PE文件操作-末尾添加节

最新推荐文章于 2024-05-24 19:31:36 发布
最新推荐文章于 2024-05-24 19:31:36 发布
阅读量3.2k 收藏 2
点赞数 1
分类专栏: Win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshahayes/article/details/52155236
版权

有时候为了某些原因,需要在PE末尾添加节,比如加壳,补丁等等,需要对PE文件进行扩展。
在末尾添加节是最简单的方式,只需要做如下修改:

  • 修改FILE_HEADER中的节数目字段
  • 修改OPTIONAL_HEADER中映像大小字段
  • 在节描述符数组中添加新描述符
  • 在文件末尾添加新节数据

首先找到文件最后一个节并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个节的结束:

    //找到文件末尾的节,计算出文件结束位置
    PIMAGE_SECTION_HEADER last_sec_hdr;
    get_section_entry_by_index(ctx, 0, &last_sec_hdr);
    for (int i = 1;i < file_hdr->NumberOfSections;i++)
    {
        PIMAGE_SECTION_HEADER sec_hdr;
        get_section_entry_by_index(ctx, i, &sec_hdr);
        if (sec_hdr->PointerToRawData > last_sec_hdr->PointerToRawData)
            last_sec_hdr = sec_hdr;
    }
    DWORD file_end = ALIGN_PAGE((last_sec_hdr->PointerToRawData + last_sec_hdr->SizeOfRawData), FileAlignment);

然后去初始化新节描述符:

    //创建新节描述并初始化
    IMAGE_SECTION_HEADER sec_hdr;
    memset(&sec_hdr, 0, sizeof(IMAGE_SECTION_HEADER));

    sec_hdr.Characteristics = IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE;
    sec_hdr.SizeOfRawData = size;
    sec_hdr.PointerToRawData = file_end;
    sec_hdr.Misc.VirtualSize = size;
    sec_hdr.VirtualAddress = ALIGN_PAGE((last_sec_hdr->VirtualAddress + last_sec_hdr->Misc.VirtualSize), SectionAlignment);
    memcpy(sec_hdr.Name, name, 8);

在某些PE文件中,可能有些PE描述范围外的数据,需要先将这些数据备份出来:

    //备份pe文件未定义的文件数据
    DWORD useless_size = GetFileSize(ctx->file, &ret) - file_end;
    PUCHAR useless_buf;
    if (useless_size > 0)
    {
        useless_buf = (PUCHAR)malloc(useless_size);
        if (useless_buf == NULL)
            return FALSE;

        ReadFile(ctx->file, useless_buf, useless_size, &ret, NULL);
        if (ret != useless_size)
            return FALSE;
    }

用0去在文件末尾填充新节:

    //在文件中填充新节
    DWORD need_size = ALIGN_PAGE(size, FileAlignment);
    PVOID new_sec = malloc(need_size);
    sec_hdr.SizeOfRawData = need_size;
    SetFilePointer(ctx->file, file_end, 0, FILE_BEGIN);
    WriteFile(ctx->file, new_sec, need_size, &ret, NULL);
    free(new_sec);
    if (ret != need_size)
        return FALSE;

再将刚刚备份的PE描述范围外的数据拷回去:

    //将pe文件定义外的数据拷会
    if (useless_size)
    {
        SetFilePointer(ctx->file, 0, 0, FILE_END);
        WriteFile(ctx->file, useless_buf, useless_size, &ret, NULL);
    }

最后将PE头的信息进行修正,由于这里用的内存映射文件,所以只要内存操作就能映射到文件中:

    //将新节描述写到最后一个节描述符的后面
    get_section_entry_by_index(ctx, file_hdr->NumberOfSections - 1, &last_sec_hdr);
    memcpy(last_sec_hdr + 1, &sec_hdr, sizeof(IMAGE_SECTION_HEADER));

    //修正文件头信息
    if (ctx->is_x64)
    {
        PIMAGE_OPTIONAL_HEADER64 opt_hdr;
        get_optional_header64(ctx, &opt_hdr);
        opt_hdr->SizeOfImage+= ALIGN_PAGE(size, SectionAlignment);
    }
    else
    {
        PIMAGE_OPTIONAL_HEADER32 opt_hdr;
        get_optional_header32(ctx, &opt_hdr);
        opt_hdr->SizeOfImage += ALIGN_PAGE(size, SectionAlignment);
    }

    file_hdr->NumberOfSections++;

其中用到对齐操作,即将地址对齐到页表边界:

#define ALIGN_PAGE(_addr_in_page_,_page_align_)                             \
    (((_addr_in_page_)+(_page_align_-1))&~((_page_align_-1)))              \
yeshahayes
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1429
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下表新增表的步骤1.判断是否有足够的空间增加一个新.2.表新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增表的属性.Virt.
PE新增
hambaga的博客
05-13 730
测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个表后面并不是0,而是有一些奇怪的数据,以32位notepad为例,最后一个表后面的数据是这样的: 对于其他程序,如ipmsg,还有一个我自己写的32位GUI程序,新增后都可以正常运行。 对于这个问题,解决方案可以改为扩大最后一个,或者让NT头上移,就是覆盖掉原来dos stub那部分数据,然后改一下e_lfanew,由于不是本次作业的重点,我就不写了。 下面是函数代码,只包含添加的函数,其他函数就不贴了,上一篇博客有
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加并改变PE文件OEP,使得在程序执行前插入一段shellcode
VC往PE文件末尾读写数据
lyshiba的专栏
07-11 1479
//往文件末尾写数据 void CwritePEFileDlg::OnBnClickedButton2() {     TCHAR strPath[MAX_PATH];     wcscpy(strPath, L"d:\\1.exe");     HANDLE handle = CreateFile(strPath, GENERIC_WRITE, FILE_SHARE_WRITE,
PE文件(六)新增-添加代码
最新发布
2301_78838647的博客
05-24 1107
我们有时候发现文件内存中未对齐的大小确实比文件中对齐的大小大,这是由于中包含初始化数据的缘故。当整体上移后空白出来的空间还不够新增表的大小时,我们可以采用扩大最后一个的方式,将添加的代码加到最后一个扩大的空间中,由于内存对齐的原因,我们会有很大一部分的空间供我们去添加代码。二.当满足添加表的条件时,我们可以将已有的一个表的40字信息复制一份紧挨着最后一个表的末尾表与表之间时连续的),然后再定义之后的40字都是0,之后再根据新增的信息,去修改对应表的字段值。
PE知识复习之PE新增
weixin_30302609的博客
10-02 427
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
windows平台PE文件自定义添加
08-17
这通常意味着在文件末尾添加新的数据,并更新文件的大小。 #### 示例代码解析 下面是对示例代码的关键部分进行详细解释: ```cpp // PEEditor.cpp: 此文件包含 "main" 函数。程序执行将在此处开始并结束。 #...
delphi读写PE文件
04-18
追加数据时,需要了解PE文件的结构,如文件头、表、数据区等,确保追加操作不会破坏文件的完整性和可执行性。 1. **PE文件结构**:PE文件由多个部分组成,包括DOS头、PE头(COFF头)、NT头、表、数据等。DOS...
PE文件添加数字签名的代码
08-06
PE文件格式是Windows操作系统中用于执行程序的标准格式,包括.exe和.dll等类型。数字签名是为了确保软件的来源可信,防止被篡改,增强软件的安全性。 数字签名在软件开发和分发中扮演着重要角色,它通过加密技术...
vb6文件操作
05-09
- PE(Portable Executable)格式的程序文件就是典型的二进制文件。 #### 二、文件操作方法 每种文件类型的处理方式有所不同,接下来详细介绍各种文件类型的常用操作方法。 1. **顺序文件操作**: - **打开文件...
PE新增一个
qq_42363151的博客
08-31 212
新增
PE文件添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PE(.exe)文件生成器
03-09
.版本 2 .局部变量 段, 段, , "0" .局部变量 表目录, 表目录, , "0" .局部变量 现行位置 .局部变量 段数 .局部变量 段内存地址, , , "0" .局部变量 段占用文件大小 .局部变量 代码入口地址 .局部变量 表的数量, 整数型 .局部变量 计次, 整数型 .局部变量 计次2, 整数型 .局部变量 代码段地址, 整数型 .局部变量 文件对齐度 .局部变量 DOS数据, 字集 .局部变量 首选装载地址, 整数型 .局部变量 控制台程序, 逻辑型 现行位置 = 取字集数据 (文件, #整数型, #MZ头长度 - 3) + 1 ' DOS数据 = 取字集中间 (文件, #MZ头长度 + 1, 现行位置 - #MZ头长度 - 1) .如果真 (取字集数据 (文件, #整数型, 现行位置) ≠ #PE署名) 返回 () .如果真结束 现行位置 = 现行位置 + 2 段数 = 取字集数据 (文件, #短整数型, 现行位置) 重定义数组 (段, 假, 段数) 重定义数组 (段内存地址, 假, 段数) 现行位置 = 现行位置 + 32 代码入口地址 = 取字集数据 (文件, #整数型, 现行位置) 代码段地址 = 取字集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 4 首选装载地址 = 取字集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 4 文件对齐度 = 取字集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 28 控制台程序 = 取字集中间 (文件, 现行位置, 2) = { 3, 0 } 现行位置 = 现行位置 + 24 表的数量 = 取字集数据 (文件, #整数型, 现行位置) 重定义数组 (表目录, 假, 表的数量) .计次循环首 (表的数量, 计次) 表目录 [计次].地址 = 取字集数据 (文件, #整数型, 现行位置) 表目录 [计次].大小 = 取字集数据 (文件, #整数型, 现行位置) .计次循环尾 () .计次循环首 (段数, 计次) ' 段 [计次].名称 = 取字集中间 (文件, 现行位置, 8) 现行位置 = 现行位置 + 8 段 [计次].内存大小 = 取字集数据 (文件, #整数型, 现行位置) 段内存地址 [计次] = 取字集数据 (文件, #整数型, 现行位置) 段占用文件大小 = 取字集数据 (文件, #整数型, 现行位置) 段 [计次].数据 = 字集删尾空 (取字集中间 (文件, 取字集数据 (文件, #整数型, 现行位置) + 1, 段占用文件大小)) 现行位置 = 现行位置 + 12 段 [计次].属性 = 取字集数据 (文件, #整数型, 现行位置) .计次循环尾 () .计次循环首 (表的数量, 计次) .变量循环首 (段数, 1, -1, 计次2) .如果真 (表目录 [计次].地址 ≥ 段内存地址 [计次2]) 表目录 [计次].段号 = 计次2 表目录 [计次].地址 = 表目录 [计次].地址 - 段内存地址 [计次2] 跳出循环 () .如果真结束 .变量循环尾 () .计次循环尾 () .计次循环首 (段数, 计次) .如果真 (段内存地址 [计次] = 代码段地址) 代码入口地址 = 代码入口地址 - 代码段地址 生成PE文件 (首选装载地址, 段, 计次, 代码入口地址, 文件对齐度, 表目录, DOS数据, 控制台程序) 跳出循环 () .如果真结束 .计次循环尾 ()
<原创>在PE最后一节中插入补丁程序(附代码)
weixin_34043301的博客
03-16 132
完整文件 http://files.cnblogs.com/Files/Gotogoo/在PE最后一节中插入补丁程序.zip 在PE文件最后一节中插入补丁程序,是最简单也是最有效的一种,因为PE最后一节的数据在文件末尾,将代码加到最后一节时,不需要修改太多的内容。 最近在学习python,没时间详细写这个了,有问题看代码,或者在评论区提问,或者看书《Windows PE权威指南》,讲的很详...
PE增加一个
qq_45694932的博客
07-10 374
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
PE结构-----新增
mysqld521的博客
05-28 133
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字))》=80字。可以直接在最后表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字进行00的填充。
8.PE文件之新增
kernelhack
10-28 4176
目录 新增PE文件中哪些值会有影响? 新增步骤: 手动新增 代码新增 如果需要在PE文件中构建一端SHELLCODE(默认区剩余空间不足情况下),可以通过新增来解决此问题.通常大部分加壳软件都会新增来移动或者备份各种目录项数据. 新增PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果新增需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增后在内存中的大小
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 406
手工解析PE(新增)
PE文件~
2514804004的博客
04-11 596
表结构体代码成员分析 结构体代码 _IMAGE_SECTION_HEADER #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize
python处理文件---每行末尾加上字符
05-25
可以使用Python的文件操作来实现每行末尾加上字符的功能。具体实现步骤如下: 1. 打开文件,读取文件内容。 2. 遍历文件的每一行,在每行末尾添加指定的字符。 3. 将修改后的内容写入文件中。 以下是代码示例: ```python with open('filename.txt', 'r') as f: lines = f.readlines() with open('filename.txt', 'w') as f: for line in lines: line = line.strip() + ' character\n' f.write(line) ``` 其中,`filename.txt`是待处理的文件名,`character`是要添加的字符。上述代码中,首先使用`with open()`语句打开文件,使用`readlines()`方法读取文件内容,并将其保存到`lines`变量中。接着,使用`with open()`语句再次打开文件,以写入模式打开,遍历`lines`中的每一行,在每行末尾加上指定字符,使用`write()`方法将修改后的内容写入文件中。 需要注意的是,在每行末尾添加字符时,需要使用`strip()`方法删除每行末尾的空白符,再加上指定的字符,否则会出现多余的空白符。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值