件添加一个新节
foxriver_886的专栏
05-04 585
_call    MACRO    procedure,parameters:VARARG     LOCAL    param,reversed     reversed    TEXTEQU            %    for  param,         reversed  CATSTR  ,,reversed     endm     %    for  param,
PE结构-----新增节
mysqld521的博客
05-28 123
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*节表的大小(40字节))》=80字节。可以直接在最后的节表的后边添加新增节,还要将后面的40个字节置00。2、上面的空间不足80个字节的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个节表的大小(第一个节表存放新增节表,第二个存放40个00)1.将最后一个节表的后40个字节进行00的填充。
PE文件实战教程之手动实现新增节
weixin_43742894的博客
04-01 1335
前面我们说过在空白节添加代码,想要更多空间的话,可以扩大节,但是在最后一个节进行扩大的话,还需要修改原来节的属性,比较麻烦,所以不如直接新增一个节! 并且我们通过手动新增节,可以直观地看到非常多的细节,帮助我们理解原理! 手动实现新增节什么是新增一个节?了解一下节表新增节表的步骤1.判断是否有足够的空间增加一个新节.2.节表新增一个成员,在原最后一个成员后面添加3.修改节的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个节的数据(内存对齐的整数倍)6 修正新增节表的属性节.Virt.
手工解析PE(新增节)
GNAIXGNAHZ的博客
06-15 377
手工解析PE(新增节)
PE文件添加节.zip
08-19
使用C语言在PE文件末尾添加新节并改变PE文件OEP,使得在程序执行前插入一段shellcode
PE文件的感染C++源代码
01-17
这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。 修改快捷方式文件。如果PE文件存在快捷方式,...
PE资源修复
07-18
修复后,引擎会无条件地为 PE 文件增加一个资源节,会导致文 件体积变大,该功能适合进行简单修复脱壳后 PE 资源部分。 <1> 输出函数 FixResFromFile C 形式函数原型: BOOL __stdcall FixResFromFile(const ...
封叶碧沙 Wxindows XP SP2系列 情人节特别版
02-18
封叶碧沙 Wxindows XP SP2系列 情人节特别版 首先向全国的朋友来句Happy Valentine\'s Day,祝你们情人节快乐。 此系统采用使用 MSDN 发行的 Microsoft Windows XP Professional sp2 作母盘 使用目前先进的...
Ek Chuah 1.2
10-26
二,扩展最后一节表,把宿主文件的最后一个节表增加待合并文件的大小,然后写入,需要注意,如果宿主文件不是纯PE文件,如那种安装包或加了某些壳,这种情况下就不适用。 三,在宿主文件末端增加一个新节。上面2...
multiCCL_f
10-19
原来已有的 文件特征码定位功能 (对 PE文件 和 非PE文件)--此功能已较稳定 本版新增功能:内存特征码定位(对PE文件)---------此功能测试中 因为现在杀毒软件针对特征码定位器设置了某些干扰,最终决定...
软件病毒特征码定位软件multiCCL
08-02
原来已有的 文件特征码定位功能 (对 PE文件 和 非PE文件)--此功能已较稳定 本版新增功能:内存特征码定位(对PE文件)---------此功能测试中 因为现在杀毒软件针对特征码定位器设置了某些干扰,最终决定...
易语言程序免安装版下载
04-07
注意:静态编译后常量数据位于PE文件的.rdata段中,只可读不可写,编程时请避免修改它们。譬如以下的代码,静态编译后就可能会出现问题: a = " " GetWindowTextA(hWnd, a, 20) 正确的代码为: a = 取空白文本 ...
windows用户称拦截api
04-06
而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要执行的地方,然后再返回到原地址.原来api的...
华硕z9pe-d8-ws nvme
最新发布
07-29
华硕z9pe-d8-ws nvme是一款高性能的主板。NVMe是一种新一代的存储技术,它可以极大地提升数据传输速度和系统响应速度。华硕z9pe-d8-ws nvme主板支持NVMe技术,可兼容NVMe固态硬盘,并提供高速的数据传输和读写性能。 该主板采用了双路Intel Xeon E5系列处理器,并支持最多512GB的DDR3内存,具备强大的计算和处理能力。它同时拥有7个PCIe 3.0 x16插槽,可兼容多个显卡和其他扩展设备,满足用户对于多任务处理和高性能计算的需求。 除此之外,华硕z9pe-d8-ws nvme主板还提供了多个存储接口,包括八个SAS接口和八个SATA接口,以满足用户对于大容量存储的需求。此外,该主板还配备了多个USB 3.0接口和千兆以太网接口,带来更高的数据传输速度和更稳定的网络连接。 华硕z9pe-d8-ws nvme主板还具备出色的散热性能和稳定性,采用了全新的散热解决方案和高质量的电子元件,确保系统的稳定性和可靠性。 总之,华硕z9pe-d8-ws nvme是一款功能强大的主板,适用于需要高性能计算和存储需求的用户,它的支持NVMe技术和丰富的扩展接口,为用户带来更好的使用体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

linw25

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值