判断是否为PE文件改进版

最新推荐文章于 2023-01-27 16:45:37 发布
最新推荐文章于 2023-01-27 16:45:37 发布
阅读量831 收藏
点赞数
分类专栏: 我的文章 文章标签: null header file dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xbin8/article/details/2158802
版权

原来的程序一遇到0字节的文件就会挂掉,在这里我添加了SEH错误处理代码,完美解决了挂掉的问题!

 

. 386
.model flat, stdcall
option casemap :none 
include    windows.inc
include    user32.inc
includelib  user32.lib
include    kernel32.inc
includelib  kernel32.lib

.data ?
hFile    dd   ?
hMapFile  dd   ?
lpFile  dd   ?

. const
szErr    db   " 不是有效的32位程序! " , 0
szOK    db   " 是可执行文件! " , 0
szNO    db   " 打开文件失败! " , 0
szName  db   " d: .exe " , 0
Copyright  db   "  www.xbin.cn  " , 0

.code
_SEH  proc  _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext
    pushad
    mov  esi,_lpExceptionRecord
    mov  edi,_lpContext
    assume  esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT
    mov  eax,_lpSEH
    push  [eax  +  0ch]
    pop  [edi].regEbp
    push  [eax  +   8 ]
    pop  [edi].regEip
    push  eax
    pop  [edi].regEsp
    assume  esi:nothing,edi:nothing
    popad
    mov  eax,ExceptionContinueExecution
    ret
_SEH  endp

Start:
;设置SEH
assume  fs:nothing
push  offset _ErrFormat
push  offset _SEH
push  fs:[ 0 ]
mov  fs:[ 0 ],esp
;打开文件
invoke CreateFile,offset szName,GENERIC_READ,NULL,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL
. if  eax  ==  INVALID_HANDLE_VALUE
  invoke MessageBox,NULL,offset szNO,NULL,MB_OK
  JMP _END
.endif
mov hFile,eax
;建立映射文件
invoke CreateFileMapping,hFile,NULL,PAGE_READONLY, 0 , 0 ,NULL
mov hMapFile,eax
invoke MapViewOfFile,hMapFile,FILE_MAP_READ, 0 , 0 , 0
mov lpFile,eax
;把映射文件的首地址给ESI
mov esi,eax
assume esi:ptr IMAGE_DOS_HEADER
;判断MZ标志
mov di,[esi].e_magic
mov bx,5a4dh
. if  di  !=  bx
  invoke MessageBox,NULL,offset szErr,NULL,MB_OK
  JMP _END
.endif
;判断PE标志
add esi,[esi].e_lfanew
assume esi:ptr IMAGE_NT_HEADERS
mov edi,[esi].Signature
. if  edi  !=  00004550h
  invoke MessageBox,NULL,offset szErr,NULL,MB_OK
  JMP _END
.endif

invoke MessageBox,NULL,offset szOK,NULL,MB_OK
assume esi:nothing
JMP _END
_ErrFormat:
invoke MessageBox,NULL,offset szErr,NULL,MB_OK
pop  fs:[ 0 ]
add  esp,0ch
_END:
invoke UnmapViewOfFile,lpFile
invoke CloseHandle,hMapFile
invoke CloseHandle,hFile
invoke ExitProcess, 0
end Start

 

xbin8
关注
专栏目录
Linux下ELF二进制文件加壳,pe/elf 文件加壳时的处理
weixin_42318912的博客
04-29 2178
==Ph4nt0m Security Team==Issue 0x02, Phile #0x0A of 0x0A|=—————————————————————————=||=———————-=[ pe/elf 文件加壳时的处理 ]=———————-=||=—————————————————————————=||=—————————————————————————=||=————————–=[ ...
对一个补丁工具程序的技术细节分析(WIN32汇编)
paradox_1_0的博客
07-06 390
本文研究的是在目标PE中新增加一个节,并将可执行代码附加到该节中的技术。补丁工具中对文件头部做的修改主要包括以下字段:SizeOfHeader、SizeSofImage、AddressOfEntryPoint和NumberOfSections。 补丁程序创造空间最好的做法是:按照PE数据结构的规则新增加一个节,然后将这个节有机的融合到PE文件中。 为PE文件新增加一个节的空间,只需要扩充文件尾...
SEH异常处理
weixin_30835649的博客
07-30 634
SEH是应用最为广泛,却没有被微软公开技术之一,所有不同windows版本,SEH可能有所不同。 SEH链表位置:fs:[0]->线程信息块TIB,TIB.ExceptionList->SEH链表 一)有关SEH链表结构: 1)线程信息块TIB结构 kd> dt _NT_TIBnt!_NT_TIB +0x000 ExceptionList : Ptr32 _EX...
动态获取API的地址
weixin_43575859的博客
03-18 1147
原理: 现在虽然大部分Win32程序都使用ExitProcess函数来终止执行,但是其实用ret指令也是可以的。我们的应用程序的主程序可以被看成是一个被Windows调用的子程序。当父进程要创建一个子进程时,它会调用Kernel32.dll中的CreateProcess函数,CreateProcess函数在完成装载应用程序后,就会把一个返回地址用push压入栈,这个返回地址是子进程用ret来结束...
现代dump技术及保护措施[Ms-Rem]
04-25 1248
鄙人拙译现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程中一个重要的部分就是取得dump。关于dump的取得
PE文件格式
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-27 6554
PE文件基本内容
手工解析PE(文件注入代码实现)
GNAIXGNAHZ的博客
06-11 528
手工解析PE(文件注入代码实现)
破解PE文件
生活在别处
10-20 6220
★工具用法 1.OllyICE/OllyDB (1)标题栏中"模块-"后的程序名就是程序领空;双击命令字节码设置/取消断点,双击汇编语句编辑代码(重新载入后消失),输入‘;’可输入注释。其他不详功能点右键发现。 (2)在反汇编窗口,右键快捷菜单里选择"查找->所有参考文本字串"可以查找字符串.使用右键快捷菜单里"超级字串参考->"插件的功能更强大,可以查出许多内置查找功能无法找到的有用信息.
Exeinfo_PE_0.0.5.3查壳工具
01-23
在IT行业中,"查壳"指的是检查程序是否被加壳,即判断程序是否被保护层封装,这通常与逆向工程和软件安全相关。 PE(Portable Executable)是Windows操作系统中的一个文件格式,包含了运行可执行程序所需的所有信息...
FastCopy1.99大文件复制中文版
02-27
2.新增“重新创建”选项:不管是否启用/linkdest选项,都更改“覆盖写入目标”模式为“删除并重新创建目标”模式。 V1.95 1.新增复制hardlink选项(/linkdest)。 2.更改后处理提示对话框为前置显示。 3.修正终止...
PE下硬盘检测软件
03-11
4. **基准测试**:通过读写速度测试,可以了解硬盘的性能,判断是否满足日常需求或出现性能下降。 5. **坏道检测**:执行坏道扫描,发现并标记问题区域,有助于防止数据损坏。 6. **健康监控**:定期使用软件检查...
对代码变形的一点认识
晓斌的博客
03-09 1415
.386.model flat, stdcalloption casemap :noneinclude kernel32.incincludelib kernel32.lib    .CODESTART:    call _NO1            ;跳过干扰码    db 0e9h               ;干扰码    jmp _END           ;跳出变形的代码_NO1
用OD跟踪金山游侠的部分代码并用汇编还原其功能
晓斌的博客
03-08 1173
这是偶无聊的时候跟踪金山游侠的部分代码,并用汇编根据其程序流程写出了完整的代码,就当练练手吧!0041EC32  /.  55            push    ebp                                        ;后面要用EBP读堆栈找外部参数所以就要先保存EBP0041EC33  |.  8BEC          mov     ebp, esp  
自己写的一个HOOKAPI的汇编例子
晓斌的博客
03-08 1063
;************************************************;程序作者:晓斌;QQ:6750333        http://www.xbin.cn;************************************************.586.model flat, stdcalloption casemap :noneinclude  wi
对程序调用API变形的一点认识
晓斌的博客
03-08 763
我就从简单分析下怎样躲过杀毒软件的查杀说起吧这是我以前的文章,据说这种技术可以过主动防御.386.Model Flat, StdCallOption Casemap :NoneInclude windows.incInclude user32.incInclude kernel32.incIncludeLib user32.libIncludeLib kernel32.lib.DATA
面向多场景应用的光网络通感一体化架构和关键技术方案研究.pdf
09-28
面向多场景应用的光网络通感一体化架构和关键技术方案研究
基于Vue框架的Digital Twin开发设计源码
最新发布
09-28
该项目是基于Vue框架的Digital Twin开发设计源码,由38个文件组成,涉及TypeScript、JavaScript、Vue、CSS、HTML等多种编程语言,包括9个TypeScript文件、6个JavaScript文件、5个JSON文件、5个Vue文件、3个SVG文件、2个Markdown文件、2个WebAssembly文件、1个Git忽略文件、1个HTML文件和1个CSS文件。该源码旨在提供大学生在线学术交流的平台,助力学术创新与协作。
PE文件格式详解:1.9版译文
"PE文件格式1.9版的完整译文,涵盖了PE文件的基本结构和原理。" PE(Portable Executable)文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL)、驱动程序等二进制文件的标准格式。这个格式在1993年由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值